Windows Azure: Comprensión de la administración de cuenta de seguridad en Windows Azure

La informática en nube alivia parte de la carga de la seguridad, pero aún debe mantener un rol activo en la administración de acceso, la seguridad de las comunicaciones y la confirmación de la protección de datos.

Joshua Hoffman

La informática en nube es lo más cercano a un cambio significativo de paradigma que ha visto la industria de la TI desde Internet. La banda ancha de mayor velocidad, la reducción del costo de almacenamiento y una tecnología de virtualización más robusta hicieron realidad la visión de software como servicio. La nube proporciona sistemas escalables, elásticos y de pago en base al uso que satisface las demandas de la generación de “hacer más con menos".

Si bien la informática en nube reduce significativamente la responsabilidad de la administración de infraestructura, la seguridad sigue siendo una preocupación crítica. La seguridad sigue exigiendo el mismo grado de reflexión y atención que un centro de datos físico. A medida que las aplicaciones y los servicios migran a plataformas de informática en nube como Windows Azure, debe continuar jugando un rol activo en la administración de acceso, la seguridad de las comunicaciones y la confirmación de la protección de datos críticos para la empresa.

Existen varios enfoques recomendados de administración de seguridad para aplicaciones y servicios hospedados en Windows Azure. También existen procedimientos recomendados para crear y administrar cuentas administrativas, usar certificados para la autenticación y controlar transiciones cuando los empleados empiezan o terminan su empleo.

Propiedad de cuenta

El Portal de clientes de Microsoft Online Services (MOCP) controla toda la administración de cuentas y facturación de Windows Azure. Mediante MOCP, puede registrarse a los servicios de Windows Azure, agregar servicios adicionales como SQL Azure y crear nuevas instancias de servicios existentes (lo que se denomina suscripciones).

Las suscripciones, en realidad, son la “frontera de facturación” para los servicios de Windows Azure. Deseará mantener suscripciones separadas para cada aplicación (o colección de aplicaciones) que exija una estructura de facturación distinta. Por ejemplo, se pueden crear suscripciones con detalles de facturación individual si tiene departamentos distintos que hospedan aplicaciones en Windows Azure, pero que requieren facturas distintas.

Deberá identificar una cuenta de “propietario de cuenta” y otra de "administrador de servicio" por cada suscripción. Cada una de esas cuentas está asociada a una Windows Live ID. El propietario de cuenta es responsable de administrar la suscripción y facturación mediante MOCP. El administrador de cuenta debe administrar los aspectos técnicos de la suscripción, lo que incluye la creación de servicios hospedados, mediante el Portal de administración de Windows Azure.

Recomendamos encarecidamente la creación de cuentas únicas para cada uno de estos roles. Estas cuentas deberían existir de forma independiente a las cuentas individuales. En otras palabras, no use su Windows Live ID personal como la cuenta de propietario de cuenta o de administrador de servicio en configuraciones basadas en organizaciones o equipos. En lugar de eso, cree cuentas únicas (quizás usando un esquema de nombres como PC[identificador único]@live.com para propietarios de cuentas y AC[identificador único]@live.com para administradores de cuentas) con contraseñas que se puedan administrar y reestablecer cuando sea necesario a un nivel centralizado.

Una vez que se cree una suscripción, el administrador de cuenta podrá administrar servicios hospedados mediante el Portal de administración de Windows Azure. Ellos pueden tener acceso a esto usando las credenciales de cuenta de administrador de servicio. Una vez que inicien sesión, puede empezar creando un nuevo servicio hospedado (ver la figura 1).

Figura 1 Creación de un nuevo servicio hospedado en Windows Azure

Al crear un nuevo servicio hospedado, se le solicitará que especifique un nombre para su servicio. También deberá proporcionar un prefijo de URL y opciones de implementación. Otra alternativa es seleccionar un paquete previamente existente (.cspkg) y un archivo de configuración (.cscfg) desde un entorno de implementación como Visual Studio (si ya tiene aplicaciones empaquetadas).

Desde la ficha Servicios hospedados en el costado izquierdo del portal, seleccione Administración de usuarios. Desde aquí, puede agregar coadministradores a la suscripción (ver la figura 2). Esto le proporciona algo de flexibilidad adicional para proporcionar acceso a la administración de sus aplicaciones hospedadas.

Figura 2 Agregar nuevos administradores a la suscripción

Administración de certificados

Los certificados son un componente clave de la seguridad de Windows Azure. Existen dos clases distintas de certificados que juegan un rol en la protección de sus aplicaciones o servicios: los certificados de servicio y los de administración.

Los certificados de servicio son certificados tradicionales de SSL usados para asegurar comunicaciones del extremo. Si, por ejemplo, alguna vez configuró la seguridad de SSL para un sitio web hospedado en IIS, estará familiarizado con este tipo de certificado. Necesitará certificados de servicio para implementaciones de producción emitidas por una autoridad de certificados raíz de confianza (CA). Por lo tanto, necesitará comprarlos de terceros como VeriSign o DigiCert.

La lista de CA raíz de confianza se mantiene aquí (para Microsoft Windows) y aquí (para Microsoft Windows Phone 7). El nombre de su certificado de SSL debe coincidir con el nombre de dominio de su sitio web. Entonces, necesitará una entrada CNAME de DNS para asignar suaplicación.aplicaciónnube.net (el nombre de dominio para la aplicación proporcionada por Windows Azure) a www.sucompañía.com. Por asuntos de seguridad, no se puede comprar una asignación de certificados a suaplicación.aplicaciónnube.net. Sólo Microsoft puede emitir certificados para aplicaciónnube.net, pero se puede crear un certificado firmado personalmente para fines de desarrollo.

Los certificados firmados personalmente deben ser usados sólo para fines de prueba, puesto que no serán de confianza para los exploradores web de los usuarios finales. Podrá observar durante las pruebas que su propio explorador indicará los certificados no confiables o las llamadas de la API hechas usando Windows Communications Foundation (WCF) sufrirán errores. Esto no significa que no funcione el certificado, sino que no es de confianza de un CA raíz. En un explorador, esto generalmente es una molestia aceptable durante las pruebas, pero, sin duda, no es una experiencia deseable para los usuarios finales.

Para realizar pruebas con las llamadas de la API, necesitará agregar código para omitir la validación de certificados o agregar el certificado de CA raíz del certificado de servicio firmado personalmente al almacenamiento de certificados de las entidades de certificación raíz de confianza usando el MMC de administración de certificados, comandos por lote o mediante código. David Hardin de Microsoft ha escrito más sobre este asunto en su blog.

Necesitará proporcionar certificados de servicio de Windows Azure en formato Personal Information Exchange (.pfx). Para crear un certificado de servicio firmado personalmente con “contraseña” como la contraseña de marcador de posición (puede cambiar esto en el comando final como usted prefiera), abra un símbolo de sistema de Visual Studio y ejecute los siguientes comandos:

makecert -r -pe -n "CN=yourapp.cloudapp.net" -b 01/01/2000 -e 01/01/2036 -eku 1.3.6.1.5.5.7.3.1 -ss my -sky exchange 
-sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sv SSLDevCert.pvk SSLDevCert.cer

del SSLDevCert.pfx

pvk2pfx -pvk SSLDevCert.pvk -spc SSLDevCert.cer -pfx SSLDevCert.pfx -po password

Se pueden cargar certificados de servicio SSL desde la ficha Servicios hospedados en el Portal de administración de Windows Azure al hacer clic en Agregar certificado y al especificar la contraseña (ver la figura 3).

Figura 3 Agregado de un certificado de servicio en Windows Azure

Los certificados de administración son el otro tipo de certificado usado por Windows Azure. Las Herramientas de Windows Azure para Microsoft Visual Studio usan certificados de administración para autentificar a los desarrolladores para la implementación de Windows Azure. La herramienta de línea de comando CSUpload también usa certificados de administración para implementar imágenes de rol de máquina virtual, tal como lo solicita la API REST de Windows Azure Service Management.

Los cmdlets de Windows Azure Service Management usan certificados de administración para Windows PowerShell. Se puede usar los cmdlets de Windows Azure PowerShell para ejecutar y automatizar fácilmente la implementación de sistema, configuración y administración basada en Windows Azure.

Se debe proporcionar certificados de administración de Windows Azure en formato X.509 (.cer). Para crear sus propios certificados de administración firmados personalmente, abra un símbolo de sistema de Visual Studio y ejecute el siguiente comando:

makecert -r -pe -a sha1 -n "CN=Windows Azure Authentication Certificate" -ss my -len 2048 -sp "Microsoft Enhanced RSA and AES Cryptographic Provider" -sy 24 ManagementApiCert.cer

Cargue los certificados de administración mediante la Plataforma de administración de Windows Azure, al seleccionar Certificados de administración del panel a la izquierda y después al seleccionar Agregar certificado (ver la figura 4). Para obtener más información acerca de la creación de sus propios certificados para Windows Azure, consulte el artículo de la biblioteca de MSDN “Cómo crear un certificado para un rol”.

Figura 4 Agregación de un certificado de administración en Windows Azure

Transiciones de empleados

Una de las principales ventajas de una solución de informática en nube es que está hospedada por terceros fuera de las instalaciones locales. Esto proporciona en el acto una capa de redundancia física de su propia ubicación. Sin embargo, esto también significa que, cuando un empleado deje la organización, voluntariamente o no, será más difícil restringir el acceso a los recursos.

En consecuencia, es particularmente importante seguir pasos clave, independientemente de que haya un cambio que afecte el acceso aprobado a sus recursos de informática en nube. El primer paso es reestablecer las contraseñas para cualquier cuenta de administrador de servicio a la que haya tenido acceso el antiguo empleado. Si se establecieron identificadores de propietario de cuenta y de administrador de servicio únicos e independientes que se puedan administrar centralmente, se simplifica este proceso.

Si no se pudo reestablecer la contraseña para la cuenta de administrador de servicio, se puede iniciar sesión en MOCP como propietario de cuenta. Actualice la cuenta indicada como el administrador de servicio. También deberá eliminar cualquier cuenta indicada como coadministradora mediante el Portal de administración de Windows Azure.

El segundo paso es volver a emitir cualquier certificado de administración pertinente. Estos certificados proporcionan un medio de autenticación a sus servicios hospedados mediante las API de Visual Studio y de Windows Azure. Por lo tanto, ya no puede confiar en estos una vez terminadas las funciones de un empleado. Incluso si la máquina de trabajo del empleado queda en la empresa, puede que haya tomado una copia del certificado con él mediante otros métodos.

Para volver a emitir certificados de administración, simplemente vuelva a ejecutar el comando antes especificado y elimine los certificados de administración antiguos del Portal de administración de Windows Azure. Cargue los nuevos certificados de administración y distribúyalos a todos los empleados autorizados. Sólo necesitará seguir estos pasos para los certificados de administración. No necesitará volver a emitir certificados de servicio, puesto que estos proporcionan cifrado y no autenticación.

Pese a tener sus aplicaciones hospedadas en la nube, sigue siendo necesario involucrarse totalmente con su arquitectura de seguridad (para obtener recursos adicionales sobre este tema, asegúrese de ver la página de biblioteca de MSDN Recursos de seguridad para Windows Azure). Siga estos procedimientos recomendados tanto para la administración de cuentas como de certificados. Esto ayudará a asegurar que su organización se vea beneficiada plenamente por la informática en nube, sin exponer la seguridad de la información crítica de la empresa.

Gracias a David Hardin de TI de Microsoft y a Daniel Odievich del equipo de evangelismo de desarrollo y plataforma de Microsoft y a la sociedad de la serie Charlas de seguridad por su asistencia en el desarrollo de este artículo.

Joshua Hoffman* es el anterior editor en jefe de TechNet Magazine. Actualmente es un autor y consultor independiente que proporciona asesoría sobre tecnología y marketing orientado a públicos específicos. Hoffman también trabaja como editor en jefe en ResearchAccess.com, un sitio dedicado al crecimiento y enriquecimiento de la comunidad de investigación de mercado. Reside actualmente en Nueva York.*

Contenido relacionado

• Eliminando la niebla alrededor de la computación nube
• Microsoft, NSF Open Azure para investigadores
• ¿Puede protegerse la informática en nube? ¿Podemos permitirnos no hacerlo?