No todo es oro en el deslumbrante mundo del multicloud
TPB289, abr19. Con una extensa hoja de servicio en Amazon Web Services, a donde llegó en 2011 procedente del mundo CPD (centro proveedor de datos), Carlos Sanchiz lo tiene claro: “Aún está todo por hacer en la nube, apenas si hemos rascado la superficie”. Una llamada a rebato a los CSP (cloud service provider ), la nueva especie del canal llamada a liderar la transformación digital de las empresas.
La nube pública de Amazon, que cumple quince años en servicio, siempre ha apostado por un estándar alto de seguridad por defecto. Moverse en escalas planetarias permite además ofertar un modelo por capas bastante asumible en precio. Su extenso catálogo suma hasta 175 productos específicos solo en seguridad. Sin embargo, hay un cierto riesgo para aquellas compañías que apuestan por la diversificación y mueven cargas en distintas nubes: diversificar significa dispersar, y eso hablando de seguridad es añadir un riesgo extra.
“Tenemos un mensaje que decir a los clientes multicloud. Que tengan cuidado, porque hay impactos de los que no somos conscientes. Un volumen diversificado en diferentes clouds, lo primero limitas la capacidad de negociación y acceder a mayores descuentos por volumen. Después, estos stacks son diferentes en número de funcionalidades, servicios, profundidad dentro de cada uno… al final limitas a los equipos a manejar el mínimo común denominador”, advierte Carlos Sanchiz, manager de Arquitectura de Soluciones de AWS Spain, con el que mantuvimos esta entrevista días antes de su AWS Summit del martes 7 en Ifema. “De la misma manera, hay que tener en cuenta el ritmo de innovación, pues es muy diferente, y en una estrategia a largo plazo no es solo la foto de hoy, sino la que vas a sacar dentro de cinco o seis años, y sobre todo si vas a tener que asumir el coste de una migración. Además, entrenar a tus equipos en tres clouds es un sobre esfuerzo en tiempo que no dedicas a otras cosas”.
Seguridad y conformidad son dos prioridades y vuestra plataforma ofrece decenas de servicios y funcionalidades en torno a ello, ¿pero están pensadas solo para las grandes empresas y corporaciones bancarias o de salud?
Somos un cloud global y público, cualquier empresa se puede beneficiar de todas nuestras inversiones en seguridad. Antes solo las grandes corporaciones se podían permitir estándares de seguridad y encriptación tan elevados. Nosotros no hacemos distingos, tenemos que estar preparados para ofrecer por lo menos lo mismo que tendría un banco, y de eso también se beneficia incluso la pyme más pequeña. Contamos además con una enorme infraestructura rodeada de APIs que está pensada fundamentalmente para automatizar las acciones. A lo que se suma un completo ecosistema de partners, consultores e ISV que ayudan a su implantación.
Sobre vuestra política de canal en expansión, ¿en AWS dominan los ISV, que son los utilizados para proponer herramientas tuneadas para infraestructuras, identidades, loggings o análisis, o las consultoras más enfocadas a temas de ingeniería, gobernancia y automatización?
Estamos buscando en el mercado de ISV de siempre gente que construyan sobre su herramienta CRM o de backup estándar una versión para pyme en la nube y lo hagan sobre AWS. Nuestro modelo es actualmente híbrido, tanto estamos en búsqueda de oportunidades como de recibiendo peticiones constantemente. Ahora hemos tomado una posición más activa yendo al mercado y acercarnos de la mano de nuestros ISV, lo vamos a seguir haciendo todo el año. Muchos no saben aún qué es AWS ni tienen la capacidad de llegar a un partner tecnológico, son empresas de dos o tres personas que tienen un disco duro y creen que están haciendo un backup sólido… cuando se acuerdan. Puede que España no sea tanto de siglas y si fuera solo Amazon tendríamos más nombre.
Respecto a la política de canal, con ISV y con hosters debemos encontrar la manera de colaboración para poner en sus CPD los puntos de presencia (colocation) para poder dar servicios gestionados como DNS Rack46, AWS Shield o CDN CloudFront. Estamos construyendo puntos de presencia Direct Connect para acelerar la incorporación de conexiones directas desde una empresa al backbone de AWS; en Madrid ya tenemos dos, uno en Equinix y otro en Terremark. Tenemos también un equipo de campo (preventas, account managers, soporte, engadgement) dedicado al canal para conseguir capilaridad, nuestros partners en España (Capside, LinkeIT, Beeva…) participan de una red dedicada llamada APN donde los clientes ven a los integradores y sus competencias (la gente que tienen certificada, los casos de uso realizados) para valorar quién les puede ayudar en sus migraciones y cargas, en los proyectos de seguridad, SAP, HPC o big data.
¿Va a ser la gestión de la seguridad el driver del futuro?
El pastel es muy grande, y estamos plenamente convencidos en la visión de que la mayoría de las cargas de trabajo estarán en la nube. En cuanto a seguridad, ¿qué señales observamos en el mercado? En la amplitud del tiempo, muy pocas compañías van a poder justificar la carga en precio de un datacenter propio, salvo por motivos regulatorios. El coste de la factura de la seguridad, en la inmensa mayoría, es súper bajo o incluso despreciable (en comparación con las tradicionales políticas de licenciamiento). Solo hay que comparar cómo es de caro tenerlo en AWS o tenerlo en tu centro de datos. Gracias a su escala masiva, los precios unitarios son muy bajos. AWS defiende un modelo de mucho volumen y poco margen. En todo este tiempo y a base de innovación, ha logrado reducir en más de 70 ocasiones los precios. La inmensa mayoría ni siquiera traspasa los puntos de presencia, son gratuitos y no añaden coste al servicio.
La diferencia entre ir solo o acompañado no es solo la de llegar antes o llegar más lejos. Muchas de las soluciones que aporta AWS están respaldadas por un equipo dedicado, aunque están encantados de que este papel lo asuma con mayor presencia sus socios de canal. ¿Cuáles son las más demandadas actualmente en España?
Por ejemplo, AWS Shield tiene una versión avanzada con un coste superior pero porque hay un equipo de especialistas dedicado pendiente de tu negocio. CloudFront amplia la superficie para que no te puedan tirar tu web aunque se caiga un servidor. Respecto a las políticas de backup, cada uno tiene la libertad de hacérselo en función de sus necesidades. AWS garantiza que el dato es siempre del cliente y nosotros no lo movemos a no ser que él nos lo pida. Los servicios de seguridad más demandados, a nivel local, quizás sean Amazon GuardDuty para la detección y monitorización de amenazas, AWS Shields con protección DDoS e Identity and Access Management para el control de usuarios, grupos y permisos. Pero lo que más ha tirado del consumo ha sido la entrada en vigor del RGPD, que ha desbloqueado muchas conversaciones y se ha convertido en un elemento habilitador para pasar al cloud, porque se percibe al cloud mucho más seguro. El enorme tejido de pequeñas empresas que hay en España crea una necesidad imperiosa, ya que no saben o no pueden gestionar por sí mismos la seguridad de su entorno como lo hacen las grandes compañías o incluso las startups que son más tecnológicas. Por eso, deberán apoyarse o bien a través de sus partners de confianza o bien ISVs que construyen soluciones basadas en SaaS sobre AWS de fácil adopción. Según una prospección que hemos hecho, muchas pymes no conocen a AWS como tal, a pesar de que a diario usen Netflix, Spotify o Dropbox que son servicios que se sostienen o han sostenido nuestros servidores.
De todas maneras, aunque se apele a la figura del integrador, la experiencia de usuario que fomenta AWS hace que sea en la mayoría de los casos sea fácilmente despachado como autoservicio. ¿Hay mucha diferencia con el pasado?
Sin duda, el cloud es más seguro que cualquier entorno de seguridad tradicional. En la consola S3 de AWS, por defecto está todo denegado y es muy difícil hacer público sus contenidos o dar acceso a quien no corresponda. Hace 20 años empecé precisamente en un data center, lo mejor del momento, y el principal problema entonces en ese entorno era que no había visibilidad; si pedía un inventario, irremisiblemente me traían un listado del hardware, eso no me servía de nada. También había una carencia absoluta de automatización, había que invertir en herramientas de terceros, que fueran compatibles con los sistemas y además saber manejarlas. 20 años después esos entornos prácticamente siguen con ese aire viejuno. A ello se suma la acción negativa sistemática de los equipos de seguridad de las empresas y al final cualquier iniciativa de negocio debe pasar la aprobación de un board por lo mucho que te juegas en reputación y tantas reuniones al final retrasan los lanzamientos.
AWS propone un modelo de responsabilidad compartida y separación de roles. La gestión y las decisiones residen en los administradores, como en el modelo tradicional on-premise que se tiene que ocupar uno de todo de principio a fin. Pero la diferencia con el modelo de AWS las partes físicas de las infraestructuras (plataforma, redes, máquinas…) están separadas en capas de los servicios gestionados, y cada uno puede crear sus propias reglas de control automatizado. AWS quiere tener oferta suficiente para poder elegir y que no haya una prescripción fija ni obligar a utilizar un set específico. Cada cliente suele tener contratados cinco, diez, quince servicios diferentes que encajen en su modelo de uso y lo que más valoran es que sean rápidos de cambiar.
Lo que además sí puede hacer AWS con diferencia es seguir el ritmo de la innovación y estar siempre al día, de manera rápida y continua. El año pasado se sacaron 1.957 funcionalidades nuevas, que año a año se van sumando (por ejemplo, en 2009 se introdujeron solo 49, y diez años después ya eran 516); eso son más de cinco al día, incluidos fines de semana. Y ese ritmo se ha ido acelerando año a año, igual estamos ahora en seis al día o más. No todas las compañías se lo pueden permitir, y además la mayoría están orientadas al campo de la seguridad. La NASA podría tener su propia seguridad, le sobran ingenieros si quisiera, pero ha entendido que no es su foco y prefiere su cluster en AWS y dedicarse a pensar en cómo volver a mandar un hombre al espacio.
El continuous delivery y el time-to-market son dos elementos fundamentales de los equipos devops que en AWS tienen un tamaño establecido: el justo que dé de comer una pizza familiar. A partir de ahí la agilidad de respuesta y el uso de un stack a la vanguardia pone el resto. Estos equipos están deslocalizados por todo el mundo y trabajan en todo tipo de desarrollos.
Hemos construido un montón de servicios por encima que el cliente puede usar, es cuestión de tiempo que algo falle, los clientes deben poner sus políticas de recuperación de desastres antes de que ocurran y no después. La plataforma S3 incluso en su modalidad estándar tiene once nueves de durabilidad (99,999999999%) esto es igual a que de 10.000 objetos puedes perder uno cada millón de años. Otro dato es que usan la NoSQL DynamoDB que crea una capa de almacenamiento capaz de superar BlackFridays y BlueMondays. Amazon.com es un cliente nuestro muy grande, nos plantea retos a escala muy interesantes y consume una infraestructura brutal pero se libera de ese coste y cuando tiene previsto un pico adicional de compras solo tiene que ampliar por ese tiempo. ¡Y no es el cliente más grande que tenemos! Solo Netflix acapara el 30% de todo el tráfico de la tarde en EEUU. Estamos acostumbrados a jugar en esta escala, es una liga diferente.
De igual manera, la distribución en regiones a lo largo del mundo beneficia nuestra robustez. Cuando construimos una zona, siempre prima el concepto de alta disponibilidad. Así, en cada punto de acceso, hay por lo menos otros tres que hacen de respaldo, y cada dato se copia automáticamente en cada uno o en alguno de ellos. Hay 20 regiones en el mundo, en Europa la primera fue Dublín, pero le han seguido Fráncfort, París, Londres y Estocolmo. Antes de 2020 arrancará Milán, y aunque seguimos mirando territorios y analizando, no hay planes para España aún. Lo que sí es cierto es que por temas de latencia, se están pasando algunas compañías de Irlanda al continente, sobre todo las más exigentes en entrega de contenidos susceptible de ser cacheado como las de videojuegos online, las proveedoras de series de televisión o las de marketing digital que pujan por los anuncios y tienen que estar muy cerca del exchanger. Más de 100 milisegundos en el tiempo de respuesta es inaceptable incluso en los etailers con sus catálogos estáticos, y la diferencia de estar en uno u otro punto puede ser de 40 msg en Dublín, 30 msg en Fráncfort o 20 msg en París. Otros por sus características o por ser tráfico dinámico necesitan la capa de computación más cercana, por eso nuestras inversiones se han encaminado a expandir las regiones.
¿Pero no se merece España una región específica? ¿Cómo son nuestras empresas en comparación a Europa?
España es una potencia digital respecto a la media europea, y así se ve en el consumo en cloud. Las empresas españolas no quieren ser meros espectadores sino activos en la transformación digital, y lo vemos en ejemplos como los de Mapfre, compañía del ramo de los seguros, que tiene ahora una política de cloud-first, y lo aplica cada vez que el hardware llega a su fin de ciclo, por lo que al ir por proyecto, tienen una nube híbrido. Otro caso es el de Security Direct, en la rama instaladora de alarmas, que gestiona todo el proyecto de webcams y videovigilancia en AWS, y va a añadir proyectos IoT. Pero Open Bank es más radical y está efectuando la transición de todos sus sistemas a la nube, incluso el core bancario donde ocurren las transacciones financieras, lo tienen muy claro dentro del banco y todos reman hacia ello, superando los obstáculos y dificultades que se van encontrando. A estos casos de uso se suman cientos de startups en Madrid, Barcelona o Lisboa a menudo disruptoras, en entornos gamers o marketing digital que mañana van a ser grandes corporaciones y consumen mucha tecnología, equipos de ventas, soporte, científicos de datos… Muchas están ya con la vista puesta en el AWS Summit del 7 de mayo en Ifema.
Los cinco ejes de la seguridad
A diferencia de sus competidores con G Suite o con Office 365, AWS no dispone de una aplicación ofimática conocida que le dé esa cobertura añadida, aunque eso no quiere decir que no tengan una oferta de aplicaciones de negocio. Por ejemplo, para el servicio de correo tienen Workmail, para la colaboración y almacenamiento de ficheros tienen Workdocs y para escritorios virtuales a Workspaces, que con un equipo muy básico tipo chromebook se puede hacer rendering en la nube. Y siguen construyendo herramientas, como Quicksights para compartir gráficas y realizar analíticas. Hay toda una oportunidad de negocio en el estilo Amazon de pago por uso. Respecto a las soluciones de seguridad, están organizadas en diversas áreas, y dentro de cada una, en innovadores servicios y productos específicos, así hasta 165:
- Gestión de identidad y accesos. Hay una batería de servicio solo para controlar quién tiene acceso de manera muy granular: que solo esa persona puede lanzar máquinas virtuales desde la IP de la empresa y en un rango de horario laboral. También un gestor de secretos, un almacén de contraseñas y credenciales sin tener que almacenarlos en el core. O Cognito, que permite gestionar distintas cuentas
- Control de auditorías. Un servicio de detective forense como GuardDuty basado en algoritmos de machine learning para gestionar logs y ver si hay una máquina está sufriendo ataque de denegación de servicio o mirado bitcoins. Con CloudTrail se ve toda la información existente de IP que hayan hecho algo malo contra AWS para pararle o al menos que se mande una notificación.
- Protección de infraestructuras. VPC (Virtual Private Cloud) permite una configuración personal para control de enrutamientos, etc. El escudo AWS Shield está pensado contra ataques DDoS. Tenemos más de 160 puntos de presencia en todo el mundo para que no entre ese tráfico en el backbone de AWS. Con Inspector se instala de manera muy sencilla agentes en base a plantillas autocompletadas.
- Protección de datos. KMS (Key Management Servicie) sirve para crear llaves para encriptar, modificar, rotar y auditar. Mientras que CloudHSM es un hardware dedicado para almacenar claves sin compartir. También hay un gestor de certificados SSL/TLS (encima gratuito) contra el denominado ‘man-in-the-middle’.
- Respuesta a incidentes. ConfigRuler da respuestas automatizadas, pero es Lambda la estrella, un servicio revolucionario dentro del movimiento serverless (“nosotros nos ocupamos de las infraestructuras y el cliente de su software”) y que es compatible con los principales lenguajes Java, JavaScript, Python, Go, JSON e incluso tu propio motor de ejecución.
