Forem: Sheyla Leacock

Observabilidad en la Nube de AWS: Explorando CloudWatch, X-Ray y CloudTrail

Sheyla Leacock — Fri, 08 Mar 2024 04:53:31 +0000

Recientemente, tuve la oportunidad de presentar una charla sobre observabilidad de aplicaciones en la nube, centrándome específicamente en herramientas nativas de AWS como Amazon CloudWatch, AWS X-Ray y AWS CloudTrail. En este artículo, te comparto cómo estas herramientas ofrecen una visión profunda y completa del rendimiento y la salud de nuestras aplicaciones en la nube.

Qué es la observabilidad en el contexto de la nube?

La observabilidad en la nube se refiere a la capacidad de comprender y supervisar el comportamiento de las aplicaciones y sistemas. Implica recopilar datos y métricas significativas de diversos recursos en tiempo real. Estos datos pueden incluir información sobre la utilización de los recursos, el rendimiento de la red, los errores en las aplicaciones y otros aspectos críticos del sistema.

Los tres pilares principales de la observabilidad son:

Métricas: Datos cuantificables que representan el rendimiento y el funcionamiento del sistema.
Trazas: Información detallada sobre cómo fluye una solicitud a través de varios componentes del sistema.
Registros (Logs): Registro de eventos y actividades que ocurren en el sistema.

Algunas de las herramientas clave utilizadas para lograr la observabilidad en la nube de Amazon Web Services (AWS), incluyen CloudWatch, CloudTrail y X-Ray. Estas herramientas ofrecen capacidades de monitoreo, registro y seguimiento que permiten a los equipos entender el comportamiento de las aplicaciones, diagnosticar problemas, establecer alarmas y mejorar continuamente el rendimiento.

CloudWatch: Monitoreo y optimización de recursos

Comencemos nuestra exploración con CloudWatch, un servicio
fundamental que proporciona visibilidad completa de los recursos y aplicaciones en la nube.
Con CloudWatch, podemos recopilar métricas y registros de nuestros recursos, lo que nos permite analizar y monitorear constantemente el estado de nuestras aplicaciones.

CloudWatch también facilita la creación de paneles de control personalizados para monitorizar continuamente el estado de nuestras aplicaciones e infraestructuras.
De esta forma puedes personalizar fácilmente las métricas e información clave mediante la creación de widgets en el panel de control. Por ejemplo, podrías optar por visualizar la información mediante un tipo de gráfico específico y elegir la fuente de datos, ya sea una métrica que hayas creado previamente o información de logs generados por una función Lambda.

Esto nos permitirá construir dashboards informativos y visuales, utilizando una diversidad de gráficos para representar datos sobre la aplicación.

Imagen: Cloudwatch Dashboard

Además, CloudWatch ofrece la capacidad de configurar alarmas para automatizar respuestas a cambios operativos y establecer alertas para ciertos umbrales.
Por ejemplo, podemos configurar una alarma para escalar automáticamente las instancias EC2 si la carga de la CPU alcanza niveles críticos. Otro ejemplo, sería configurar una alarma para cuando una Lambda empiece a responder más de 50 solicitudes por segundo durante un minuto consecutivo, de manera que recibas una notificación cuando se alcance este límite.

Imagen: Cloudwatch Alarms

Otra característica valiosa de CloudWatch es Live Tail, que consiste un visor que permite monitorear en tiempo real los logs generados por tus aplicaciones. Esto facilita la detección y solución de problemas de manera más eficiente.

Imagen: Cloudwatch Logs Live Tail

Tampoco podemos dejar de mencionar la capacidad de realizar consultas con CloudWatch Logs Insights. Esto nos permite ejecutar consultas (querys) sobre los registros y filtrar eventos específicos para un análisis más detallado.

Imagen: Cloudwatch Logs Insights

También podemos sumar Amazon EventBridge, anteriormente conocido como CloudWatch Events, que emerge como una solución poderosa para orquestar eventos y automatizar respuestas. Con Eventbridge, puedes crear reglas personalizadas para reaccionar a eventos específicos y ejecutar acciones, como alertas o modificaciones en la configuración de tu aplicación. Por ejemplo, puedes integrar EventBridge con CloudWatch logs y configurar reglas para enviar notificaciones por correo electrónico o ejecutar funciones Lambda en respuesta ante ciertos eventos, como la detección de vulnerabilidades de seguridad.

Imagen: Amazon Eventbridge Rules

Todas estas características son esenciales para lograr una eficiencia operativa mediante la automatización y la optimización de recursos, identificando posibles cuellos de botellas y asegurando un rendimiento óptimo de nuestras aplicaciones.

X-Ray: Análisis de aplicaciones modernas

Con AWS X-Ray, podemos ampliar aún más nuestras capacidades de observabilidad. X-Ray se encuentra integrada dentro de Amazon Cloudwatch y está diseñada para analizar aplicaciones modernas, especialmente aquellas basadas en microservicios. X-Ray proporciona un mapa de servicio para visualizar y entender cómo interactúan los componentes de una aplicación. Puedes analizar rastros de solicitudes, identificar cuellos de botella y optimizar el rendimiento general.

Con la capacidad de recopilar trazas y crear mapas de servicios, X-Ray ofrece una visión completa de cómo nuestra aplicación está conectada con otros servicios y componentes. Esto es invaluable para comprender la topología de nuestra aplicación y facilita la resolución de problemas al proporcionar una visión clara de la causa raíz.

Imagen: X-Ray Trace Map

CloudTrail: Visibilidad y Seguridad

Ahora, centrémonos en CloudTrail. Este servicio proporciona registros detallados de las acciones realizadas en las cuentas de AWS. Aunque CloudTrail no se considera propiamente una herramienta de observabilidad, es esencial para la seguridad y auditoría, permitiéndote rastrear cambios, identificar posibles problemas y mantener un historial detallado de las actividades.

Imagen: CloudTrail Event history

La integración de CloudTrail con CloudWatch Logs amplía sus capacidades, permitiendo consultas y análisis más avanzados de los datos recopilados. Además, CloudTrail nos ofrece una visión centralizada de lo que está sucediendo en nuestras cuentas, ayudando a identificar actividades inusuales y mejorar la seguridad operativa.

Imagen: CloudTrail Create trail

Conclusiones

En resumen, estas herramientas de observabilidad en AWS ofrecen una combinación poderosa para monitorear nuestras aplicaciones. Desde la visualización de métricas, hasta la identificación de problemas y la respuesta automática a cambios operativos, CloudWatch, X-Ray y CloudTrail son aliados esenciales en la gestión efectiva de aplicaciones en la nube.

Te comparto el video de la charla de observabilidad que compartí para el grupo de estudio de NexaScale de Nigeria, como parte del AWS Expedition challenge, donde exploré de forma práctica cada una de estas herramientas, destacando cómo se pueden aprovechar al máximo para mejorar la operatividad y seguridad de nuestras aplicaciones en la nube. PD: La sesión está en inglés.

Estrategia de seguridad en la nube de AWS, ¿Por dónde empezar?

Sheyla Leacock — Tue, 13 Jun 2023 03:27:21 +0000

En este artículo te cuento un poco sobre las estrategias y buenas prácticas de seguridad que podemos aplicar para proteger nuestras infraestructuras de nube, tomando de referencia la nube de AWS.

¿A qué nos referimos cuando hablamos de seguridad en la nube?

Cuando hablamos de seguridad en la nube, es fundamental recordar las bases de seguridad que venimos aplicando en los entornos de premisas (On premises) y trasladarlos a un ecosistema diferente, en este caso, a la nube. Esto se refiere a que debemos asegurar la disponibilidad, integridad y confidencialidad de los datos, aplicando también un esquema de gobernanza y cumplimiento de seguridad, gestión de identidades, planificación de la continuidad del negocio y recuperación ante desastres.
Al utilizar la nube, también es importante tener en cuenta los aspectos de cumplimiento ante regulaciones internas y externas que nos apliquen.

¿A qué desafíos de seguridad nos enfrentamos en un entorno de nube?

Cada día nos encontramos con nuevos desafíos en cuanto a seguridad en la nube se refiere. Desde nuevas amenazas que buscan aprovechar y explotar cualquier vulnerabilidad identificada, hasta aquellos relacionados con una inadecuada configuración de los recursos en nube o una gestión de accesos ineficiente, lo cual puede dejar nuestros recursos vulnerables a posibles riesgos de seguridad.

Como ejemplos podemos mencionar el caso de ElasticSearch, donde los ciberdelincuentes se aprovecharon de la infraestructura desplegada para almacenar un malware de punto de venta (PoS) y distribuirlo a sus víctimas, y el caso de Azure y Amazon, donde se utilizaron estas nubes públicas para almacenar un troyano de acceso remoto utilizado en una campaña de robo de información.

Según un estudio realizado por ISC² y Cybersecurity Insiders bajo el reporte Cloud Security Report 2023, las organizaciones encuestadas indicaron que sus más grandes desafíos en temas de seguridad son:

La falta de personal calificado
Lograr el cumplimiento de seguridad en sus entornos
Establecer políticas de seguridad y mantener visibilidad de su entorno
No poder identificar rápidamente las configuraciones de seguridad incorrectas de sus recursos
Automatizar y forzar la seguridad entre múltiples nubes.

Fuente: ISC2 Cloud Security Report 2023

¿Cómo podemos abordar estos desafíos de seguridad en un entorno de nube?

Para abordar estos desafíos, necesitamos implementar medidas de seguridad sólidas, como el cifrado de datos, la autenticación de usuarios, la gestión de identidades y accesos, así como el monitoreo continuo de la actividad de la nube, pero antes de empezar a detallar estos aspectos, es importante hablar del modelo de responsabilidad compartida.

Como bien se conoce, la nube brinda diversos modelos o tipos de servicios como PaaS, IaaS, SaaS, entre otros, con el objetivo de brindar flexibilidad a sus clientes al momento de elegir la solución que más se adapte a sus necesidades.

Fuente: Tipos de servicios de nube

Teniendo esto en cuenta, debemos recordar que según el modelo de servicio que utilicemos, nosotros como clientes, seguiremos manteniendo parte de la responsabilidad de asegurar nuestros recursos.
En ocasiones, podríamos llegar a pensar que al migrar nuestros recursos a una nube pública, el proveedor de dicha nube será el responsable de todos los aspectos de seguridad de estos recursos, sin embargo, esto no es del todo cierto.
El "Modelo de responsabilidad compartida de AWS" nos aclara que nosotros como clientes seremos responsables de la seguridad "en" la nube, es decir, que según el modelo de servicio que estemos utilizando, deberemos asegurar aspectos de administración y configuración de seguridad de las aplicaciones, parchado de servidores o base de datos, gestión de accesos, cifrado de datos almacenados y en tránsito, entre otros, mientras que el proveedor de nube, será responsable de la seguridad "de" la nube, es decir, de proteger la infraestructura como el hardware, software e instalaciones en donde se ejecutan los servicios provistos.

Fuente: Modelo de responsabilidad Compartida de AWS

¿Cómo podemos empezar una estrategia de seguridad en la nube?

Una estrategia de seguridad en la nube puede basarse en cuatro pilares: evitar, detectar, responder y solucionar. Estos pilares brindan una guía para implementar una estrategia de aseguramiento de la nube mediante la incorporación de medidas de seguridad robustas y eficaces. Veamos cómo pueden aplicarse estos pilares.

1. Evitar: Consiste en implementar medidas que se centren en prevenir amenazas y vulnerabilidades antes de que ocurran, por ejemplo, implementando controles de acceso apropiados mediante servicios como AWS IAM, utilizando la autenticación multifactor como capa adicional de seguridad, aplicar controles de cifrado y configurar los recursos de manera segura.

2. Detectar: Una estrategia de detección se enfoca en identificar rápidamente cualquier actividad sospechosa o brecha de seguridad. AWS ofrece varios servicios de monitoreo y registro, como AWS CloudTrail y Amazon GuardDuty, que le permiten rastrear y analizar eventos en tiempo real y detectar comportamientos inusuales o intentos de acceso no autorizado. De igual manera, AWS Config permite evaluar continuamente la configuración de los recursos desplegados. La implementación de un sistema de detección de intrusos y la configuración de alertas de seguridad también son importantes para recibir una notificación inmediata cuando se detecta alguna actividad sospechosa.
3. Responder: Una estrategia de respuesta significa establecer un plan claro y efectivo para responder ante alguna brecha o incidente de seguridad. Además, deben existir procedimientos de respuesta bien definidos y actualizados, incluida la comunicación con las partes interesadas, la recopilación de pruebas y las acciones correctivas. AWS proporciona herramientas y servicios para facilitar la gestión y respuesta a incidentes, como AWS Systems Manager Incident Manager y un soporte premium mediante AWS Incident Detection and Response, que pueden ayudar a administrar y automatizar las tareas de respuesta.
4. Solucionar: Una estrategia de solución se enfoca en la corrección de vulnerabilidades identificadas y la prevención de futuros incidentes de seguridad. Esto incluye realizar extensas investigaciones para comprender la causa raíz de los incidentes registrados y aplicar las correcciones o medidas de seguridad necesarias a nivel de recursos y procesos para evitar que se vuelva a materializar un incidente similar. Además, se deben realizar exploraciones y evaluaciones de seguridad periódicas para identificar posibles mejoras de seguridad y garantizar que se implementen las mejores prácticas. AWS ofrece servicios como Amazon Inspector y AWS Trusted Advisor para ayudar en el proceso de identificación y corrección de vulnerabilidades.

Y para finalizar, recuerda aplicar siempre un esquema de Defensa en profundidad, junto con un modelo de confianza cero (Zero Trust) para garantizar la seguridad de tu entorno en nube.

Si te gustaría explorar un poco más sobre estos temas, te comparto una de las charlas que presenté en el BSides Panamá en 2022, donde abordé algunos aspectos principales de la seguridad en la nube: Bsides 2022 | Detectando entornos vulnerables en la nube | Sheyla Leacock

Te comparto también un podcast en donde conversé con Marcia Villalba y Guillermo Ruiz sobre ciberseguridad en la nube para el podcast de Charlas Técnicas de AWS:
Youtube: 🇪🇸#4.06 - Ciberseguridad (Charlas Técnicas de AWS)

Spotify: 🇪🇸#4.06 - Ciberseguridad (Charlas Técnicas de AWS)

Conecta conmigo:
Encuentra mis redes sociales, sitios web, cursos y otros en:
Linktr.ee sheyla_lck

AWS Community Builder: ¿Qué es? y ¿Cómo puedes formar parte?

Sheyla Leacock — Sun, 27 Nov 2022 03:05:33 +0000

Seguramente en alguna ocasión has escuchado mencionar el programa AWS Community Builders, pero sabes ¿qué es y en que consiste?. Te comparto un poco de este programa desde mi experiencia.

"El programa AWS Community Builders ofrece recursos técnicos, educación y oportunidades de creación de redes para los entusiastas técnicos de AWS y los líderes intelectuales emergentes apasionados por compartir conocimientos y conectarse con la comunidad técnica."

¿Cómo es el proceso de convocatoria y selección?

El periodo de convocatorias para aquellos interesados en formar parte del programa se realiza dos veces al año.
Debes aplicar mediante un formulario en el cual te solicitan información sobre tu interés en formar parte del programa, tu experiencia con la nube de AWS y tus aportes hacia la comunidad. Al ser un programa que potencia la creación de comunidad, los aportes que hayas realizado ya sea escribiendo artículos técnicos, dando charlas, entre otros, pueden ser un punto fundamental a considerar durante el proceso de selección. ¡Ojo! Los aportes que hayas realizado no tienen que ser relacionados a AWS o a la nube, pueden ser temas de tecnología u otros, la idea es que puedas compartir algunas referencias a los contenidos que has creado como aporte a las comunidades. En tu aplicación deberás seleccionar algunas de las categorías en las que te interesaría formar parte. Estas se tomarán en cuenta para asociarte a una de ellas como categoría principal. Los expertos de AWS de cada categoría que elijas revisarán tu aplicación y si no eres seleccionado en la categoría que elegiste como principal, aún tendrás oportunidad de ser considerado en alguna de las categorías que seleccionaste. Estas categorías son más como una forma de asociar tus intereses de aprendizaje y experiencias, sin embargo, una vez que estés dentro del programa, tendrás acceso a las opciones de aprendizaje de todas las categorías y podrás compartir contenido en otras categorías libremente.
Algunas de las categorías que se mantienen actualmente son las siguientes:

datos (Base de datos, análisis y BI)
seguridad e identidad (a la cual pertenezco)
contenedores
herramientas para desarrolladores
operación en nube
game tech
machine learning
serverless
almacenamiento
y otras más.

Luego del periodo de aplicación, sigue el proceso de revisión de propuestas y selección de los Community Builders a ingresar en cada edición donde un equipo de expertos de AWS hace una revisión detallada de cada aplicación y comunica a los seleccionados. Las ediciones son anuales por lo que serás seleccionado para ser parte del programa durante un año, aunque tendrás la opción de renovar tu aplicación (más adelante te doy más detalle de este punto).

¿Qué sucede luego de ser aceptado en el programa?

Una vez eres aceptado,deberás aceptar un código de conducta y un acuerdo de confidencialidad (NDA) ya que tendrás acceso a cierta información exclusiva para los Community Builders.
Luego de esto recibirás toda la información necesaria del programa como los líderes de la categoría asignada, todos los beneficios y la información para participar de la sesión de Bienvenida al programa. ¡A celebrar!

¿Que beneficios obtengo como Community Builder?

Este programa ofrece un gran número de beneficios que te comparto a continuación:

Sesiones de aprendizaje frecuentes de la mano de expertos de AWS.
Créditos promocionales de AWS para que puedas poner en práctica todo lo que vayas aprendiendo y lo que quieras compartir con la comunidad.
Oportunidades de networking con otros entusiastas y expertos en la nube de AWS.
Kit de recursos gráficos que puedes utilizar en tus redes sociales y cuando compartas contenido.
Espacio colaborativo en slack para conocer, interactuar y generar diversas oportunidades con otros profesionales.
El Swag Welcome Kit...Un Kit de bienvenida al programa que trae unos artículos super cool. Te muestro los que me llegaron en esta edición 2022:

PD: También grabé un video unboxing de este welcome kit. Te invito a verlo en este enlace: Unboxing AWS Community Builders Swag Welcome Kit

Conocer de primera mano información de nuevos servicios o funcionalidades antes de que sean lanzadas oficialmente los clientes, así como la oportunidad de poder probarlas y brindar tu feedback ;).
Voucher para cubrir el 100% de un examen de certificación de AWS de tu elección.
Suscripción anual de e-learning en Cloud Academy para aprender sobre la nube con cursos, laboratorios y entornos de práctica.
La oportunidad de obtener otros premios buenísimos por tus aportes a la comunidad y avances de aprendizaje :D
La oportunidad de renovar tu aplicación como Community Builder para ser elegido por un año más y así sucesivamente para seguir formando parte del programa. Así mismo, se renueva tu Kit de bienvenida (con artículos diferentes a los que has recibido en años anteriores), tu suscripción de Cloud Academy y tus Vouchers de certificación así como todos los otros beneficios ;D.

Recuerda que si te interesa formar parte del programa puedes agregarte a la lista de espera para que recibas una notificación cuando abra la nueva edición del programa.

Puedes conectar conmigo en:
Linkedin: https://www.linkedin.com/in/sheyla-leacock/
Twitter: https://x.com/TechWithSheyla
Youtube: https://www.youtube.com/@TechWithSheyla