El serverless es una forma de computación que ofrece muchas ventajas, como la escalabilidad, la flexibilidad y el ahorro de costes. Sin embargo, algunas empresas pueden tener dudas sobre cómo implementar serverless en un entorno empresarial, ya que puede suponer un reto para gestionar el tráfico de forma privada, evitar ex-filtraciones, utilizar firewalls o conectar con on-premise.
En este podcast volvemos a contar a Julio Diéz, Strategic Cloud Engineer en Google, donde nos abrirá los ojos para poder trabajar con serverless sin renunciar a los requisitos de seguridad que exigen las grandes empresas.
Cuando un servicio de serverless está expuesto a Internet, es importante protegerlo de ataques externos. Google Cloud posee diferentes servicios para ello y, además, nos provee una forma muy sencilla de integrarlos dentro de nuestro servicios en Cloud Run. Por ejemplo:
- Cloud Armor: un servicio de firewall que nos permite proteger nuestros servicios de ataques DDoS y otras amenazas.
- Cloud CDN: el servicio de distribución de contenido que nos permite servir contenido estático también desde el mundo serverless.
- IAP Control de acceso sencillo: el cual nos permite crear un acceso controlado mediante OAuth en nuestros servicios de serverless desde Internet, sin necesidad de configurar una VPN.
- Ingress setting: controla desde dónde se puede acceder a Cloud Run: Internet, desde un Balancer o como tráfico interno.
Un reto del mundo serverless es cómo conecto mi servicio a mis servicios internos desplegados en infraestructura propia. La manera de conectar los dos mundos, tanto si mis servicios internos están en Google Cloud como en nuestro on-premise, es utilizando las siguientes herramientas:
- Private Service Connect: un servicio que nos permite conectar servicios de Google Cloud de forma privada, sin exponerlos a Internet.
- VPC SC (perímetros de seguridad): el cual nos permite crear perímetros de seguridad para nuestras VPC, aplicando reglas que aceptan o deniegan el tráfico entre ellas o entre ellas e Internet.
Cuando hablamos de controlar el tráfico saliente de nuestros servicios de serverless volvemos a la misma pregunta de antes: ¿cómo puedo controlar un tráfico que se está originando desde la infraestructura de Google, la cuál no veo ni controlo? La respuesta son estos dos servicios:
- Serverless connectors: nos permite conectar servicios de serverless a otros servicios tanto en Google como on-prem enrutando todo el tráfico de salida hacia una VPC de mi propiedad.
- Direct VPC egress (Preview): nueva feature ya en preview que nos permite hacer lo anterior, pero sin necesidad de gestionar infraestructura ni costes adicionales.
Como hemos visto, es posible implementar serverless en un entorno empresarial sin renunciar a los requisitos de gestión de redes de comunicaciones. Con las herramientas y técnicas adecuadas, podemos proteger nuestros servicios de serverless de ataques externos, evitar exfiltraciones, utilizar firewalls y conectar con on-premise.
Si te interesa saber más sobre el tema, lánzate a escuchar este episodio donde Julio Diez (Strategic Cloud Engineer en Google Cloud) nos cuenta de primera mano cómo hacerlo de la mejor manera.
Puedes escucharlos en las principales plataformas de podcast: Ivoox, Spotify, YouTube, Google Podcast, Apple Podcast y Amazon Music.
Imagen de portada: Motion Array.
Tomás Calleja
De pequeño me encantaba solucionar problemas de manera sencilla y cacharrear con la tecnología. Han pasado los años pero mis gustos no han cambiado: me paso el día aprendiendo nuevas tecnologías para luego diseñar e implementar soluciones sencillas a problemas complejos, siempre desde un punto de vista LEAN. Durante los últimos años me he centrado en Google Cloud Platform, soluciones Cloud Native y Serverless aunque me gusta saber un poco de todo.
Ver más contenido de Tomás.Óscar Ferrer
Después de más de 10 años trabajando en el desarrollo de productos digitales, he tenido la suerte de pasar por diferentes roles que me han dado una visión global de lo que significa idear, desarrollar y mantener productos de software. En este camino he visto cómo el Cloud se convertía en un factor clave, no solo para su desarrollo, sino también para la estrategia global de compañía. Por eso, me escucharás hablar sobre cómo la nube puede aportar desde un punto de vista técnico, pero también sobre cómo puede ayudar a la transformación de empresas.
Ver más contenido de Óscar.Julio Díez
He sido ingeniero de software/hardware desde que tenía 10 años, cuando tuve mi primer contacto con el lenguaje ensamblador Z80. Me interesa la programación de sistemas informáticos, la ciberseguridad y la seguridad de arquitecturas, criptografía, las tripas de los sistemas operativos y las redes. Actualmente trabajo en ayudar a las empresas a sacar el mejor partido de Google Cloud.
Ver más contenido de Julio .
Tell us what you think.