Experiencas con Certificados de cliente. Un newbie administrador

 Siempre me he considerado un poco ingenuo de como documentamos las cosas. Yo he sido siempre de los guia-burros, será por que soy uno de ellos que le vamos a hacer. 

Revisando al documentación Kubernetes y de Docker, y de Swarm, me he dado cuenta de que o tienes conocimientos o caes en la trampa de la documentación. 

Es verdad, y es incuestionable, de que cuando usando una documentación genéricamente vamos a los sencillo: lo simple. No nos preocupamos de aquellas cosas que nos dán la patina del especialista (yo no lo soy). 

Pero me he ido dando cuenta que en esta selva en la que se ha convertido Internet, que no sus protocolos, pues tenemos que profundizar en la seguridad. 

Entiendo que hay dos situaciones:

-  aquellas que no conoces a tu consumidor (ese desconocido que te llama  a la puerta y le tienes que dar toda tu confianza para que hable contigo) y  

- aquellas que lo conoces y confías en él porque siempre que habla contigo te demuestra quién es. 

En mi actual posición me he dado cuenta de que muchas veces equivocamos la seguridad, pero algunos si que la que han comprendido como hacerlo. 

Si vas a usuarios que no sabes quienes son, y no sabes si van a ser amigos/enemigos pues tienes que tener un control de validación de usuario. Me pases un 2FA o unas credenciasles que se van renovando a cada momento o por desgracia no vas a  usar mi servicio. Restringes mucho la audiencia pero por contra consigues limitar los daños de una intrusión negativa. Esto en la literatura anglosajona ya estará asumido pero creo que en nuestro país, España, no lo es tanto. 

En el caso de consumidores corporativos, pues parece que no está tan asumido, y mucho menos implementado. Tan sencillo es como la gestión de comunicaciones por certificado, aunque engorroso porque implica una capa más de seguridad, pero también implica una capa más de asertividad. Esto úlrtimo es soy quién digo y lo tengo demosrtrado por:

- mi clave privada, 

- el certifiado, 

- mi certificado de la autoridad certificadora que demuestra que soy un agente valido.

Entiendo, sin asumir la complejidad de codificación y la complejidad de gestión, que es el mejor sistema de conectarme a un par que voy a consumir. Aun siendo de diferentes organizaciones, y por ende, tener diferentes autoridades de certifiación, las asumimos como propias y confiamos en ellas.

La confianza de las certificaciones, y su autormatización, a nivel de terceros sería un logro sin parangón. Conseguir que una entidad de crédito genere automáticamente, a coste marginal:

-  la generación de un certificado de cliente,

- su firma, y 

- su expedición al cliente, aceptando la manulidad de incorporar el certificado intermedio como válido,

; entiendo que haría confiable muchísima parte de las cadenas de confiabilidad de certificados. 

No sé actuamente cómo implemementar la cadena de autenticación pero seria muy interesante hacer lo indicado. 

Todo lo anterior está muy implementado en servicios B2B pero no se ha implementado en servicios INTRANET. O eso creo. Confiamos mucho en quién nos llama internamente, sea una llamada o no legítima.


Comentarios

Publicar un comentario

Entradas populares de este blog

Instalar Proxmox sobre un raid1 por software

Buenos volvemos a la carga después de casi 7 meses en dique seco. En esto que me he cambiado de curro y además estoy más liado que nunca intentando hacer cosas que me lleven a un destino capitalista más molón. En principio el instalador de Proxmox mola un montón por que en un tiempo record te instala un servidor completito que con 4 chorradas de retoques te deja un cluster de lo más guay. El problema se plantea cuando necesitamos hacer cosas más interesantes. Una de ellas es el uso de Raid por software. Bueno diréis que para que vamos a querer un Raid por software cuando tenemos ya en el mundo tarjetas raid, cabinas de disco por fibra. Bueno lamentablemente somos muy peseteros y no nos gastamos más que lo necesario para que nuestra instalación no pase de unas cifras mágicas que le gusten a nuestro potencial cliente, el cual evidentemente por su desconocimiento a veces no sabe ni lo que paga ni lo que necesita.  Existe una alternativa en el mundo de Linux para instalar Pro...
Leer más

Una cosa diferente. Alta disponibilidad y virtualizacion.

Esta entrada que comienza aquí  es un tema aparte. Es un pequeño ejercicio de como hacer un modelo de negocio que debemos entre todos promover con el software libre que permite el mejor uso y provecho de las tecnologías. Aquí comenzamos. ------------------------------------------------------------------------------------------------------------ Motivos. Usamos el software de gestion de cluster de pve para la virtualizacion y alta disponibilidad de los servicios de monitorización ya que ofrece un entorno de desarrollo de maquetas optimo. Tomamos esta opción por las siguientes razones: Nos permite crear máquinas virtuales de prueba con relativa sencillez y rapidez. Nos permite así mismo crear un entorno de alta disponibilidad con un coste irrisorio (no más de 600€). Permite exportar los resultados de una forma rápida y extremadamente sencilla a entornos más complejos y desarrollados tecnológicamente. Descripción de la plataforma. La plataforma busca ...
Leer más

Virtualización, PROXMOX: solventado el rendimiento.

Ayyy ignorante de mí. Después de haber estado haciendo pruebas, la verdad que muy débiles, durante estos últimos meses me topé con dos desagradables límites, primero el hardware que eran dos clónicos con: 1 CPU 4cores( Intel q6700) 4GB y discos PATA como discos de sistemas, 2 Gigabits (1 admin y otra NFS dedicada) contra un backend NFS de 2,4GHz (2Core) y 2GB de RAM con 2 discos duros SATA 2 7200rpm en raid 0 por software. El rendimiento de los accesos a disco me tenian preocupado y no sabia a ciencia cierta si eran por los mismos, o por la red, o por la virtualización. Opte por hacer pruebas y también por cambiar el hardware que comenzaba a antojarseme limitado. Primero monté un nuevo hosts clónico con una AMD FX 3,5GHz de 8cores, con 16GB de Ram y disco SSD de 40G para sistema. Así tenía 3 entornos: 1. Maquina virtual(MV) hardware antiguo (q6700) y disco PATA sobre NFS 2. MV con hard(q6700) y disco PATA local (PATA 80GB) 3. MV con hard(AMD FX) y disco PATA local (SSD 40GB) 4....
Leer más