Estas semanas en Cloudflare en Español
Learn about the latest in the world of Cloudflare — presented in Spanish by Alex Mayorga.
Transcript (Beta)
Hola, buenos días, buenas tardes, buenas noches, donde quiera que nos sintonicen. Bienvenidos a Estas Semanas en Cloudflare en Español.
Mi nombre es Alex Mayorga Adame, y soy un ingeniero de soporte técnico en Cloudflare en la oficina de Austin.
Por cierto, a todas las personas que se encuentren en el área de Texas, por favor, manténganse seguros, estén calientes y busquen recursos si los necesitan.
Espero que tanto ustedes como sus familias se encuentren bien. Y bueno, vamos a comenzar para los que nos sintonizan por primera vez.
En este segmento de Cloudflare TV, revisamos un poco de las novedades de Cloudflare.
Comenzamos siempre revisando la página de Cloudflare.com diagonal what's new donde podemos revisar los anuncios de características de los productos de Cloudflare que se han anunciado recientemente.
Tenemos, por ejemplo, una actualización en la analítica de red en el panel de control de Cloudflare que ahora nos permite de primera vista tener una vista clara de las tendencias y los datos sobre ataques de denegación de servicio que ocurren contra nuestro sitio web.
Y ahora también podemos ver estas tendencias hasta por un rango de tres meses.
Tenemos también la introducción de analítica de bots que ahora también nos permite ver detalles sobre bots que estén accediendo a nuestro sitio web y podemos ver distintos atributos que los distingan, por ejemplo, sus IPs o los números de red.
Y también para los clientes enterprise pueden ver un pequeño reporte de bots aún si no tengan habilitada la capacidad de bot management en su paquete de servicios.
También tenemos una novedad en Cloudflare gateway que también ahora incluye filtrado de k7 y también tiene el soporte para dispositivos que se encuentran en roaming.
Entonces, si utilizan esta funcionalidad pues que actualicen sus clientes de warp para gateway y tener las últimas características.
También tenemos una novedad en Cloudflare access que ahora también nos permite proteger las aplicaciones de software como servicio aparte de las aplicaciones que tenemos en nuestros servidores propios.
Y bueno, con esto podemos tener una capacidad de cero confianza en el acceso a estas aplicaciones de terceros por parte de los miembros de nuestras organizaciones e incluso, como mencioné acá, de terceras partes o personas que nos den servicios o vendedores.
Y finalmente tenemos, bueno, el anuncio de soporte para gRPC en Cloudflare que ahora permite que si tienes alguna API con gRPC la puedas proteger con servicios y características como el firewall de aplicaciones web y el servicio de bot management que ya revisábamos.
O también poder darle optimización con Argo Smart Routing y también poder implementar, por ejemplo, balanceo de cargas.
Bueno, no voy a avanzar más en esta parte. También recordarles, pueden suscribir su correo electrónico para recibir estas novedades directamente a su unión de correo.
Después seguimos revisando los webinars más próximos que pueden encontrar en Cloudflare.com diagonal webinars.
Primero tenemos un webinar en tailandés.
Después tenemos un poco de las novedades que se vienen para el firewall de aplicación web y la parte de rate limiting.
Esto está en un horario que será más accesible para personas que puedan sintomizar el webinar en Europa o en América.
También tenemos este mismo webinar para un horario más adecuado para Asia-Pacífico y la región de Europa.
Como siempre, si se registran en el webinar recibirán una grabación del mismo.
También tenemos otro webinar sobre ciberseguridad y ataques de denegación de servicio que está más orientado hacia la región de India y América y el Medio Oriente.
Después tenemos un webinar en japonés sobre Cloudflare for Teams y la solución de Cloudflare Access.
Tenemos un webinar también sobre cómo proteger hacia el futuro sus protecciones de ciberseguridad.
Hay un webinar también en chino que se está anunciando aquí. Y también un webinar sobre cómo superar los principales tres retos en un ambiente de multinube.
Y también un webinar más sobre denegación de servicio en japonés. Y también tenemos el webinar sobre las tendencias de denegación de servicio y ataques para el año 2021.
Orientado en un horario para las personas que se encuentran en Asia-Pacífico.
También tenemos un chat en mandarín que estará hablando de las novedades para la solución de Cloudflare One.
Y también un webinar más que muestra aquí sobre la evolución de cómo se ve el horizonte y las tendencias en ataques de denegación de servicio.
Entonces, como siempre, invitarlos a registrarse si alguno de estos webinars es de su interés.
Pueden acceder a ellos en las páginas correspondientes de registro.
Seguimos con la parte primordial o la parte que nos toma mayor tiempo de la transmisión, que es revisar el blog de Cloudflare en la dirección blog.Cloudflare .com.
Vamos a comenzar con este blog que tenemos de nuestros colegas Miguel y Andre, que nos hablan sobre la inscripción de la carga de las solicitudes para el análisis en el Firewall.
Bueno, aquí nos cuentan un poco el reto, el problema que trataba el equipo de solucionar, que en este caso se trata de hacer resolución de problemas en las reglas de Firewall.
Y bueno, como mencioné aquí, muchos clientes en el servicio de Enterprise solicitan o tratan de entender la razón de por qué cierto ataque fue detenido por cierta regla, o también hacer el descubrimiento de por qué hay algún falso positivo en una cierta regla, y también hacer refinamientos y actualizaciones de sus reglas de Firewall.
Sin embargo, bueno, aquí nos cuentan que un reto en este caso es que cualquier información sensitiva que pueda estar en estas solicitudes, bueno, es considerada por Cloudflare como algo tóxico que no queremos tener contacto con ello.
Esto obviamente para proteger la privacidad de nuestros clientes y de los visitantes de sus sitios.
Entonces nos cuentan aquí un poco cómo solucionaron esto utilizando encripción de llave pública.
Y bueno, algunas de las preguntas que tuvieron que hacer y las elecciones que tuvieron que realizar para que elegir las mejores soluciones en este caso.
¿Qué nos cuenta aquí?
Bueno, un poco de cuáles son los requerimientos del algoritmo, en qué lenguaje se implementa, y cómo asegurarnos de que sea lo más seguro posible para todos los usuarios.
En cuanto al algoritmo, nos cuentan aquí que utilizaron encripción de llave pública de tipo híbrido, que bueno, es un estándar que se encuentra actualmente en desarrollo en el foro de criptografía de la IETF.
Y bueno, nos cuenta que esta solución ya se utiliza en el DNS sobre HTTPS Oblivio y también en Encrypted Client Hello.
Entonces bueno, es una solución que ya está en uso y por tanto fue una decisión natural para ellos utilizarlo.
Después nos explican un poco sobre los detalles técnicos de cómo funciona esta encripción de llave privada.
Bueno, les voy a ahorrar esa parte porque no creo que le haría justicia en el tiempo rápido que tenemos para realizar el blog.
Después nos cuentan un poco que encontraron las implementaciones de esta encripción en algunas implementaciones de referencia y también que estaban desarrolladas en Go y con esta solución de Circle, que también es una solución open source de Cloudflare para criptografía.
Y bueno, finalmente nos cuentan que se decidió hacer la implementación en el código que ya estaba utilizándose o más bien en el lenguaje de programación que ya está utilizándose en el Firewall, que es Rust.
Y bueno, también nos cuentan un poco cómo este le da los beneficios de tener WebAssembly para la solución.
Entonces nos cuentan ahora que tuvieron que desarrollar una solución tanto en la interfaz gráfica como en una interfaz de línea de comandos y decidieron, bueno, en lugar de hacer dos bases para el código, implementarla con WebAssembly y tener una sola.
Y también lo cual significó ahorros de tiempo importantes para utilizar WebCrypto en JavaScript.
Después nos cuentan cómo hicieron segura la solución para esto y bueno, la parte que la hace segura es que Cloudflare no tiene conocimiento de la llave privada que se utiliza para encriptar estas cargas.
Nos dan luego un ejemplo de cómo las reglas de Firewall son implementadas, aquí vemos un poco la sintaxis y después tenemos una solicitud de ejemplo.
Nos cuentan cómo se evalúan y las reglas que en este caso aplicarían para esa solicitud de ejemplo.
Y después vemos un poco cómo luce esta encripción en el JSON del evento.
Y un poco nos cuentan también cómo se desencripta esto con lo que ya les mencionaba de la solución para interfaz de línea de comandos y también cómo luce lo mismo en la interfaz gráfica del panel de control en Cloudflare, en el Firewall.
Bueno, aquí nos cuentan un poco las conclusiones y cómo trabajaron con distintos equipos dentro de Cloudflare, tanto el equipo de seguridad como el equipo de investigación y cómo llegaron a esta implementación.
Seguimos entonces con el siguiente blog, que es un blog de nuestro colega Alex, que nos cuenta sobre la introducción de topología de cachés de capas, que nos cuenta un poco, bueno, vemos aquí un pequeño gráfico de cómo funciona esto.
Nos cuenta, bueno, cómo la solución de caché en Cloudflare es básicamente como un pequeño truco de magia que hace que los sitios de todos los usuarios de Cloudflare tengan mayor velocidad al acercar los recursos de los distintos sitios a los más de 200 centros de datos que Cloudflare mantiene alrededor del mundo.
Pero también nos cuenta aquí, bueno, que en el caso de que Cloudflare no tenga en sus centros de datos algún recurso en específico, ya sea una imagen o algún HTML o algún JavaScript del sitio, pues tiene obviamente que hacer un viaje hacia el servidor de origen y recuperar desde ahí el recurso directamente para después poderlo presentar a los visitantes.
Entonces nos cuenta ahora sobre cómo esta solución con Argo tiene actualmente lo que se conoce como el caché por capas.
Lo que hace el caché por capas es que selecciona un único servidor o más bien una única localidad en Cloudflare que será la que estará conectando al servidor de origen y desde ahí, bueno, se hace la distribución del recurso.
Ahora nos cuenta un poco cómo funciona con esta elección inteligente de las ubicaciones en Cloudflare que harán esta recuperación del recurso desde el origen.
Nos cuenta un poco cómo funciona en el caso de Argo, que en este caso vemos que pueden ser múltiples locaciones las que acceden al origen para después distribuir ese mismo recurso a todo el resto de locaciones y un poco cómo funciona ahora, que ahora se hace una sola solicitud que después se distribuye al resto de los sitios.
Esto reduce la cantidad de tráfico, así como la cantidad de solicitudes que se hacen y vemos aquí un poco cómo luce esto en el panel de control de Cloudflare, cómo se puede seleccionar si ustedes deciden utilizar esta nueva funcionalidad.
Como mencioné acá, los clientes que están en el plan Enterprise pueden seguir eligiendo su topología de manera particular de acuerdo a sus necesidades y también vemos aquí para todos los clientes que utilizan el servicio de Argo cómo pueden seleccionar la opción de utilizar esta topología.
Y bueno, nos cuenta acá un poco cómo luce una vez que se ha habilitado y nos cuenta lo que es los servidores de datos primarios y los servidores de datos secundarios y un poco cómo luce en el panel de control la parte de la selección tanto de los centros de datos primarios como los secundarios y un poco el caché, el porcentaje de recursos que se están obteniendo desde la caché, así como los bytes que se han ahorrado en la transmisión de datos con esta solución.
Seguimos con otro blog de nuestro colega Brian que nos explica un poco a detalle técnico cómo se implementó esta topología inteligente.
Nos cuenta un poco de la historia sobre Argo y cómo se utiliza para acelerar Internet y hacer las rutas más eficientes.
Y bueno, nos cuenta también acá cómo utilizando esta solución puede llegar un visitante de Sudáfrica, por ejemplo, llegar hasta un centro de datos en Norteamérica, pero también puede llegar a un centro de datos más cercano que pueda tener ese recurso primero.
Y bueno, nos cuenta un poco en el caso de un caché estándar, pues cada una de las locaciones hace solicitudes y desde ahí se distribuyen a los centros de datos.
Y nos cuenta, bueno, acá, si esto llega a ocurrir, puede ser que cierta locación tenga el recurso, pero si la solicitud de un cliente llega por este lado, pues tiene que hacer la solicitud a este sin poder darse cuenta que se encuentra en esta otra ubicación.
Bueno, después nos cuenta un poco cómo se determina la latencia.
Esto lo hace a través de TCP para determinar cuál es la ubicación más cercana, como una aproximación.
Después nos explica un poco cómo funciona el caché por capas, que se tienen aquí las ubicaciones primarias y más abajo las ubicaciones secundarias.
Entonces ya el número de solicitudes potenciales al servidor de origen se ven reducidas.
También nos cuenta un poco lo que mencionábamos sobre las topologías diseñadas específicamente para clientes enterprise, que bueno, ellos trabajan con un equipo dedicado de ingenieros de soluciones y de infraestructura para determinar la topología que es más pertinente dependiendo a la solución que ellos tengan o la ubicación de los servidores primarios.
También nos cuenta un poco sobre cómo se genera una topología genérica, en este caso, y nos cuenta cómo se hace para que este tráfico no haga un gran paseo por todo Internet.
Finalmente nos cuenta un poco sobre la nueva tecnología que se está implementando, sobre la topología inteligente y cómo se utilizan distintos mecanismos para determinar la latencia que se tiene.
Bueno, uno de ellos podría ser la geolocalización, pero nos cuenta que una desventaja de esto es que aún se tenga una base de datos de geolocalización muy grande, generalmente habrá siempre casos en los que esta proximidad geográfica realmente no sea la mejor en cuanto al tráfico en Internet.
Después nos cuenta sobre el probing con TCP, que les mencionaba, y nos cuenta un poco sobre los algoritmos de selección, cómo se mantiene un listado por 24 horas de la latencia y se va determinando cuál es el ganador o el servidor más veloz que puede servir esa solicitud y se utiliza ya ese como el servidor primario que visitará al origen.
Nos cuenta acá que una limitación es, bueno, si el cliente ya utiliza algún proveedor que utiliza Anycast, es un poco más complejo determinar esto, pero ya se está haciendo trabajo para, en base a cálculos de lo que toma el tráfico, poder determinar que, bueno, este es aún más eficiente, aunque se encuentre en la misma locación IP de Anycast.
Y acá, bueno, finalmente vemos un poco cómo funciona ya todo en conjunto.
Tenemos el servidor de origen, el cliente que activa la tecnología de topología inteligente, y después empiezan a hacerse solicitudes de prueba utilizando algo que alimentan el motor que determina cuáles servidores de borde serían los que estarían haciendo la solicitud de la manera más eficiente al servidor de origen.
Finalmente, bueno, nos cuenta acá que todo esto se construyó sobre tecnologías de Cloudflare ya existentes que nos permiten crear este tipo de soluciones para hacer el Internet más eficiente para nuestros clientes.
Siguiendo con el blog, tenemos un blog de Jocelyn que nos cuenta un poco del análisis de ciberseguridad que se hizo en la pasada elección del 2020 en los Estados Unidos, y nos cuenta un poco, bueno, sobre el proyecto Athenian, que es un proyecto que Cloudflare tiene para proveer servicios gratuitos para proteger a sitios de elecciones locales y estatales.
Bueno, esto con la idea de, obviamente, hacer más seguros los procesos electorales y también que sean menos vulnerables a ataques cibernéticos.
Bueno, nos cuenta acá que desde la perspectiva de seguridad, a través de su trabajo en este proyecto, pudo ver de primera mano el tipo de ataques y los beneficios que las organizaciones que participan en este programa reciben.
Nos cuenta más a detalle, obviamente, con la pandemia actual, que, bueno, esta necesidad se hizo más evidente este año, pero aún así, bueno, nos cuenta o nos dice acá sobre una declaración que se hizo, bueno, que no existió evidencia de que hubiera algún compromiso en la elección.
Y nos cuenta también del equipo en Cloudflare que estuvo trabajando, más de 50 empleados trabajando para atender a estas organizaciones.
También nos cuenta sobre otro proyecto que Cloudflare tiene, que es proyecto Galileo, que nos permite proteger a organizaciones de derechos humanos, periodistas, organizaciones que buscan la justicia social, con servicios gratuitos de Cloudflare también.
Y nos cuenta aquí, bueno, algunas, por ejemplo, la universidad que tuvo el debate presidencial se acercó a través de este proyecto Galileo, y vamos aquí, bueno, la explicación que nos da sobre cómo esto benefició a esta universidad al proteger su sitio web durante el tráfico.
¿Qué se observó? Aquí vemos un poco las gráficas sobre el número de organizaciones que fueron protegidas y los incrementos de tráfico que observaron.
Acá vemos un poco la cantidad de solicitudes que fueron bloqueadas por el firewall de aplicación web a lo largo de los meses.
Vemos como en junio se vio mucha más actividad, y también al inicio en marzo.
Y también vemos acá, bueno, algunas otras, por ejemplo, el secretario de Estado de Missouri que nos cuenta por la decisión que tomaron para proteger con Cloudflare y los beneficios adicionales que obtuvieron.
También vemos un poco los perfiles de las cantidades de tráfico y los incrementos que se vieron al realizar a lo largo del periodo electoral.
Y también vemos, bueno, que de noviembre 4 a noviembre 11 se vieron más de 16 millones de solicitudes maliciosas que fueron detenidas por el firewall de aplicaciones de Cloudflare en proyectos, en sitios web que se beneficiaron del proyecto Athenian.
También vemos un poco el perfil del tipo de ataques que se observaron.
Un poco de inyecciones de SQL, inclusión de archivos, otro tipo de anomalías y servicios de, perdón, ataques de scripting cruzado.
Y bueno, un poco pues invitar a organizaciones de este tipo que vayan a tener elecciones este año, pues acercarse a Jocelyn y al proyecto Athenian, al proyecto Galileo, para seguir protegiendo la democracia en las distintas regiones.
Ok, para finalizar en el blog, tenemos un poco de lo que se observó en Cloudflare Radar, que se encuentra en radar .Cloudflare.com, sobre el perfil de tráfico que se observó en el reciente Super Bowl.
Nos cuenta un poco acá el perfil de los distintos participantes, Kari, Celso y John Graham, que son fans de distintos equipos.
Vemos aquí un poco el tráfico de Internet a lo largo del juego, vemos un poco de incremento cuando se observó la invasión del terreno.
Un poco el perfil de los canales de social media, cómo se ve un poco menos, un decremento en la actividad conforme el partido terminaba.
Vemos acá un poco el perfil de sitios de entrega de comida.
Y después ya analiza más a detalle un poco el perfil de tráfico de anunciantes específicos durante el partido.
Vemos aquí los picos que se observan cuando sus anuncios fueron emitidos durante la transmisión.
Acá también hay un segmento para bebidas y comida, también vemos ahí los picos correspondientes.
Un poco de los snacks y otras comidas que se anunciaron durante el Super Bowl.
Otro anuncio sobre higiene personal, algunos que muestran aquí los picos de tráfico.
Y diferentes otras empresas que tuvieron sus anuncios en el Super Tazón, cómo este efecto se pudo observar, como les mencionaba en radar .Cloudflare.com.
Aquí vemos algunos otros que tuvieron varios anuncios, cómo se ven distintos picos a lo largo del tiempo.
Y bueno, acá vemos que de acuerdo a estas mediciones, bueno, esta compañía, Dexcom, tuvo el mayor incremento de tráfico durante su anuncio comparado con lo anterior y lo siguiente.
Y también vemos ahí Inspiration4. También vemos cómo el sitio de Tom Brady tuvo también algunos incrementos.
Y obviamente invitarlos a visitar Cloudflare .com radar, que se encuentra en radar .Cloudflare.com, para que ustedes puedan ahí también revisar el tráfico en sus regiones o en su sitio web o en algún sitio web que les sea de interés.
Pueden visitarlo y hacer sus propios análisis como el que se muestra aquí.
En este caso, bueno, el día de hoy nos comió un poco el tiempo y ya no creo que vayamos a poder revisar mucho de Twitter.
Tenemos un poco de referencias de distintos clientes como Alliance, que nos cuenta sobre su implementación de Cloudflare y los beneficios.
Vemos un poco de los tweets de los blogs que ya revisamos.
Recordarles también, bueno, que tenemos en Cloudflare TV segmentos de Black History Month.
Hasta luego.