Estas semanas en Cloudflare en Español
Presented by: Alex Mayorga
Originally aired on February 25, 2022 @ 12:30 PM - 1:00 PM EST
Learn about the latest in the world of Cloudflare and the Internet — presented in Spanish by Alex Mayorga.
Spanish
Tutorials
Transcript (Beta)
Hola, ¿qué tal? Buenos días, buenas tardes, buenas noches, en donde quiera que nos estén escuchando en esta transmisión o en vivo, o viendo la grabación, bienvenidos a su programa en Cloudflare TV, Estas Semanas en Cloudflare en Español.
Bueno, lo que hacemos en este programa, para los que nos introducen por primera vez, es revisar las novedades de producto y del blog de Cloudflare.
Y hacemos, bueno, esto tratando de hacer una traducción simultánea para ustedes al idioma español.
Mi nombre es Alex Mayorga Dame, y soy un ingeniero de soluciones de Cloudflare en nuestra oficina de Austin, Texas.
Soy de México, entonces si mi español suena muy mexicano, una disculpa.
Un poco de información también para quienes nos sintonizan por primera vez, en la parte baja del streaming pueden ver un correo electrónico, si tienen alguna pregunta que queramos que revisemos en el programa, y también un número telefónico en el que pudieran llamar y hacernos sus preguntas directamente de propia voz.
Bueno, sin más preámbulos, agradecerles por sintonizarse y vamos a comenzar.
Lo primero que revisamos es Cloudflare.com diagonal watts guión new, en donde publicamos las novedades más importantes de producto recientemente.
Bueno, comenzando ahí, tenemos que se ha anunciado el monitoreo de DNS Premium para nuestros usuarios que cuentan con un contrato.
Bueno, esto les permite agregar balanceo de cargas directamente en DNS, pero ahora se incluyen más tipos de registros, no solo los registros A o los AAA y los CINE, sino que ahora también podemos agregar MX, SRV, HTTPS y TXT.
Esto pues nos permite monitorear ya sea a través de pings de ISMP, SMTP y UDP por ISMP, o más bien ICMP sobre UDP, lo que nos permite agregar este monitoreo en adición a los protocolos que ya teníamos existentes de HTTP, HTTPS y TCP.
Pueden agregar esto obviamente para poder monitorizar y hacer redireccionamiento inteligente en caso de que haya fallas en su infraestructura a través de load balancing de Cloudflare.
Esa es una de las características nuevas que tenemos. También tenemos el anuncio de acceso temprano para realizar capturas de paquetes bajo demanda en nuestra solución de Magic Firewall.
Magic Firewall, como quizás ya sepan, es la solución de Cloudflare que nos permite hacer protección de la infraestructura a nivel de capa 3 y capa 4.
Pero ahora, bueno, los clientes que tengan contratado con nosotros Magic Firewall tienen una API en la que pueden hacer capturas de paquetes desde los servidores de borde de Cloudflare.
Lo que, bueno, puede ser muy útil para hacer la parte de debugging o detección de problemas, así como obtener mayor visibilidad en caso de que tengamos tráfico malicioso que esté llegando.
Podemos capturarlo y analizarlo. Aquí menciona, nos permite capturar los primeros 160 bytes de los paquetes y también en un sampleo de 1 a 100.
También tenemos que, se espera, agregar esta funcionalidad así como la posibilidad de capturar paquetes encriptados en el dashboard de Cloudflare próximamente.
Y obviamente, si desean contar con esta funcionalidad invitarlos a contactar con su equipo de la cuenta para que les den acceso a este acceso temprano que se ha anunciado.
Después tenemos otro anuncio sobre Zero Trust donde se agregan nuevos controles para hacer rutas en el tráfico de los clientes que tengan nuestro cliente de Cloudflare war.
Ahora nos menciona aquí que tiene un soporte tanto en la API como en Terraform para poder controlar el despliegue del cliente a sus usuarios.
También tenemos aquí ligas a la documentación tanto en la API como en Terraform y también actualizaciones en el soporte de los sistemas operativos en el cliente de war.
Tenemos ahí que se soporta Windows 8, Windows 10, Windows 11 y las versiones de macOS Mojave, Catalina, Big Sur y Monterey así como el soporte de M1.
También tenemos soporte para Chromebooks y distintas distribuciones de GNU Linux como Centos, Red Hat, Ubuntu y Debian así como clientes móviles en los sistemas operativos iOS y Android.
Entonces invitarles a revisar esta nueva funcionalidad que se ha agregado ahí en war.
Tenemos también el anuncio de una colaboración con vendedores de manejo de dispositivos móviles en nuestra oferta de Zero Trust.
Tenemos nuevas integraciones para poder hacer administración de dispositivos móviles con distintos vendedores como pueden ser Microsoft con Intunez.
Tenemos también Ivanti y JumpCloud y Cansheet y también tenemos Xnode lo que nos va a ayudar a hacer un deployment más sencillo en la instalación del cliente de Cloudflare en los dispositivos de usuario final.
Y bueno, obviamente esta es una colaboración que se anunció también pueden ver más detalles en el blog.
Obviamente esto nos va a ayudar a tener una mejor protección de nuestra flota de dispositivos con la solución de Zero Trust de Cloudflare.
Tenemos también un anuncio más sobre Zero Trust que fue el hecho de extender la protección de la plataforma para soportar el protocolo UDP y los servidores de DNS internos.
Bueno, vemos aquí que como menciona en el anuncio muchas de las organizaciones con las que trabajamos están poniendo las soluciones de Cloudflare sobre sus redes privadas y vamos a...
se anuncia aquí que ya no es necesario migrar los hostnames privados de manera manual sino que puedes directamente hacer el ruteo de tu tráfico al servidor de DNS privado desde la red de Cloudflare.
Tenemos aquí un enlace al blog post y también si desean unirse a la lista de espera para participar en esta funcionalidad.
Un anuncio más en la parte de Zero Trust tenemos la parte de las reglas privadas y agregar los intervalos de sesión en los logins.
Con esto pues nos permite tener una mejor administración de la postura de los dispositivos y también hacer el enforzamiento de reglas de sesión a nivel de la red privada.
Bueno, nos comenta aquí que anteriormente podíamos hacer las reglas solo para algunas IPs y destinos pero una vez que se autenticaban se permanecían conectados indefinidamente hasta que fueran revocados.
Y ahora, bueno, si es necesario que forcen un login cada 24 horas o establecer algún timeout lo pueden hacer directamente en la configuración de Cloudflare Zero Trust.
También tenemos el anuncio de la beta del aislamiento de clientes web sin tener un cliente también en nuestra plataforma de Zero Trust.
Básicamente cuando pueden aislar alguna URL se le aplica esta protección para que los dispositivos no tengan que descargar el código directamente al dispositivo y esto se hace sin tener que instalar ningún cliente adicional ni tener que instalar ningún otro software en los dispositivos de usuario final.
Bueno, nos cuenta aquí que está trabajando con nuestra tecnología ya existente de browser isolation que básicamente ejecuta como ya mencionaba el código remotamente en la red global de Cloudflare sin tener que llevar el código directamente al dispositivo del usuario final.
Otro anuncio en la parte de Zero Trust tenemos el hecho de que podemos controlar los dispositivos de entrada dentro de browser isolation.
Nos menciona acá que anteriormente browser isolation había incluido protecciones de datos para poder controlar la entrada y salida directamente en el sitio web.
Y bueno, ahora también se puede prohibir directamente la entrada del teclado así como la subida de archivos lo que nos permite proteger mejor a nuestros usuarios de ataques de phishing y de robo de credenciales cuando accedan a algún sitio web que sea de alto riesgo o desconocido.
Bueno, esto es lo que tenemos en la parte de novedades de producto. Tenemos obviamente mucho más, pero no voy a ir mucho más atrás.
Creo que las anteriores ya las pudimos haber cubierto en ediciones anteriores del programa.
Ahora vamos al blog de Cloudflare en blog .Cloudflare.com en donde vamos a revisar los blogs que nuestros colegas han publicado recientemente.
Tenemos un blog de nuestros colegas Sofía y Nick que nos cuentan un poco sobre el futuro en la computación post-quantum.
Lo que son los retos y las oportunidades que se nos presentan en el futuro.
Bueno, acá tenemos un quote sobre Ray Bradbury.
Que habla sobre las predicciones al futuro y bueno, la mejor forma de evitar que te pidan hacer predicciones al futuro es básicamente ayudarlo, ayudar a construir lo que es sobre lo que trata un poco este blog.
Bueno, nos comentan nuestros colegas que obviamente las computadoras post-quantum van a tener la habilidad de poder romper los mecanismos criptográficos de las comunicaciones actuales.
Y bueno, como la comunidad ha empezado a trabajar en producir nuevos mecanismos que prevengan esta disrupción.
Bueno, acá hay más enlaces a otros blogs en los que podemos ver más información sobre ellos.
Vamos a tratar de revisarlos el día de hoy.
Bueno, nos cuenta que algunos de los retos es el saber si estas soluciones se van a poder desplegar a escala.
Y algunos de los retos que esto representa.
Nos cuentan que los adversarios pueden utilizar distintos tipos de ataques utilizando algoritmos cuánticos.
Y bueno, que quizá pudiéramos no estar tanto protegidos como tener la sensibilidad de saber que estas posibilidades están ahí afuera.
Y bueno, nos cuentan un poco sobre el TLS post-quantum.
Tenemos aquí enlaces también a a otros blogs donde hay ataques de monstruo en el medio que llamamos acá.
Y cómo podemos modificar esto para prevenir que estos modelos de ataque puedan ser efectivos.
Algunos de los retos que nos mencionan es el hecho de cambiar el saludo de TLS en este caso.
Pero nos cuentan que realizar esto en la práctica puede ser difícil. También el hecho de que tengamos algunas cajas en la red, por ejemplo, para protección de antivirus o proxys corporativos.
Pues nos comentan que pueden ser difíciles de actualizar, lo que puede hacer que también tengamos problemas al desplegar estos nuevos protocolos.
Y obviamente también nos mencionan que no solo TLS es uno de los protocolos fundamentales de Internet.
También hay otros protocolos que van a requerir cambios como DNSSEC o QUIC.
Y bueno, eso también podría representar un poco un reto.
Nos cuentan que dentro de TLS, el enfoque sería en la versión 1.3 y conseguir estas tres características principales de seguridad, que es la confidencialidad, que en este caso es que la comunicación solo puede ser leída por el destinatario designado.
También la parte de la integridad, que es el hecho de que la comunicación no se cambie durante el tránsito.
Y también la parte de autenticación, que es asegurar que la comunicación venga de quien nosotros estamos estableciendo la conversación.
Y bueno, acá nos hablan un poco de de los requerimientos.
La parte de tener la llave compartida con anterioridad.
Generar una nueva para hacer la nueva conexión en este caso.
También nos hablan de PAKE, que es Password Authentication Key Exchange, para hacer este saludo o la autenticación del saludo inicial.
Y también otros protocolos como OPAC o SPAKE en este caso.
Y tenemos aquí enlaces a los GitHub de los proyectos directamente. También el hecho de que podemos utilizar los certificados públicos para informar sobre los parámetros que se van a emplear y asegurar la identidad del participante con el que se está estableciendo la conversación.
Bueno, Nick y Sofía van súper detallados en la parte de las cuestiones técnicas del blog, en la parte de criptografía.
Bueno, también nos cuentan un poco sobre las distintas protocolos.
Como ya mencionábamos, no se trata solo de TLS, sino de otros protocolos como DNSSEC, WireGuard, SSH y QUIC, que también van a necesitar hacer la transición a criptografía post-quantica.
Nos enlazan acá a varios papers con investigaciones en el tema.
Y también tenemos un poco una comparativa de los distintos esquemas en cuanto a la inscripción post-cuántica y cuáles serían los más eficientes en cuanto a velocidad, por ejemplo.
Nos cuentan también un poco sobre las fallas en la práctica que puede haber en la criptografía.
Hay algunas necesidades que se tienen que solucionar. En este caso es la parte de que existan guías fáciles de entender para hacer análisis formal y sobre su uso.
Desarrollar APIs que sean probadas por los usuarios. También hacer que la integración no tenga fallos al utilizar algoritmos post-cuántum en los protocolos y las APIs actuales.
La parte de probar y analizar las fronteras entre lo que es el código verificado y no verificado.
Verificar las especificaciones de los estándar.
Por ejemplo, integrando HackSpec en los drafts de la IETF. Y bueno, nos cuentan un poco el nacimiento de los túneles post-cuántum.
En este caso, observando lo que ya describimos de los retos, un poco cómo se puede hacer una solución en corto tiempo.
Nos cuentan sobre Cloudflare Tunnel, que es un servicio de Cloudflare que permite crear un túnel seguro de salida únicamente dentro de algún servicio existente y Cloudflare.
Bueno, esto se hace con un cliente ligero, que se llama Cloudflare D en este caso, que se coloca en el lado del cliente.
Perdón, en el lado del servidor. Y por el lado del cliente colocamos el cliente de WARP, que es un cliente que se conecta, que se coloca en los dispositivos del usuario final para hacer el aseguramiento y aceleración del tráfico HTTPS.
Nos cuentan aquí sobre cómo agregar esta criptografía post-cuántum en la infraestructura interna de Cloudflare.
Y bueno, a detalles que pueden encontrar en el sitio de desarrolladores de Cloudflare en este caso.
También vemos que acá nos comentan que Tunnel en este caso está utilizando el protocolo QUIC en algunos casos y también WARP utiliza el protocolo WireGuard, lo que permite hacer experimentos con criptografía post-cuántum en los protocolos.
Ya que estos son nuevos y no se ha hecho mucha experimentación en este campo.
Y bueno, un poco al futuro, que nos cuenta que obviamente será un futuro mejor, más rápido y más seguro.
Y bueno, también reconociendo los retos que hay al desplegar la criptografía que podemos aprender de lo que se ha hecho en el pasado.
Y bueno, obviamente siempre soñar en tener una mejor seguridad y continuar explorando en estos campos.
Y bueno, nos invitan a leer el resto de los blogs en donde vamos a ver esta parte de quantum.
También invitar a las personas que nos están viendo si están trabajando en algún doctorado o alguna investigación equivalente y están buscando en donde trabajar en este año.
Nos dejan acá un enlace directamente a las oportunidades de investigación disponibles en Cloudflare.
Así que si se encuentran trabajando profesionalmente en este campo invitarles a hacer click en el enlace ahí para que vean las oportunidades disponibles.
Así como directamente si están en una búsqueda de empleo, también tenemos un enlace al sitio de las carreras disponibles actualmente en Cloudflare, en donde pueden encontrar todos los equipos de ingeniería que están contratando en este momento.
Asimismo, si tienen alguna pregunta o comentario o ideas sobre investigación, nos dejan aquí un correo electrónico que es el correo electrónico ask-research -Cloudflare.com en donde directamente se pueden poner en contacto con nuestros equipos de investigadores que están trabajando en esta parte de criptografía post quantum.
Tenemos después un blog en donde Sofía, Gautam y Tom nos cuentan un poco ya en los específicos de los cambios en algunos de los servicios que ya decíamos a criptografía post quantum, como tenemos a log forwarder, tunnel y logkeyless.
Un poco ya el trabajo que se ha hecho específicamente en estos temas.
Bueno, aparte de asegurar que la seguridad no se haya visto disminuida por los protocolos, también asegurar que no haya impactos negativos en el desempeño y también trabajar en la parte de certificaciones como FedRAMP en las que Cloudflare está actualmente trabajando.
Bueno, un poco las preguntas que se hicieron sobre cómo migrar a estas tecnologías post quantum en los servicios.
Vemos acá un poco la comparativa que mencionaban en el uso de los distintos protocolos como se ha observado en nuestro servicio de Cloudflare que se llama Radar, en radar.Cloudflare.com un poco la partición de los diferentes protocolos y sus versiones que se están utilizando.
Y el hecho de cambiar el protocolo 1.3 para proveer seguridad resistente a ataques de quantum en este caso.
Van ahí nuestros colegas a detalle en las cuestiones técnicas, entonces invitarles a a revisar este blog más detalladamente si hay temas de su interés.
Y ya después hablan un poco sobre los distintos servicios de Cloudflare en particular.
Tenemos LogForwarder que nos cuentan que está escrito en Golang y básicamente este servicio es para manejar los logs estructurados y un poco nos enseñan aquí como la latencia de TLS realmente se vio beneficiada al utilizar estos nuevos protocolos.
Vemos acá en verde y amarillo los protocolos post quantum y los anteriores.
Se ve un aumento en el desempeño en este caso. También vemos aquí la duración de los batches en este caso con post quantum en color naranja se ve una mejora en el desempeño de casi el doble comparado con la línea en verde que eran los streams anteriores.
También nos cuentan de GoKeyless que es un servicio que permite no almacenar las llaves de los clientes en Cloudflare sino que ellos mantengan control completo sobre ellas.
Como luce el servicio en este caso se tiene el servicio en el servidor de Cloudflare en el servidor de los clientes está también este mismo servicio que hace la transmisión de las llaves bueno, no de las llaves propiamente.
Un poco de código en Rust donde nos muestran esa pista y también el caso que ya mencionábamos de Cloudflare Pwned que como ya indicaba se utiliza el demonio de Cloudflare D que es un demonio ligero en el lado del servidor del cliente que abre una conexión de larga duración ya sea a través de TCP y también actualmente a través de QUIC, conectándolo con la red global de servidores de Cloudflare para tener acceso al servicio del cliente y una vez que se crea una conexión o una solicitud a ese nombre de host pues se hace la conexión vía proxy en este caso y bueno, aquí nos cuenta que la forma más rápida o más sencilla de agregar seguridad post quantum fue entre la conexión dentro de nuestra red interna donde tenemos el servicio del demonio directamente y otro servicio interno que lo conecta en este caso bueno, ahí vemos cómo nos cuentan la integración que hicieron con Kubernetes y otras tecnologías como Envoy y Contour en este caso vemos un poco las opciones en el código para permitir la criptografía post cuántica en Envoy en este caso y también nos cuentan un poco de lo que se espera a futuro obviamente tenemos ahora librerías post quantum en Go, en Rust y en C que se pueden utilizar y de esta forma poder trabajar con estas tecnologías nos dejan también un enlace a otro blog que podemos ver al respecto voy a ver si tenemos alguna pregunta parece que no el día de hoy y estamos muy cerca de terminar el tiempo designado para este programa, los invito a sintonizarse a la siguiente emisión de esta semana en Cloudflare en Español y así mismo a seguir disfrutando de todo el contenido que tenemos disponible tanto en vivo como bajo demanda en Cloudflare.tv en donde pueden revisar múltiples programas de nuestros colegas de Cloudflare y nuestros amigos a través de video les agradezco nuevamente por sintonizarse y tengan buen día