El timón de la nube lo pilota Kubernetes

TPB293, sep19. A mediados de mayo llegaba a Barcelona la KubeCon Europe 2019, un evento que por tres días convirtió la Fira en un campus internacional de más de 7.500 talentos enfrascados en descifrar y escribir las próximas líneas de código que gobiernen la nube. Como un viaje del imserso para jóvenes becados del MIT o del Silicon Valley, hubo también muchas camisetas de regalo y sangría en el Poble Espanyol después de maratonianas jornadas técnicas.

HASTA AQUÍ llegaron miles de diseñadores web, desarrolladores de software, operadores de red y administradores de sistemas a perfeccionar sus habilidades TI en las áreas más críticas como es la seguridad con lo último en el state-of-the-art, incluyendo escaneo de contenedores, análisis forense y explotación, IoT, ingeniería inversa, inteligencia de código abierto, dispositivos móviles y machine learning.

Seguramente la falta de profesionales cualificados es la preocupación de seguridad más constante que se escucha entre los expertos, y que ya notan las empresas de todo tamaño. Si allí estaban todos los posibles, aun siendo muchos, siguen faltando un montón. «Y sin suficientes profesionales preparados en todo el mundo para implementar soluciones de seguridad para todas las empresas, los atacantes ganarán. El aumento del talento en general es una necesidad para ayudar al mundo a ser más seguro en el intercambio de información digital», señalaba Mark Liggett, analista senior de seguridad de la Universidad de Tulane.

Kubernetes ha conseguido que la Nube Nativa sea ubicua, cambiando la forma en que las compañías desarrollan y administran su propio software. La KubeCon es el mayor evento organizado anualmente por la comunidad opensource CNFC (Cloud Native Computing Foundation) en tres territorios, América, Europa y Asia. Este año recaló la versión europea en Barcelona, atrayendo a un ingente número de frikis y geeks (los kubernettes, que hace un lustro apenas eran unos pocos centenares y ahora se cuentan por miles de devops) en un entorno propicio para conocer de forma directa la experiencia de desarrolladores reconocidos y de proyectos aún muy en pañales, y saber más sobre los retos y oportunidades que proporciona esta aproximación al software del futuro.

En este sentido, aprender de las áreas donde los desarrolladores han encontrado carencias, errores, bugs o caminos sin salida provocados de una u otra manera por decisiones de la compañía o errores propios, permite a las grandes compañías como Microsost o IBM un proceso de mejora continua. La integración nativa de Kubernetes en el código fuente de numerosas aplicaciones empresariales, de forma que se pueda ver fácilmente el contenido de un clúster, comprobar el estado de los Pods de un vistazo, hacer clic con el botón derecho del ratón para obtener un terminal en un Pod o configurar una redirección de puertos de red, y filtrar fácilmente los registros para identificar problemas, todo ello dentro del mismo entorno en el que está alojado el código, ayuda sin duda a reducir los tiempos de desarrollo de nuevos productos lanzados al mercado.

Dan Kohn, director ejecutivo de la CNFC, presentaba a los medios la asociación que apoya e integra tecnologías open source como Kubernetes o Prometheus, una realidad ya para muchas empresas españolas. La comunidad crece a un ritmo de 400 miembros nuevos al año con un alto nivel de colaboración y compromiso (a diferencia de lo que cuenta una encuesta entre los equipos internos de devops en una gran empresa), con un alto número de propuestas ya en producción y en grandes compañías de cualquier ámbito que han apostado por el código abierto demostrando su validez.

La agilidad que imprime el uso de contenedores, microservicicios y APIs para crear nuevos modelos de negocio no escapa a las grandes tecnológicas que no se quisieron perder el evento: AWS, Google, Microsoft Azure, IBM Cloud, Huawei, Red Hat, Cisco, Trend Micro, NetApp, F5 Networks, HPE, Intel, Oracle, OVH, VMware… son sólo algunas de las más de 300 empresas que participaron en el encuentro con su propio stand. Pero además de los grandes, sobretodo destacaron los usuarios finales y startups que también tuvieron su hueco para intercambiar ideas y conocer los últimos desarrollos que se cuecen en la comunidad como la esperada v.1 de Rook, la llegada de OpenShift v.4 de RedHat y por fin el deseado Helm v.3 Alpha de Microsoft.

Cambios de rumbo

Uno de los grandes en la trastienda del cloud computing como Red Hat (empresa que nació en el código libre hace un par de décadas y que fue finalmente atraída al ecosistema de IBM), aprovechó el KubeCon en España para anunciar un acuerdo con Cepsa para reforzar su estrategia de transformación digital. Presente en toda la cadena de valor del petróleo y del gas, la compañía industrial, en esa evolución hacia el mundo utillity, quiere ahora ofrecer con mayor rapidez los servicios digitales que mejor responden al comportamiento cambiante del consumidor y ayudándoles a estar al día en un mercado en constante evolución.

Cepsa está creando una plataforma lista para la nube híbrida basada en OpenShift Container Platform, completa plataforma de Kubernetes respaldada por OpenShift Container Storage y automatizada gracias a Ansible Tower, que permiten un desarrollo y lanzamiento de nuevas aplicaciones más rápido en esa idea de transformarse en una empresa «agile data driven». Para su éxito comercial, esto pasa por acercar más rápidamente las nuevas estrategias al mercado con atención especial en las experiencias digitales para sus clientes.

La TI de Cepsa está compuesta por un entorno híbrido que mezcla on premise en su propio datacenter, en nube privada y de múltiples nubes públicas, pero gracias al sistema de contenedores consigue allanar el terreno y trabajar de una manera estandarizada lista para el escalado cuando llegue el caso. “Comenzamos a adoptar tecnologías de código abierto cuando nuestras aplicaciones Java estaban en servidores de aplicaciones comerciales. Esto nos permitió una mayor flexibilidad en la arquitectura de las soluciones, una mayor eficiencia en los costes e impulsar nuestra capacidad de innovación. La elección por OpenShift Container Platform supone una evolución natural en nuestra plataforma de referencia para acompañar la transformación de nuestros negocios”, declaraba Susana Zumel, CIO de Cepsa.

Para llevar a cabo este proyecto multifuncional hay que involucrar un número importante de equipos, tanto propios de Cepsa como de Red Hat, bajo una metodología DevOps, para crear entornos operativos estandarizados, configuración como código, autoaprovisionamiento, pruebas de consistencia y calidad, integración continua y escalado automático, almacenamiento elástico y mover datos persistentes con aplicaciones entre plataformas, hacia la nube híbrida o entre múltiples nubes públicas.

Para dar apoyo al despliegue del proyecto, Red Hat está impartiendo formación técnica al personal de Cepsa y ayudando a definir el marco estratégico para crear aplicaciones nativas en la nube, modernizar aplicaciones existentes y administrar las aplicaciones de manera más consistente en toda su TI con el fin de lograr la máxima automatización de infraestructuras, redes y nubes. “Cepsa está apostando por la digitalización para poder hacer frente más dinámicamente a los cambios en los hábitos y necesidades de los consumidores. Estamos encantados de ayudar a Cepsa para que pueda beneficiarse de la innovación de las comunidades abiertas junto con la mayor seguridad y fiabilidad que ofrece la tecnología de código abierto empresarial de Red Hat», señalaba Julia Bernal, country manager para España y Portugal de Red Hat. «Estamos trabajando con el equipo de Cepsa para aumentar la agilidad de su negocio a través de una infraestructura con mayor escalabilidad y con un rendimiento más eficiente, así como en una mentalidad y cultura empresarial colaborativas».

Mundos paralelos

En la feria también hubo ocasión de debatir varias tendencias. Hay muchos foros que vaticinan el fin de la virtualización gracias precisamente a este modelo de contenedores. Pero son dos tecnologías complementarias, «mundos paralelos», señala Juan Luis Buenosvinos, arquitecto de soluciones de Red Hat. «Con contenedores puedes prescindir de la virtualización, sí, pero tenerla siempre va a ayudar a gestionar el parque de servidores. Hay entornos HPC como el de la supercomputación que están desplegando OpenShift directamente sobre servidores de gran potencia, prescindiendo de la virtualización para conseguir el máximo rendimiento posible, y también grandes compañías para aplicar inteligencia artificial, machine learning y analítica big data».

Lo mismo ocurre con la venta tradicional de licencias on premise. «Pero aunque cada vez es más «democrático» poder recurrir a la nube pública en pago por uso porque permite una mayor agilidad y flexibilidad a las empresas a la hora gestionar recursos, el modelo on premise sigue y seguirá existiendo por tema de regulación de datos, de albergarlos en mis instalaciones y bajo mi control», añade Buenosvinos. Además, de la misma manera que no todas las aplicaciones van a ser desplegadas en la nube, muchos clientes van a querer tener sus propios centros de datos en propiedad o en alquiler. «Lo que sí está claro es que vamos a entornos híbridos y multicloud, que piden a gritos una gestión unificada».

Que haya crecido tanto la asistencia a la KubeCon no es una casualidad, está directamente relacionado con que las compañías están utilizando cada vez más la tecnología de contenedores. La posibilidad de tener a disposición el mismo programa en un container encapsulado con todas sus funcionalidades ya escritas, incluida la seguridad, y poder llevarlo a cualquier rincón de la nube ha permitido reducir enormemente los tiempos y costes de desarrollo y despliegue.

«El nivel de adopción está siendo espectacular. Cada vez más, mes tras mes, año tras año, empresas de todo tipo están implementando este tipo de tecnología ya que todas tienen necesidades comunes: capacidad de maniobra, agilidad y ahorrar costes. Pasar de un entorno virtualizado a un entorno de contenedores supone un 40-45% de ahorro en recursos. En España hay sectores muy potentes de crecimiento en estas propuestas cloud como son banca, seguros, telecomunicaciones y utilities. Aunque vemos que en industria o en retail también se adoptan porque necesitan manejar la escalabilidad de esas aplicaciones, no sólo desplegarlas», señala Buenosvinos.

Google liberó hace cinco años esta tecnología que desarrollo inicialmente para su uso interno para «orquestar» ingentes cargas de trabajo y la bautizó como Kubernetes, en referencia al griego timonel. Hoy día Red Hat es la segunda compañía del mundo que mayor contribución hace al ecosistema Kubernetes. OpenShift, el entorno más utilizado para orquestación y contenedores, acaba de estrenar la última actualización, la versión 4, con una operativa más simplificada y aligerada, y que contempla dentro de su hoja de ruta el proyecto de Container Native Virtualization en el que las máquinas virtuales se van a poder gestionar como si fueran contenedores.

El gobierno de los DevOps

Trend Micro es un fabricante de soluciones de ciberseguridad en capas que asegura que la clave es la integración de los productos y que deben trabajar juntos para compartir inteligencia de amenazas y ofrecer defensa conectada con visibilidad y control centralizado. «Con el desarrollo del cloud computing, la llegada de la virtualización, los contenedores y la distribución de las cargas de trabajo en un entorno híbrido, esta estrategia se hace vital para los devops que diseñan y desarrollan para entornos elásticos a gran escala y quieren una fuente de seguridad nativa fiable», nos explicaba en la misma feria Richard Werner, experto en seguridad en el ámbito de DevOps.

Y anade: «El despliegue continuo de contenedores de aplicaciones en entornos de producción requiere que se asegure todo el proceso continuo de compilación y envío. Como tal, la protección a través del canal CI/CD para entornos de contenedores debe incluir la capacidad de detectar vulnerabilidades, secretos, malware y configuraciones erróneas para una protección temprana en el momento del desarrollo, a la vez que se ofrece protección contra amenazas críticas a través de las capas del host cloud y on-premise, orquestación y contenedor en tiempo de ejecución de la infraestructura de hardware y software».

Así, Trend Micro lleva evolucionando su offering desde hace un par de años hacia este tipo de necesidad, creando una única solución que protege las cargas de trabajo en la nube y en los contenedores. Esto se ha conseguido gracias a las nuevas funciones añadidas a Trend Micro Deep Security para elevar la protección en todo el ciclo de vida de DevOps y la stack de tiempo de ejecución. Desde servidores virtuales y centros de datos hasta cargas de trabajo en nubes públicas y privadas, los contenedores se utilizan cada vez más y exigen protección. Las empresas punteras están reuniendo a sus equipos de desarrollo de aplicaciones, operaciones de TI y su equipo de seguridad para ayudar a la empresa a entregar al mercado aplicaciones automatizadas y seguras con mayor rapidez.

Las nuevas funciones disponibles en la solución de seguridad de contenedores de Trend Micro ahora incluye seguridad a lo largo de todo el ciclo de vida de DevOps. «Incluye el escaneo previo al registro, lo que proporciona una detección más temprana de vulnerabilidades y malware, además de escanear el registro de confianza en busca de amenazas futuras», explica Werner. «Deep Security ahora también buscará secretos embebidos, como contraseñas y claves privadas, y realizará comprobaciones de cumplimiento y validación de la configuración, junto con la afirmación de cumplimiento de la imagen para las imágenes firmadas digitalmente».

Esto garantiza seguridad a través de toda la stack. Para garantizar una protección completa, Trend Micro inspecciona todo el movimiento lateral y horizontal del tráfico (este, oeste, norte y sur) entre los contenedores y las capas de la plataforma, como Kubernetes y Docker. «Ahora pueden utilizar cualquier shell de comandos para ejecutar las interfaces de programas de aplicación (API). Esta opción adicional garantiza el control total de la implementación de políticas, la automatización de la supervisión, la generación de informes y mucho más. Este conjunto completamente nuevo de APIs de transferencia de estado representacional ha sido escrito para automatizar la seguridad de los equipos de operaciones y desarrollo de aplicaciones en todas las herramientas de orquestación de contenedores y entornos de tiempo de ejecución», concluye Werner.

Trend Micro conecta a los equipos con herramientas tecnológicas que garantizan la seguridad en el proceso al tiempo que satisfacen las necesidades de cumplimiento y reducen el riesgo. «A diferencia de muchas de las soluciones aisladas que abarrotan el mercado, nuestra oferta proporciona un escaneo automatizado de imágenes de contenedores en el tiempo de desarrollo y una amplia protección durante el tiempo de ejecución que ofrece una visibilidad y un control completos. Lo que es sorprendentemente único es nuestra herramienta consolidada para la seguridad de contenedores y cargas de trabajo en cada entorno», afirma José Campo, marcom de Trend Micro.

La eterna competencia entre licántropos y vampiros

Un estudio global sobre cultura DevOps revela la alarmante escasa comunicación interna entre los equipos de seguridad y de desarrollo, debido a la falta de adopción de rutinas colaborativas y una rivalidad mal conducida. Esta encuesta dada a conocer este verano y encargada por Trend Micro a Vanson Bourne, investigador independiente especializado en tendencias TI, concluye que, a pesar de los beneficios empresariales asegurados al introducir metodología DevOps, la mayoría de los 1.310 responsables de TI encuestados creen que la comunicación entre la seguridad TI y el desarrollo de software debe mejorar mucho para lograr el éxito.

Las organizaciones encuestadas en este informe, tanto grandes organizaciones como de pymes en todo el mundo, se encuentran en diversas etapas en la implementación de DevOps, ya sea en la integración de sus equipos, desarrollo de aplicaciones, operaciones de tecnología de la información y seguridad, para acortar y garantizar el ciclo de vida del desarrollo. Por lo que el resultado de sus opiniones inciden en todas las fases del ciclo de desarrollo, desde el diseño hasta la puesta en producción.

Y mientras que tres cuartos de los encuestados (74%) afirmaron que tales iniciativas se habían vuelto más importantes durante el último año, un porcentaje aún mayor argumentó que la comunicación dentro del departamento de TI necesitaba mejorar. Así, alrededor del 89% indicó que los equipos de desarrollo de software y seguridad TI necesitaban estar en contacto más estrecho, mientras que el 77% dijo lo mismo para los desarrolladores, la seguridad y las operaciones. Una tercera parte (34%) afirmó que estos silos están dificultando la creación de una cultura DevOps plena en la organización.

Los encuestados indicaron que las mejores maneras de impulsar este cambio cultural son las basadas en: fomentar una mayor integración entre los equipos (61%); establecer objetivos comunes (58%); y compartir experiencias de aprendizaje entre los equipos (50%). Sin embargo, más del 78% de los responsables de la toma de decisiones de TI indicó que es necesario mejorar en estas áreas.

Solo un tercio (33%) de los participantes en el estudio manifestó que DevOps es una responsabilidad compartida entre la parte de desarrollo de software y la de operaciones de TI, lo que es otro indicador de la ruptura actual que existe en la comunicación entre los equipos. Parece que cada departamento siente la responsabilidad o la propiedad de liderar estos proyectos por sí mismos.

Se cree que parte del desafío es que, a pesar del entusiasmo por DevOps -que ha visto que el 81% de las organizaciones ya ha implementado o trabajan actualmente en proyectos-, casi la mitad de los encuestados (46%) solo han desarrollado parcialmente su estrategia DevOps. Los líderes de TI encuestados confirman que mejorar la seguridad TI es una prioridad (46%) en DevOps más que cualquier otro factor.

El informe concluye con este vaticinio: «La historia del desarrollo de software muestra que las mayores y más importantes mejoras de procesos nunca ocurren rápidamente debido a la variable más valiosa, las personas, que tienen patrones de comportamiento y componentes culturales existentes. Las organizaciones que implementan una estructura DevOps avanzan con paso firme hacia una dirección, pero la seguridad no puede ser olvidada durante esta transición. Independientemente de dónde se encuentre una organización en su camino, existen nuevas herramientas que fomentan y garantizan la seguridad en el proceso de desarrollo, a la vez que automatizan el despliegue rápido de seguridad, reducen al mismo tiempo el riesgo y garantizan el cumplimiento normativo”.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: