Estas Semanas en Cloudflare en Español

Hola, ¿qué tal? Buenos días, buenas tardes o buenas noches. Donde quiera que nos estén sintonizando en vivo en esta transmisión o estén viendo la grabación de este programa Estas Semanas en Cloudflare en Español.

Mi nombre es Alex Mayorga Adame y soy un ingeniero de soluciones en Cloudflare para Latinoamérica.

Hoy es 31 de marzo de 2023 y celebramos el Día Internacional de la Visibilidad Transgénico.

Para los que se sintonizan con nosotros por primera vez, recordarles que en la parte baja de la página pueden encontrar tanto un correo electrónico como un número telefónico en donde nos pueden hacer llegar cualquier duda, pregunta o comentario que tengan sobre el programa.

Comencemos entonces. Bueno, recuerden que todos los recursos que revisó se encuentran públicos en Internet.

Por ejemplo, este primero es Cloudflare.com diagonal whats-new en donde podemos revisar las novedades de producto de Cloudflare.

Vamos allá entonces. Tenemos un anuncio de un reconocimiento de un analista, que en este caso es GigaOM, con su radar en alternativas para Amazon S3, en donde la solución de almacenamiento de objetos de Cloudflare llamada R2 ha sido reconocida por su rendimiento sobresaliente y es considerada un retador en este informe.

En el enlace pueden revisar el reporte de los analistas de manera completa.

Igualmente, en otro informe de GigaOM también, en su radar para seguridad del DNS del 2023, nuevamente Cloudflare es reconocido como líder y un fast mover en este informe.

De la misma manera pueden acceder al reporte completo del analista.

Otro analista que reconoció a Cloudflare recientemente fue Gartner en su guía para seguridad de correo electrónico y Cloudflare es reconocido como un proveedor representativo en la categoría de seguridad integrada para correo electrónico en nube.

Igualmente pueden revisar el reporte. Asimismo también en GigaOM para su radar de CDN para el 2023, Cloudflare es reconocido como líder y una empresa de rendimiento sobresaliente en este informe.

Después tenemos un anuncio de nuevas funcionalidades en nuestro producto Waiting Room, en donde tenemos la disponibilidad ahora de reglas de omisión.

Con la nueva funcionalidad del motor de reglas de Cloudflare, podemos permitir a los clientes tener un control preciso de sus alas de espera de Waiting Room.

Esto está disponible para los clientes Enterprise.

También tenemos una beta abierta que se anunció, en donde tenemos la posibilidad de conectar Microsoft 365 vía APIs.

Utilizando la API de Microsoft Graph, podemos implementar de manera más rápida y más flexible la funcionalidad precisamente de Cloudflare Area 1, que es la de securización de correo electrónico.

También tenemos el anuncio en el blog de Cloudflare CASB, que permite ahora analizar tanto Salesforce como Box para revisar si existe algún tema de problemas de seguridad.

Esto permite a los equipos de TI de seguridad analizar sus entornos de software como servicio y buscar y encontrar de manera eficiente cualquier tipo de riesgo que pudiera encontrarse en los mismos.

También tenemos otro blog que nos habla de una colaboración ampliada entre Cloudflare y Microsoft en el frente de la seguridad Zero Trust.

Tenemos aquí que hay nuevas integraciones con Microsoft Azure Active Directory, también conocido como Azure ID, para reducir riesgos de manera proactiva.

Esta integración aumenta la automatización y permite a los equipos priorizar de mejor manera y reaccionar mejor a amenazas durante la implementación y mantenimiento de estas integraciones.

También tenemos un anuncio más en funcionalidades, que es el control de versiones para las zonas que se encuentran en Cloudflare.

Fue liberado de manera general y está disponible para todos los clientes del plan Enterprise, lo que les permitirá manejar o gestionar de forma segura la configuración de sus zonas a través de controles de cambio.

Ahora pueden elegir cómo y cuándo implementar los cambios en su tráfico.

También tenemos un blog más en donde se anuncia la compatibilidad de Cloudflare Access y Gateway con el sistema de identificación y administración de dominios cruzados, lo que permite facilitar a los administradores gestionar la identidad de sus usuarios en ambos sistemas de una mejor manera.

También tenemos otro anuncio en el blog en donde ahora se permite acceder a desactivar el acceso de vía APIs de manera selectiva.

Un dueño de una cuenta ahora puede visualizar y gestionar quién de sus usuarios tiene acceso a las APIs y pueden elegir restringirlas si así lo desean.

Tenemos también un anuncio más que es la disponibilidad general del aislamiento de enlaces de correo electrónico para ayudar a las organizaciones a protegerse de ataques de phishing.

Todos aquellos clientes de la solución de Área 1 de Cloudflare pueden elegir aislar los enlaces o la apertura de archivos adjuntos de manera automática.

Entonces, si un usuario hace clic en algún correo, éstos se abrirán automáticamente en el aislamiento remoto de navegación de Cloudflare.

Esto nos ayuda a proteger de mejor manera a los usuarios y a evitar ataques de día cero que pudieran ocurrir a través de estos enlaces o de estos anexos.

También tenemos un blog que se publicó en el mes de enero, en donde hablamos de cómo proteger los datos y los servicios utilizando CASB y DLP de Cloudflare, que nos ayudan a mejorar la seguridad de los datos en las organizaciones.

Esto nos permite revisar los archivos que estén almacenados en aplicaciones de software como servicio y poder buscar algún tipo de dato confidencial que contengan y que no deseamos que sea conocido.

Tenemos también una beta que se abrió disponible en enero y está publicada en el blog, en donde podemos securizar justamente esos datos de aplicaciones internas.

Permitiendo que los usuarios utilicen de nuevo la aislación de navegación.

Y al utilizar aislamiento de navegación, podemos restringir el copiado y pegado, las descargas y muchas otras funciones.

Bueno, esas son algunas de las novedades que tenemos en Cloudflare.com-whats-new.

Ahora vamos a revisar la segunda parte de lo que vemos en esta transmisión, que son los webinars de Cloudflare.

Estos los podemos encontrar en Cloudflare.com -webinars y directamente esto nos va a llevar al centro de recursos de Cloudflare, con el filtro aplicado para los seminarios web.

También, bueno, recordarles que no tenemos solo los seminarios web, tenemos documentación, blogs, vídeos, etcétera, que también pueden acceder.

Vayamos entonces a ver cuáles son los siguientes seminarios web que tendremos disponibles.

Vamos a reducir un poco. Tenemos para empezar el 4 de abril, tendremos un seminario para nuestros clientes en Asia Pacífico, donde estaremos hablando de cómo detener ataques de bots sin la necesidad de utilizar captchas.

Bueno, nos cuenta, nos comentan aquí en la intro de este webinar, que cuando hacemos nuestro login a la solución de chat GPT, por ejemplo, podemos ver este tipo de ventanas de Cloudflare Bot Management.

Y bueno, los bots obviamente pues están siempre tratando de atacar nuestros distintos servicios que publicamos en Internet y haciendo ataques pues ya muy conocidos, como el relleno de credenciales o el robo de inventarios, etcétera.

Y bueno, este seminario web nos ayudará a entender cómo podemos detenerlos sin tener que impactar la experiencia de los usuarios reales.

Después, el mismo día, el 4 de abril, tenemos otro webinar en donde se estará hablando de desmitificar el trabajo híbrido y supercargar la experiencia digital a través de monitoreo.

Esto, bueno, nos va a contar cómo podemos monitorizar la experiencia de los usuarios y revisar y hacerla mejorada, aun cuando se encuentren viajando o utilizando redes Wi-Fi que quizás sean inestables o quizás el dispositivo tiene poca memoria, etcétera.

Este webinar nos va a ayudar a entender cómo podemos mejorar esas experiencias para los usuarios.

Después tenemos un webinar que está hablando de cómo asegurar a los gobiernos de contraataques de denegación de servicio y un enfoque proactivo contra amenazas emergentes.

Finalmente, tenemos otro webinar que va a estar el día 19 de abril, en donde vamos a poder ver cómo mejorar la seguridad de la solución de Microsoft 365 a través de la solución de Cloudflare Zero Trust.

Cómo las dos plataformas se integran para agregar seguridad de manera nativa y ayudar a que nuestros equipos tengan una mejor postura de seguridad.

Y bueno, finalmente también recordarles que tenemos todos los seminarios que se hayan emitido anteriormente disponibles bajo demanda y aquí pueden encontrarlos todos ellos.

Sigamos entonces revisando la última parte que vemos en esta transmisión, que es el blog de Cloudflare.

Este lo pueden encontrar en blog .Cloudflare.com.

Tenemos el primer blog post que vamos a revisar, de nuestro colega Maciej, que nos habla de mejoras que se han hecho para actualizar de una manera más eficiente los componentes en el stack de Cloudflare.

Bueno, comienza Maciej, contándonos un poco sobre la enorme cantidad de tráfico que Cloudflare administra.

Nos cuenta aquí, por ejemplo, que vemos 45 millones de solicitudes HTTP por segundo en promedio y al 2023, o lo que va del año, se han observado picos de 61 millones.

La red, como quizás ya sepan, se expande a través de 285 ciudades en más de 100 países en el mundo.

Y bueno, lo que menciona aquí, al tener esta escala, obviamente el software se va a ver pues empujado a sus límites.

Y bueno, nos comenta que un tema de este crecimiento que se observó fue relacionado con el despliegue de nuevas versiones de código.

Nos comenta que pudiese haber retrasos debido a que quizá no hay recursos suficientes en el hardware para realizar las actualizaciones.

Y también, pues obviamente, por las limitaciones reales de cuánta memoria se puede colocar en los servidores.

Nos cuenta aquí que utilizamos muchos servicios en proxys especializados, que históricamente fueron basados en Nginx, pero incrementalmente se han estado creando también servicios en Rust.

Nos habla aquí de una aplicación en particular del proxy, que es Frontline, también conocido como FL, y que es uno de los más antiguos y con más responsabilidades en el manejo del tráfico.

Nos cuenta que es uno de los últimos usos que FL tiene para Nginx y tiene bastante información de lógica de negocio, utilizando librerías tanto en Lua como en Rust.

Esto pues hace que consuma una cantidad importante de recursos, como menciona ahí, de 50 a 60 gigabytes de RAM.

Y conforme fue creciendo, pues liberar actualizaciones para este software se vuelve más complicado.

Nos comenta que las actualizaciones llegan a requerir hasta el doble de memoria, que quizá en ocasiones no está disponible, más allá de lo que se usa en la ejecución normal del servicio o del software.

Y bueno, esto puede generar algunos retrasos en la liberación de nuevas versiones.

Nos cuenta un poco más a detalle sobre la arquitectura.

Nos comenta que este software FL utiliza procesos individuales, también conocidos como workers, y por diseño su proceso requiere que el proceso maestro los controle y se asegure de que se encuentran ejecutándose.

Nos comenta aquí también que, bueno, este software Nginx permite generar otros de estos procesos conocidos como workers, y esto es lo que se utilizó para hacer este cambio.

La cantidad de procesos va a depender de la cantidad de CPUs disponibles en el equipo.

Y bueno, aquí nos cuenta que, por ejemplo, en un CPU con 128 cores se ejecutan 64 de estos workers de FL.

Bueno, nos comenta entonces un poco más a detalle cuál es el problema de hacer esta transición.

Y bueno, el tema es que al hacer una actualización, ambos procesos continúan corriendo, tanto la versión anterior como la nueva.

Aquí nos coloca un listado de los procesos, en donde podemos ver que hay dos procesos maestros que están controlando, en este caso, tres de estos procesos worker cada uno, lo que básicamente genera que se utilice el doble de la memoria.

Finalmente, cuando el proceso antiguo deja de servir solicitudes, pues tenemos a final de cuentas un solo proceso con sus tres procesos worker.

Y aquí nos muestra en un diagrama cómo ocurriría.

En rojo vemos la versión antigua y en verde vemos la versión nueva, que sería la versión 2.

Y cada uno de ellos pues tiene la cantidad de procesos necesarios.

Y después nos muestra aquí una gráfica justamente del uso de memoria cuando ocurren estas actualizaciones, en donde vemos básicamente que cuando se hace la liberación de una versión, básicamente se se duplica el uso de memoria.

Esto pues debido a que, como mencionábamos, se están ejecutando ambas versiones durante un tiempo.

Y bueno, ahora nos cuenta un poco sobre la nueva forma o el nuevo mecanismo en el que se va a estar haciendo las actualizaciones de este software.

Nos comenta que podemos no apagar y encender todo a la vez, sino que podemos hacer un control selectivo de los procesos que se van a hacer.

Y entonces con esto podemos hacer de una manera más granular la actualización.

Aquí nos cuenta paso a paso qué es lo que se va a hacer.

Digamos que tenemos 64 procesos workers trabajando de este software FL. Se va a deshabilitar la característica que automáticamente reinicia estos procesos cuando cierran.

Y vamos a apagar uno de los workers únicamente. El siguiente paso es crear una nueva instancia, pero utilizando ya la nueva versión del software.

De esta manera vamos a tener la misma cantidad de procesos que teníamos al inicio del paso 1.

Y reactivamos la funcionalidad que hace que se reinicien los procesos en este caso.

Vamos a continuar repitiendo esto para las instancias antiguas y reemplazando una de ellas cada vez.

Y aquí podemos ver un poco el proceso.

En rojo vemos las versiones del software antiguo que van a tener cada vez menos cantidad de procesos y las versiones del software nuevo que cada vez van a ir teniendo más procesos workers conforme avanza este procedimiento.

Y bueno nos presenta aquí ahora una gráfica del comportamiento de la memoria.

Como podemos ver en este caso no se observa el pico desproporcionado que ocurría en la gráfica anterior.

Y el uso de la memoria se mantiene mucho más estable durante el proceso.

Bueno, después nos habla un poco de cómo se hace el pinning de los procesos workers a los CPUs.

Porque estos se ligan a los cores específicos del CPU.

Entonces nos habla aquí de cómo podemos trabajar con esto haciendo lo siguiente.

En este caso se apaga un worker que está funcionando en algún CPU y se crea un nuevo worker.

Esto va a hacer que el proceso se enlace al CPU que quedó liberado en el paso anterior.

Y bueno, nos cuenta sus conclusiones en este caso.

Que en Cloudflare pues obviamente tenemos la necesidad de liberar nuevos software múltiples veces al día a lo largo de toda la flota de servidores.

Y el proceso estándar de actualización de Nginx pues no era eficiente para trabajar a la escala a la que Cloudflare tiene.

Y dado esto, pues se hizo la customización del proceso como ya nos describía en el blog.

Y esto permite mantener la cantidad de memoria que se requiere en una liberación de nuevas versiones de manera más reducida y más controlada.

Esto permite liberar el software a toda la flota en donde se requiera.

Y bueno, obviamente tener disponible mucha más memoria durante este proceso.

Bueno, ya vimos los detalles de estos cambios en el mecanismo que ayudan a tener los requerimientos propios de Cloudflare.

Y bueno, también nos invita a que si este tipo de retos resultan interesantes para nosotros, pueden venir a ayudarnos a mantener el servidor web más ocupado en el mundo.

Y su equipo en este caso se encuentra contratando y pueden hacer clic en el enlace para saber más.

Vamos a revisar otro blog en donde hablamos de cómo nuestro colega Rory nos cuenta cómo se está ayudando a proteger la información personal en la nube de todas las personas en el mundo.

Bueno, en este caso Cloudflare, nos comenta Rory, ahora tiene una nueva validación en cuanto a el código de conducta de proveedores de nube de la Unión Europea, lo que ayuda a confirmar la conformidad de Cloudflare con RGDP para la protección de datos personales.

Nos comenta aquí RGPD, en este caso es el Reglamento General de Protección de Datos de la Ley Europea, que nos comenta aquí, pues es uno de los más estrictos en el mundo.

Nos enlaza aquí a los distintos, al capítulo en particular de este reglamento en donde se habla de las transferencias de esta información.

Nos cuenta que, bueno, este capítulo del reglamento habla sobre los lugares en donde se almacena la información, también de la forma en cómo esta debe ser tratada y la manera en que debe mantenerse segura.

Nos enlaza también a otro blog que nos habla de cómo Cloudflare protege la privacidad de la información personal en todo el mundo, no solo en Europa, y también algunas herramientas que tiene Cloudflare que permiten a los clientes elegir cómo y dónde son procesados sus datos.

Bueno, nos dice que ahí en breve exige Cloudflare que todos los datos se mantengan de forma segura y confidencial cuando está transferido, o en todo momento en realidad.

Nos da más detalles sobre el código de conducta que se debe cumplir. Y, bueno, nos habla de cuándo este fue aprobado.

Nos da más detalles de todo lo que fue incluido en el código y después nos da a mayor profundidad cuáles son algunos requisitos de este código de conducta.

Debe haber procesos muy estrictos y rigurosos, obviamente, para cumplir con estas normas.

Y, bueno, nos da otros ejemplos de esta información.

Después nos deja un párrafo en donde hay varios enlaces de la manera en que Cloudflare siempre ha estado cumpliendo con estos protocolos y, obviamente, ya cumple con este nuevo código de conducta en la Unión Europea.

Aquí tenemos todos los servicios de Cloudflare que al día de hoy cumplen con este código de conducta y, bueno, la validación que nos ha otorgado la Unión Europea respecto a esto.

Bueno, también aquí nos cuenta Rory cómo Cloudflare siempre ha sido pionero en la implementación de este tipo de certificaciones, por ejemplo, como puede ser ISO 27701 y cómo Cloudflare fue la primera organización en obtener esta certificación.

También tenemos la certificación ISO 27018 y algunas otras que ha obtenido Cloudflare.

Aquí nos deja un enlace al centro de control en donde podemos obtener todas estas certificaciones cuando las requiramos.

Igualmente un enlace al centro de confianza en Cloudflare, en donde podemos ver todas las certificaciones que Cloudflare posee al día de hoy.

Como comentábamos, todas las ISO, FETRAMP y SOC2 de igual manera, PCI DSS y, bueno, las mismas que ya mencionábamos.

Agradecer su tiempo el día de hoy y los veo en la siguiente misión.