Technical Architect / Manager en servicios y proyectos de infraestructuras, arquitectura, tecnologias y seguridad #Cloud#DevOps#Cybersecurity Cuenta personal
9 Mejores Prácticas para construir Microservicios ↓
1. Diseñado para fallar
Prepara el sistema para que se adapte a errores en cualquier nivel
2. Construye Servicios Pequeños
Evita que haga más de una cosa. Mejor que haga una cosa pero bien
3. Usa Protocolos ligeros
Para mejor eficiencia usa REST, gRPC, Message Brokers...
4. Implementa el descubrimiento de servicios
Vital en un sistema distribuido para que se encuentren y se comuniquen
5. Propiedad de los Datos
Cada servicio debe ser el único responsable de gestionar sus datos
6. Usa patrones de resiliencia
Estrategias como reintentos automáticos, almacenamiento en caché de resultados para reducir la carga, y limitación de tasa para evitar sobrecargas
7. Seguridad en todos los niveles
Crucial implementar medidas de seguridad en cada punto del sistema donde los servicios se comunican entre sí, asegurando así la protección de los datos y operaciones
8. Registro centralizado
Monitorización, observalidad y guarda todos los mensajes de sistema
9. Contenedorización
Empaquetar y desplegar microservicios de manera aislada y eficiente, facilitando la gestión de las dependencias y el despliegue en diversos entornos
Y, para terminar, ten en cuenta que no siempre los microservicios son la mejor opción. Aunque tienen muchas ventajas, también añade complejidad a tu infraestructura. No abuses de ellos y úsalos cuando tienen sentido.
Me interesa el tema de los PO técnicos, porque hay una corriente en la que los PO únicamente manejan aspectos funcionales y "dejan" de lado (como sino fuera con ellos), la parte tecnológica, que incluye el desarrollo, la arquitectura, la plataforma de ejecución y la seguridad
En unos minutos saldrá la newsletter del Domingo sobre Product Owners técnicos, features en producto y como la IA es marketing. Si no estás suscrito puedes hacerlo ahora en https://t.co/Nam4fBTVzI
Sucede que se suele confundir los servicios cloud de tipo #SaaS con #Setverless? Parecen parecidos, pero realmente no lo son. #Serverless se refiere a servicios cloud de tipo #FaaS, aunque también se pueden ejecutar funciones como contenedores en plataformas #CaaS#Cloud-native
SEGURIDAD EN DOCKER
👇👇👇👇👇👇
Siguiendo la sintonía de mis anteriores posts, hoy os voy a lanzar unas recomendaciones de seguridad que os pueden ayudar bastante los que desplegáis Docker.
Actualizaciones y parches:
Mantén Docker actualizado a la última versión para corregir posibles vulnerabilidades.
Usa imágenes oficiales:
Siempre que sea posible, utiliza imágenes oficiales de Docker Hub o de fuentes confiables.
Revisa regularmente las imágenes:
Usa herramientas como Trivy, Clair o Anchore para escanear vulnerabilidades en tus imágenes.
Minimiza el tamaño de la imagen:
Usa imágenes base minimalistas como alpine.
Limita los privilegios:
Nunca ejecutes contenedores en modo --privileged a menos que sea absolutamente necesario.
Ajusta las capacidades del contenedor con --cap-add y --cap-drop.
Control de usuarios:
Ejecuta procesos dentro de contenedores como usuario no root siempre que sea posible.
Configuración de red segura:
Usa redes Docker personalizadas en lugar de la red predeterminada.
No expongas innecesariamente puertos al host. Usa -p con precaución.
Almacenamiento seguro:
Evita montar directorios sensibles del host en contenedores.
Logging y Monitorización:
Activa la monitorización y registro de actividad. Considera herramientas como ELK stack o Prometheus.
Limita recursos:
Usa opciones como --memory, --cpu-shares para limitar los recursos que un contenedor puede usar.
Firma de imágenes:
Utiliza Docker Content Trust para firmar y verificar la integridad de las imágenes.
Runtime Protegido:
Usa herramientas como Falco para monitorear actividad anómala en tiempo de ejecución.
Limita el acceso al demonio Docker:
Asegúrate de que solo los usuarios que realmente lo necesiten tengan acceso al socket de Docker.
Deshabilita inter-container communication (ICC):
Deshabilita ICC si no necesitas que los contenedores se comuniquen entre sí en la misma red.
Controla la versión de tus imágenes:
No uses la etiqueta latest. Específicas versiones para tener un control más estricto y evitar sorpresas.
Auditorías:
Considera hacer auditorías regulares a tus contenedores y configuraciones usando herramientas como Docker Bench for Security.
Creating a CRUD with FastAPI using CodeLlama locally with https://t.co/zdjMYFpAOH and CodeGPT integration
Available models:
llama2 (7b,13b,70b)
codellama (7b, 34b, python7b-34b)
phind-codellama (7b, 34b)
wizardcoder(7b, python7b-34b)
Powered by @langchain
En 2008 el término #DevOps se hizo popular. Durante estos años, ha vivido una gran expansión, pero también se ha desvirtualizado con el paso del tiempo. Analizamos su evolución en este post 👇
Muy de acuerdo, lo primero, en mi opinión, es la transformación de la organización y cubrir la evolucion de proyecto a producto, de Infraestructura a servicios cloud (xaaS), de silos a equipos multidisciplinares, potenciar la calidad (testing), incrementar la seguridad, etc...
¿Qué es NIS2?👇👇👇
El 17 de enero de 2023 entró en vigor la nueva legislación de la UE para mejorar la ciberseguridad. La Directiva de Seguridad de las Redes y los Sistemas de Información (NIS2) pretende establecer un nivel mínimo de normas de ciberseguridad en toda Europa, y sustituye a la Directiva de Redes y Sistemas de Información (NIS) establecida en 2016.
La legislación NIS original se formó en respuesta a las preocupaciones sobre la ciberseguridad y un panorama de amenazas cambiante, y los acontecimientos de los últimos años (la pandemia de COVID-19, la invasión de Rusia en Ucrania, un aumento continuo de los ataques de ransomware) han llevado a la UE a ampliar y fortalecer la Directiva original, dando lugar a NIS2.
El impacto de esta nueva Directiva podría ser tan significativo como el GDPR, por lo que debe estar al tanto de los próximos requisitos...
¿A quién afectará NIS2?
NIS2 se aplica tanto a las organizaciones con sede en la UE como a las organizaciones con sede en otros lugares que prestan sus servicios dentro de la región.
Los Estados miembros de la UE deben mantener una lista actualizada de todas las entidades esenciales e importantes que operan dentro de su jurisdicción.
Las entidades esenciales incluyen:
• Proveedores de energía
• Empresas de transporte
• Infraestructuras bancarias y de mercados financieros
• Fabricantes de productos sanitarios y farmacéuticos
• Infraestructuras de agua potable y aguas residuales
• Administración pública
• Servicios TIC
• Infraestructura digital, incluidos proveedores de servicios en la nube, centros de datos, sistemas de nombres de dominio (DNS) y redes públicas de comunicación.
Entre las entidades importantes figuran:
• Servicios postales y de mensajería
• Gestión de residuos
• Fabricación de productos químicos
• Servicios de producción y transformación de alimentos
• Producción de electrónica, maquinaria y vehículos de motor
• Mercados en línea, motores de búsqueda y redes sociales
• Instituciones de enseñanza superior e investigación.
¿Cuáles son los nuevos requisitos de NIS2?
La Directiva NIS2 tiene un ámbito de aplicación más amplio que la NIS, se aplica a un mayor número de sectores e industrias y es más explícita a la hora de esbozar las medidas de ciberseguridad que exigirá a las organizaciones. La NIS2 también pretende aumentar la colaboración en materia de ciberseguridad entre los Estados miembros de la UE.
En la nueva legislación, las entidades esenciales tienen una serie de requisitos más rigurosos que las entidades importantes.
Las entidades esenciales pueden ser investigadas en cualquier momento mediante auditorías e inspecciones, mientras que las entidades importantes sólo serán investigadas después de un incidente.
Estos son los puntos clave de la NIS2:
1. Política de seguridad de la información. Las organizaciones deben evaluar el impacto potencial de un ciberataque y ser proactivas en la gestión del riesgo, aplicando políticas de seguridad de la información sólidas.
2. Prevención, detección y respuesta ante incidentes. Se exigirá a las empresas que dispongan de estrategias de prevención y respuesta a incidentes, que pongan a prueba estos planes y que formen al personal.
3. Continuidad del negocio. Como parte de sus estrategias de respuesta a incidentes, las empresas deben asegurarse de que pueden seguir operando en caso de ciberataque. NIS2 se centra en soluciones de copia de seguridad en la nube para ayudar a las empresas a recuperar los datos perdidos y restablecer las operaciones con una interrupción mínima.
4. Notificación de incidentes. La NIS2 estipula que ambas categorías de organizaciones están obligadas a notificar a las autoridades pertinentes en caso de que se produzca un ciberincidente significativo, y establece un calendario estricto para la notificación, que explicamos en la siguiente sección.
5. Seguridad de la cadena de suministro. NIS2 exige a las empresas que evalúen las vulnerabilidades de sus cadenas de suministro, incluidos servicios como los proveedores de almacenamiento de datos. En pocas palabras, NIS2 exige a las empresas que tengan en cuenta no sólo su propia ciberseguridad, sino también la de los terceros con los que tratan.
6. Revelación de vulnerabilidades. Si una organización encuentra una vulnerabilidad en su red, debe revelarla a la autoridad competente. Las organizaciones también deben proporcionar canales para que el público informe sobre vulnerabilidades, y están obligadas a actuar en consecuencia.
7. Obligaciones de los equipos directivos. Los altos cargos y los equipos directivos pueden ser considerados personalmente responsables del incumplimiento de las NIS2 por parte de su organización.
8. Multas por incumplimiento. Para las entidades esenciales, la multa por incumplimiento puede
ser de hasta 10 millones de euros, o el 2% de la facturación anual mundial de la empresa. Para las entidades importantes, la multa es de hasta 7 millones de euros, o el 1,4% del volumen de negocios anual mundial.
9. Colaboración. NIS2 fomenta el intercambio de datos entre autoridades y exige que éstas colaboren en la respuesta a incidentes. El objetivo es dar una respuesta a las amenazas a escala de la UE, en lugar de limitarse a respuestas nacionales o localizadas. Este énfasis en la colaboración incluye la creación de la "Red de Organizaciones de Enlace para Crisis Cibernéticas" (EU-CyCLONe), organismo centralizado para la gestión de incidentes.
Opino que se ha desvirtuado un poco la verdad, soy de aquellos que piensan que DevOps es la cultura y el contexto organizativo (mayormente en organizaciones orientadas a equipos de producto) y que el perfil en concreto que más se acerca es SRE
El término #DevOps comenzó a sonar en el año 2008. Desde entonces, este “movimiento” se ha expandido y también se ha desvirtualizado, casi a partes iguales. ¿Cómo ha evolucionado en estos años?
The passion of the AI open-source community is unmatched. https://t.co/Pq2LbBnPYJ is moving fast from a POC to a powerful tool with every contribution. AI experts are helping newcomers with setup issues. Everything organic. Much ❤️ and respect.
Very interesting, although what seems key to me is the relationship between Edge Computing, Cloud Computing, IoT, ML and cloud-native technologies such as Kubernetes
ENTREVISTA | Patrick Hsu: “La edición genética ya cura pacientes en fase clínica, y es probable que haya tratamientos CRISPR en un año”
https://t.co/qHIB7Yh1pU
#Ransomware ¿Conoces 🛠️ herramientas que permiten recuperar información despues de haber sufrido este ataque?
Te contamos 💬 un ejemplo y el acceso al catálogo de empresas 📖 que proporcionan soluciones y servicios de protección y análisis de ransomware. https://t.co/TNZ3hyWYOw
#GoogleLighthouse nos ayuda a mejorar nuestras páginas y aplicaciones web. Dispone de varias formas para crear análisis. Te contamos cómo utilizarla (con ejemplos incluidos).