Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo la virtualización de datos cumple con la promesa de DevOps

[15/06/2016] El uso de datos en tiempo real en el desarrollo significa que usted puede probar las cargas de trabajo reales y obtener resultados realistas en las transacciones e informes. Es también un gran riesgo de seguridad, como el minorista de productos para bebé del Reino Unido, Kiddicare, encontró recientemente: La compañía utilizó nombres reales de los clientes, direcciones de envío, direcciones de correo electrónico y números de teléfono en un sitio de prueba, solo para que los datos extraídos fueran utilizados para enviar mensajes de texto de phishing a los clientes.

En el 2015, el CEO de Patreon, Jack Conte, admitió que los nombres, direcciones de envío y direcciones de correo electrónico de 2,3 millones de usuarios del sitio de crowdfunding habían sido robados "a través de una versión de depuración de nuestra página web que era visible para el público" que tenía un "servidor de desarrollo que incluía una instantánea de la base de datos de producción". Y a principios de este año, un desarrollador de la Universidad de Sydney en Australia perdió una computadora portátil que contenía una copia sin cifrar de una base de datos con los datos personales y médicos de 6.700 estudiantes discapacitados.

"Podemos señalar incidentes como el de Kiddicare y Patreon para mostrar las graves ramificaciones de seguridad de esto, anota el experto en seguridad Troy Hunt, ¿que dirige el sitio Have I Been Pwned?, para ayudar a los consumidores a encontrar si alguna de sus cuentas ha sido comprometida. "Existen precedentes de la industria sobre lo mal que se puede poner esto".

"Entonces se tiene en cuenta la logística de probar los datos de producción: Alguien se conecta a ambos entornos, tal vez sea un servidor SQL vinculado en el entorno de prueba con acceso a los datos de producción. He visto esto antes y es un riesgo enorme", añade Hunt. "La excusa que escuchará con frecuencia por parte de los desarrolladores es 'necesito reproducir un error que solo ocurre en la producción", pero eso apunta a una falta de control de errores y poner el registro de su parte".

Ser capaz de simular o virtualizar datos no solo es más seguro, indica Hunt, sino que puede aumentar la productividad. "No son solo los problemas de seguridad y de calidad de código; generar datos de prueba de forma automatizada, le permite fácilmente volver a crear el mismo ambiente para otros en el equipo. En un mundo ideal, solo tiene que encender el script de generación de datos y aprovisionar usted mismo un entorno completo que no sea de producción. Sí, puede ser más trabajoso que una copia de producción de una sola vez, pero solo tiene que hacer esto una vez, y no tiene que enfrentarse con los datos del cliente fuera de la producción".

Seguridad y agilidad

Esta combinación de seguridad y agilidad de datos es clave si va a cambiar su presupuesto de TI para mantener sus sistemas existentes en la innovación, señala Daniel Graves, vicepresidente de gestión de producto del proveedor de virtualización de datos DelphiX. El software DelphiX entrega copias virtuales de datos de bases de datos como SQL Server, DB2 de IBM, Oracle Database y E-Business Suite, y pronto MongoDB, sin esperar las exportaciones, o que utilice un runbook complicado de procesos manuales para remediar el sistema.

"Los líderes de TI quieren pasar de lanzamientos trimestrales de aplicaciones al lanzamiento mensual", anota Graves. "Los sitios Web quieren pasar de lanzamientos diarios a emisiones por hora. Nuestros clientes de la banca van desde la liberación de una actualización de su software una vez al año, a cada pocas semanas. Esta unidad para aumentar la velocidad y entregar más características con mayor rapidez procede de todas las industrias -y no de las que normalmente se esperaría. Los gobiernos lo están haciendo, al igual que las organizaciones de salud".

La adopción de la entrega continua, y la actualización de sus aplicaciones y servicios de cara al cliente, con frecuencia no ayudan a acelerar el desarrollo si los desarrolladores están esperando acceder a los datos con los que trabajan estas aplicaciones. "La gestión de enormes cantidades de datos ha sido un bloqueador clave para ellos", afirma Graves. "Con las herramientas DevOps pueden automatizar su infraestructura y hacer girar las máquinas virtuales hacia arriba y hacia abajo con mayor rapidez, pero no pueden hacer eso con los datos. Si desea girar una docena de copias de sus datos, se tardará semanas. La extracción de los datos, moverlos a través de la red y hacer copias físicas es un proceso lento, laborioso y manual. DelphiX puede tomar su entorno de datos y permitir que se manipulen en cuestión de minutos, no semanas, en un modo de auto-servicio".

Un acceso más rápido a los datos puede mejorar la productividad, e incluso la calidad del software. Los desarrolladores pueden ejecutar muchas más pruebas porque es mucho más rápido obtener una copia limpia de los datos para cada prueba. "Conseguir que un sistema de prueba esté listo para ejecutarse puede tomar un día; si ejecuta un conjunto de pruebas de regresión que toman una hora y luego tiene que restablecer el entorno, demorará otras 16 o 18 horas", comenta Graves. Si se tarda un día para ejecutar una hora de pruebas que valgan la pena, solo puede hacer siete pruebas a la semana. "Si puede resetear en cuestión de minutos, ahora puede realizar 24 pruebas por día, y eso significa que está encontrando errores mucho antes en el ciclo de desarrollo, lo que reduce el costo y la complejidad para repararlos".

Si tiene varios desarrolladores y equipos de control de calidad, que necesitan utilizar los mismos datos y necesitan una copia limpia cada vez, puede darle a cada uno su propia caja de arena. El sitio de venta de entradas en línea, StubHub, cliente de DelphiX, solía tener siete copias de sus datos: tres para los desarrolladores, tres para control de calidad y otra para las pruebas beta. Ahora tienen más de cien copias. "Eso es algo que nunca haría en el mundo físico", señala Graves. "Cuando su base de datos tiene docenas de terabytes de tamaño, nunca va a comprar suficiente almacenamiento o emplear a los administradores de bases suficientes para gestionar 150 copias de sus datos. Una vez que es virtual, tiene una forma ligera, instantánea y segura de hacerlos proliferar sin aumentar el riesgo de seguridad".

Para hacer eso, DelphiX también puede enmascarar los datos y cifrarlos por seguridad durante el desarrollo. El cuidado de la salud, por ejemplo, está sujeto a regulaciones complejas que protegen los datos del paciente y su información personal. "Hay que tener mucho cuidado con el uso de esa información en su proceso de desarrollo", indica Graves, y lo mismo es cierto si está tratando con la información de pago. "Con el fin de impulsar un nuevo sistema de mercado, necesitan seguir todas estas reglas y regulaciones cuidadosamente. Podemos identificar los datos confidenciales mediante el perfilado de la base de datos fuente para encontrar los nombres y direcciones y otros datos de identificación personal, y luego usamos el enmascaramiento de algoritmos para crear un aspecto realista y versiones totalmente insensibilizadas para proteger la integridad de la aplicación".

El enmascaramiento no es nuevo (SQL Server 2016, por ejemplo, le permitirá configurar la política para enmascarar automáticamente los campos elegidos en los informes de bases de datos y las exportaciones por rol), pero combinándolo con una virtualización de datos que abarque todas las fuentes de datos, indica Graves. "El resultado es, digamos que estoy en el equipo de control de calidad; ahora tengo los controles de auto-servicio, pero el administrador puede configurarlos de modo que cuando trabajo en esta aplicación siempre me den el último mes de los datos más recientes y siempre enmascarados. Ni siquiera tengo una opción".

Eso es importante porque los desarrolladores no siempre siguen la política de protección de datos de la empresa. "Los datos están siendo robados del control de calidad y pruebas de desarrolladores", añade Graves. "Las empresas han hecho un gran trabajo en proteger ubicaciones de datos, pero esos datos también están en la computadora portátil de alguien en la cafetería y los atacantes irán en busca de la parte menos protegida de su sistema."

Asegurarlos fuera de las instalaciones y en la nube híbrida

La virtualización de datos no es solo para los desarrolladores: Puede ayudar a todos, desde los analistas de negocios al equipo de TI, especialmente si está pensando en la nube híbrida.

"Puede sincronizar datos en DelphiX; a continuación, enmascarar los datos, volver a ubicarlos en servicios en la nube de AWS como para que pueda hacer DevTest o pruebas de desarrollo en la nube y presentar informes en casa", indica Graves. "Es lo mismo para el análisis. Puede sincronizar un conjunto totalmente realista de datos -y el enmascaramiento es un proceso irreversible. Si cambio Dan Graves con Steve Johnson, no se puede obtener de nuevo por lo que si lo roban no importa. Eso permite que se mueva una cantidad significativa de su carga de trabajo en un entorno de nube para reducir costos y permitir la explotación, pero sin ningún cambio en la seguridad, la gobernabilidad y el control debido al enmascaramiento".

Hay opciones reversibles como la tokenización, si desea utilizar la virtualización de datos para la recuperación de desastres, y asegurarse de que puede obtener los datos originales de nuevo. "Se trata de obtener los datos correctos en la forma correcta del usuario correcto, cuando lo necesite", indica Graves.

Hay muchas ventajas en la virtualización y el enmascaramiento de datos, y hay muchos incentivos para empezar a adoptarlos. La pérdida de los datos de prueba sin cifrar, por ejemplo, es el tipo de proceso mal gestionado que podría incurrir en multas en el marco del Reglamento Europeo de Protección de Datos (GDPR, por sus siglas en inglés). Pero si está utilizando enmascaramiento u otras formas de seudónimos, quizá no tenga que responder a solicitudes de acceso a datos o a la eliminación de los datos, o requerir el consentimiento para la toma de decisiones y elaboración automatizada de perfiles.

"El GDPR introduce un enfoque de 'palo y zanahoria' a la promoción de enmascaramiento de datos", señala Phil Lee del equipo de privacidad, seguridad e información del equipo de la firma legal internacional Fieldfisher. "Anima a las empresas para que adopten tecnologías de seudónimos, ya sea como parte de una buena gestión de la información, o para reducir las cargas reguladoras en caso de acontecimientos imprevistos, como los incidentes de seguridad. En contraste, las empresas que no están en conformidad con el GDPR enfrentan a reguladores que agitan palos muy grandes -posibles multas de hasta 4% de las ventas anuales en todo el mundo".