Estas semanas en Cloudflare en Español
Presented by: Alex Mayorga Adame
Originally aired on August 20, 2021 @ 10:30 AM - 11:00 AM EDT
Learn about the latest in the world of Cloudflare — presented in Spanish by Alex Mayorga Adame.
Spanish
News
Transcript (Beta)
Hola, buenos días, buenas tardes, buenas noches, donde quiera que nos estén viendo en esta transmisión de Estas Semanas en Cloudflare en Español, ya sea en la emisión en vivo o en alguna de las retransmisiones.
Mi nombre es Alex Mayorga Adame y soy un ingeniero de soluciones en la oficina de Cloudflare en Austin.
Para los que nos sintonizan por primera vez, bueno, este programa lo que hacemos es revisar las novedades de producto y las novedades en el blog de Cloudflare para saber qué es lo último que está ocurriendo.
Un poco de información también para todas las personas que nos ven, tenemos disponible en la parte baja de la transmisión un correo electrónico y un número telefónico en el que pueden enviar cualquier pregunta o comentario que tengan acerca del programa y si nos da tiempo, los revisaremos al final de la transmisión o durante la misma.
Bueno, comencemos entonces.
Revisamos Cloudflare.com diagonal a whats-new en donde tenemos las últimas novedades de los productos de Cloudflare.
Tenemos aquí el primer anuncio que es la disponibilidad de las rutas estáticas de Magic Transit vía la API de Cloudflare.
Aquí vemos que esto nos permite actualizar las rutas estáticas en los túneles de GRE a través de una API REST.
Y como mencioné aquí, podemos cambiar algunas propiedades, como es la prioridad, el alcance regional y el peso del balanceo de CMP.
Ese es el primer anuncio que tenemos. Tenemos después otro anuncio que es la remoción del encabezado cf-request-id.
Esta remoción ocurrió el día 1 de julio y nos comenta aquí que se había hecho una remoción temporal el día 15 de junio como prueba.
También menciona que si por cualquier razón tienen alguna dependencia en este encabezado, la sugerencia es reemplazarlo por el encabezado cf-re.
Y también nos dejan aquí un enlace para estar informados de otras deprecaciones que puedan ocurrir en la API que pueden encontrar en api.Cloudflare.com diagonal deprecations.
También tenemos el siguiente anuncio, es la disponibilidad en el balanceo o load balancing, en el balanceo de cargas, del direccionamiento por proximidad.
Como nos comenta aquí, se le da a los clientes la posibilidad de introducir coordenadas de longitud y latitud de sus centros de datos para que Cloudflare en sus centros de datos pueda hacer el direccionamiento que sea más cercano geográficamente de sus visitantes.
Bueno, tenemos esos tres anuncios y ahora vamos a pasar a revisar el blog de Cloudflare que está disponible para ustedes en blog.Cloudflare.com Tenemos el primer blog de nuestro colega Tim que nos cuenta un poco sobre controles de protección de datos en Browser Isolation de Cloudflare.
Bueno, nos comenta un poco Tim sobre cómo podemos usar Browser Isolation para proteger datos sensibles en los navegadores y establecer políticas de cero confianza en los mismos que ahora nos permiten controlar el que se puede hacer copiar y pegar así como imprimir datos en aplicaciones web.
Nos cuenta un poco Tim la historia de cuando se hizo disponible Browser Isolation en Cloudflare for Teams que fue en marzo del 2021 y como esto nos protege a las organizaciones moviendo el riesgo de ejecutar código en un navegador que se hace en los centros de datos de Cloudflare de una manera segura.
También nos comenta que se está haciendo una promoción de incluir Browser Isolation sin costo.
Ahí nos deja una nota al pie y vamos a revisarla.
Y bueno, nos cuenta un poco sobre la historia de los navegadores que obviamente comenzaron simplemente para revisar información académica pero ahora se han convertido en plataformas muy sofisticadas que nos permiten hacer todo tipo de cosas en Internet.
Y bueno, nos cuenta un poco también sobre los ataques que pueden ocurrir en estos navegadores y la inspección que se puede hacer en este caso.
Nos cuenta un poco cómo las tecnologías de aislamiento del navegador mitigan los riesgos que ya mencionaban y también nos cuenta un poco cómo los administradores tienen que decidir entre el desempeño y la seguridad.
Y bueno, nos cuenta que ya se que pueden priorizar la seguridad utilizando soluciones que envían los pixeles a los usuarios.
Pero bueno, esta tiene la limitación de que incrementa o introduce latencia y también puede ser que se vean errores gráficos o sea un alto consumo de ancho de banda.
También la otra opción es priorizar el desempeño y bueno, esto es que se inspeccionan las páginas y se vuelven a reempacar.
Pero nos cuenta que este modelo es frágil y puede comprometer la seguridad si hay detecciones que no se realizan.
Y bueno, comenta también que como ya sabrán en Cloudflare tratamos de no hacer que la seguridad tenga un impacto en el desempeño y nos cuenta cómo se desarrolló esta solución.
En este caso se prioriza la seguridad porque nunca se envía el código al dispositivo del usuario sino que se ejecuta todo en el ambiente remoto.
Y también se prioriza el desempeño porque se utilizan vectores de imágenes en lugar de los pixeles para reducir la latencia y el uso de ancho de banda.
Vemos aquí un poco el diagrama de cómo está el usuario final que se conecta a browser isolation.
En el centro de datos de Cloudflare se ejecuta un browser aislado y a través de ese centro de datos se visita el sitio donde se obtiene todo el código del mismo.
Y también vemos aquí que cualquier ejecución de código malicioso no se realiza directamente en el dispositivo sino en la red de borde de Cloudflare.
Y pues esto nos permite tener mejor desempeño.
Al final solo se le envían los vectores de los gráficos al usuario.
Y bueno, finalmente nos muestra a Tim un poco cómo funciona esto de eliminar el copy en el navegador.
Vemos aquí que se está haciendo una isolation y ahí vemos el pop-up que le menciona al usuario que la copia está bloqueada.
De la misma forma la impresión no está permitida.
Y después Tim nos cuenta un poco cómo implementar esta política en nuestra configuración de Teams.
Se hace una regla para que tenga la acción de isolate y finalmente debajo aparecen las políticas donde se puede deshabilitar la impresión y deshabilitar el copiar y pegar.
Después Tim nos cuenta un poco de lo que se planea como siguientes pasos.
Una de las características planeadas es prevenir la descarga y subida de archivos sin tener que hacer reglas complicadas.
Y finalmente nos cuenta un poco cómo se está democratizando esta característica.
Vemos que menciona aquí que para cualquier negocio que quiera utilizar Cloudflare for Teams en Enterprise se van a agregar hasta 2,000 usuarios de browser isolation de manera gratuita hasta el 31 de diciembre del 2021.
Y bueno, nos deja un enlace para comenzar a utilizar esta característica. Vamos a seguir en el blog.
Tenemos un blog de nuestra colega Alisa que nos menciona sobre el anuncio de control de tenants en Cloudflare Gateway.
Bueno, Alisa comienza contándonos un poco que muchas de las herramientas que utilizamos en nuestro trabajo también las utilizamos en nuestro día a día.
Menciona por ejemplo ahí a Gmail o Dropbox.
Y bueno, que esto puede generar errores. Si al final del día olvidamos cerrar nuestra sesión en nuestras cuentas del trabajo pues podemos enviar ahí algún correo personal utilizando estas por error.
Y bueno, nos cuenta que se está incluyendo el control de tenant en Gateway para prevenir este tipo de situaciones.
Y que los datos corporativos se mantengan dentro de las cuentas corporativas.
Nos pone aquí un poco el esquema de cómo funciona Cloudflare Gateway.
Tenemos aquí los roteadores en la oficina o los dispositivos con Gateway, con WARP instalado que hacen una revisión de todas estas políticas en Cloudflare.
Y después ya acceden a los recursos que se están buscando.
Bueno, nos cuenta también que como quizás ya sepan Cloudflare tiene el resolver de DNS más rápido del mundo en 1.1.1.
Y como la solución de Gateway se construyó encima de esta tecnología.
Y nos cuenta acá cómo se pueden aplicar estos controles de tenant utilizando algunos headers de HTTP en específico que van a permitir que se bloquee el acceso a las soluciones de consumidor o de uso personal.
Y se permita solamente el acceso a las aplicaciones SaaS del negocio específicamente.
Vemos aquí un poco cómo se hace la configuración.
Nos da un ejemplo en este caso con G Suite.
Y nos cuenta el header que se utiliza aquí. Está un poco largo, pero ahí está.
Y cómo se hace esta configuración en Cloudflare for Teams. Nos cuenta también un poco sobre los planes que se tienen para esta solución de Gateway.
Permitir qué aplicaciones se usan y también permitir la descarga o subida de archivos.
Así como menciona también el bloqueo de copy-paste que ya veíamos en el blog de Team.
Y nos deja aquí un enlace por si queremos empezar a utilizar Cloudflare for Teams.
Ahí está el enlace para que hagan clic.
Vamos a ver, seguimos con un blog de nuestro colega Mohak que nos cuenta un poco sobre cómo hacer una cámara para mascotas utilizando una Raspberry Pi y las soluciones de Cloudflare, Cloudflare Tunnel y Cloudflare for Teams.
Bueno, nos cuenta Mohak un poco de cómo adoptó a su gatito en el 2020.
Se llama Sigi. Y nos cuenta que tuvo un incidente con el gato que le pasó que rompió su recipiente de la mantequilla en la noche.
Pero bueno, nos dice ahí que afortunadamente nadie estaba todavía dormido, entonces no pasó a mayores esa situación.
Tenemos aquí una foto del gato. Y también nos cuenta Mohak que en este caso, bueno, esto lo hizo comenzar a buscar una solución y para eso creó un proyecto de fin de semana utilizando Cloudflare Teams y Cloudflare Tunnel así como una Raspberry Pi.
Nos deja aquí la lista de ingredientes. Necesitamos una Raspberry Pi y el módulo de la cámara, un poco de conocimiento de Linux y de DNS, un dominio que controlemos, una conexión a Internet y una cuenta de Cloudflare que nos permitirá tener tanto Teams como Tunnels.
Aquí nos deja una imagen de la cámara que utiliza.
Y bueno, nos cuenta cómo instalar los módulos y nos deja ahí los comandos.
Tiene ahí la URL con localhost y cómo se conecta.
Pero bueno, nos cuenta que él quería poder acceder a la cámara desde cualquier lugar en que se encuentre, pero tampoco quería abrir puertos en su ruteador.
Entonces por eso utiliza Cloudflare Tunnels.
Aquí nos deja las instrucciones de cómo configurar el Tunnel, cómo conectarlo al DNS.
Nos deja también una captura de la pantalla donde vemos el registro de DNS que ya creó Cloudflare Tunnel.
Después nos dice cómo podemos hacer la prueba del Tunnel utilizando Cloudflare Tunnel Run y el nombre del Tunnel.
Y bueno, eso ya está listo y ya podemos ver aquí la URL donde podemos ver la cámara.
Pero bueno, obviamente él no quería que cualquier persona o cualquier extraño pueda ver el interior de su casa, entonces nos cuenta, nos sigue contando un poco cómo hacer la configuración de Cloudflare Access para que haga una validación con su cuenta de Google.
Vemos aquí cómo configura su proveedor de identidad, en este caso Google.
Y después hace una prueba de la conexión.
Finalmente agrega una aplicación para su cámara donde especifica el dominio.
Y finalmente el proveedor de identidad que se va a estar revisando para permitir el acceso a esta aplicación.
Y finalmente ahí vemos a su gato comiendo más mantequilla.
Excelente blog de Mohawk. Entonces si tienen su Raspberry Pi, alguna mascota que quieran monitorear, pues los invito a revisar esta receta que nos deja Mohawk en este caso.
Seguimos con un blog más de nuestro colega Omer que nos cuenta sobre cómo Cloudflare detuvo un ataque de más de 17 millones de solicitudes por segundo, que al parecer es el más grande ataque que ha sido reportado hasta la fecha.
Bueno, nos cuenta Omer un poco cómo funciona, o nos deja más bien un enlace a un blog anterior en el que se detallaba cómo funcionan las protecciones contra denegaciones de servicio en la red de borde de Cloudflare y cómo estas funcionan automáticamente.
Y nos cuenta que estas mismas detuvieron un ataque, como ya mencionábamos, de un poco más de 17 millones de solicitudes por segundo.
Que menciona Omer, ha sido hasta tres veces más grande de los que él tiene conocimiento.
Y bueno, para dar una perspectiva, nos muestra aquí que en el caso de tráfico normal, Cloudflare generalmente sirve 25 millones de solicitudes por segundo en promedio.
Y bueno, este ataque fue de 17.1 millones. Vemos aquí una comparativa que es casi el 68% del tráfico legítimo en este caso.
Vemos aquí el tráfico legítimo en azul y el tráfico de ataque en rojo.
Estos datos son basados en el segundo cuarto del 2021 de lo que se observó en la red de Cloudflare.
Bueno, nos cuenta un poco más a detalle Omer sobre cómo funcionan estas mitigaciones en el red de borde de Cloudflare.
Tenemos lo que se llama 2D, que es un servicio de demonio que está instalado en todos los dispositivos.
Lo que analiza el tráfico, pero fuera del pad crítico, lo que permite no causar latencia ni afectar el desempeño.
Y después nos cuenta que una vez que el ataque sea detectado, pues se aplican mitigaciones automáticas, ya sea en la capa 4 o en la capa 7, dependiendo de dónde sea más eficiente hacer ese bloqueo.
Lo que obviamente optimiza la utilización de los recursos tanto de ancho de banda como de CPU en los centros de datos.
Y vemos aquí un poco la gráfica de cómo evolucionó el tráfico de este ataque.
Vemos ahí los más de 17 millones de solicitudes.
Y nos cuenta que se originó geográficamente al parecer en Indonesia, India, Brasil.
Y aquí vemos un poco el mapa de esta distribución. También nos cuenta que hubo otro ataque similar, que en este caso fue de 8 millones de solicitudes.
Y bueno, que al parecer estos ataques fueron una variante de la botnet conocida como Mirai.
Y vemos aquí que, bueno, al parecer este otro ataque tuvo tráfico de hasta 1.7 terabytes por segundo.
Y principalmente atacaba a clientes que utilizan la WAF y el CDN de Cloudflare.
Y también vemos que hubo otro ataque de hasta 1 terabyte por segundo contra clientes que utilizan Magic Transit y Spectrum.
Y bueno, nos cuenta que todos estos ataques fueron detectados y mitigados automáticamente.
Aquí vemos un poco los picos en el tráfico. Y después nos sigue contando Homer un poco sobre las predicciones que se tienen que probablemente estos ataques de capa 7 pues sigan aumentando.
Al parecer los de capa 4 se van a mantener relativamente estables.
Y después nos cuenta un poco sobre Mirai, que bueno, es un malware que se detectó en el 2016.
Y nos cuenta un poco cómo funciona, que ataca dispositivos de IoT como cámaras o también incluso los roteadores que tienen abiertos esos puertos 23 y 2323.
Y después hace un ataque de fuerza bruta con las contraseñas conocidas y obviamente ya conecta los dispositivos infectados a un servidor de comando y control.
Nos deja algunos tips sobre cómo protegernos.
Obviamente, en el caso de que tengamos algún sitio web o alguna propiedad en Internet, bueno, la recomendación es activar Cloudflare para los mismos y automáticamente se tiene la protección contra denegaciones de servicio.
Pero también nos deja algunos enlaces a mejores prácticas y nos recomienda trabajar con nuestro proveedor de Internet para permitir solo el espacio de IPs de Cloudflare para mantener mayor seguridad.
Y también nos deja recomendaciones en el caso de que tengamos dispositivos en nuestras casas como cámaras de seguridad o algún otro dispositivo de IoT.
Bueno, la primera recomendación, cambiar la contraseña y los passwords, perdón, los usuarios y contraseñas que vienen predefinidos por otro que no sea conocido y que sea más seguro.
Obviamente, esto reducirá la posibilidad de los ataques de fuerza bruta.
Y también nos deja otro tip, que es conectar nuestra red de la casa con Cloudflare for Families.
Bueno, este es un servicio gratuito que permite bloquear tráfico malicioso y de malware a nuestra red casera.
Vamos a seguir aquí con otro blog de nuestro colega Kenny. Un saludo a Kenny.
Que nos habla un poco sobre controles de cero confianza en aplicaciones de software como servicio.
Bueno, nos cuenta en este caso, Kenny, que muchas de las aplicaciones, perdón, muchas de las organizaciones que están tratando de moverse a un modelo de cero confianza, mueven sus aplicaciones privadas, primeramente, y después siguen con aplicaciones como software, como servicio.
Y bueno, vemos aquí que nos dice que podemos colocar Cloudflare Access en frente de estas aplicaciones.
Y también nos muestra o nos dice que se han dejado guías para proteger AWS, consolas de AWS, Zendesk y también Salesforce.
Y ahí están los enlaces al sitio de información para desarrolladores, para que las puedan revisar.
Después nos da una pequeña vista general de cómo funciona esto.
Bueno, los usuarios internos y externos se conectan a Cloudflare Access.
Cloudflare Access verifica la identidad de los mismos, así como que el dispositivo cumpla con las reglas de seguridad que se establecen en Access y ya de ahí permite el acceso a las aplicaciones, como podemos ver en el diagrama.
Y después nos cuenta que, bueno, Cloudflare Access implementa todas esas revisiones y después utiliza XAML para hacer la autenticación con las aplicaciones.
Aquí vemos nuevamente otro diagrama. El usuario se verifica contra los proveedores de identidad.
Access hace una revisión de los mismos y también una revisión del dispositivo y ya se pueden acceder tanto a aplicaciones de software como servicio o aplicaciones internas.
Nos cuenta, bueno, que todo esto es implementado con la tecnología de Cloudflare conocida como Cloudflare Workers.
Y después nos cuenta que también ahora se permite el manejo de dispositivos con Gateway en estas aplicaciones con SAS.
Bueno, nos cuenta un poco como con la situación actual de pandemia.
Muchos usuarios están remotos entonces ya no se protege directamente la red.
Pero podemos ver que utilizando Gateway los usuarios pueden seguir protegidos independientemente de la ubicación en la que se encuentren.
Nos muestra aquí un poco como podemos hacer que se requiera la conexión de Gateway antes de permitir el acceso a las aplicaciones.
Y nos deja un poco instrucciones de cómo podemos comenzar a proteger a nuestra organización utilizando esto.
Obviamente podemos comenzar a utilizar Cloudflare for Teams y las guías que ya nos mencionaba en la parte de arriba para empezar a proteger este tipo de soluciones.
También nos cuenta que un poco los planes que se tienen de poder proteger archivos de metadatos o más bien configurar con archivos de metadatos y también más guías de integración que se planean producir o publicar en el sitio de Developers.
Y asimismo nos invita a unirnos a la comunidad en este foro para indicar cuáles son las integraciones en las que ustedes tendrían más interés para que vayan a este enlace y nos lo hagan saber directamente y quién iba a estar monitoreando qué es lo que tiene mayor interés para ustedes.
Y bueno, con esto concluimos la revisión de los blogs el día de hoy.
Agradecerles infinitamente el haberse tomado unos minutos de su día para vernos en esta transmisión e invitarlos en un par de semanas más para la siguiente emisión de la misma.
Se despide de ustedes su amigo Alex Mayor-Gadame. Feliz viernes y un excelente fin de semana para todos.
Hasta luego. Subtítulos realizados por la comunidad de Amara.org