Azure: el primer "Sistema Operativo" de Microsoft para la Nube

Microsoft ha anunciado hace unos días la disponibilidad en pruebas cerradas de Azure, su primer sistema operativo desarrollado específicamente para ejecutarse “en la nube” (de forma remota).


Se trata dicho, de forma simplificada, de una API de servicios albergados en los Data Center de Microsoft que permitirá dotar a nuestras aplicaciones de múltiples funcionalidades obtenidas directamente desde la Red y sin tener que preocuparnos de la escalabilidad o del crecimiento. Según Ray Ozzie, arquitecto jefe de software, Azure combina perfectamente las capacidades de programación para la nube con el almacenamiento, los servicios de infraestructura de red y los servicios alojados dentro de un único centro que se encarga de mantener la propia Microsoft.


Azure se programará con las herramientas y lenguajes que ya conocemos (.NET Framework y Visual Studio).



Los servicios de la plataforma Azure se componen de varios componentes:


Azure, componente necesario para el alojamiento, la gestión, el almacenamiento y las comunicaciones escalables.
Los servicios Microsoft SQL, que permitirá el acceso a un amplio rango de informes y servicios basados en bases de datos.
Servicios Microsoft .NET, que son implementaciones de .NET Framework para flujos de trabajo y/o control de acceso.
Servicios Live, que permite a los usuarios tanto almacenar como sincronizar todo tipo de documentos a través de sus ordenadores, teléfonos, o páginas web, entre otras plataformas.
Los servicios de SharePoint y los servicios de Microsoft Dynamics CRM aportan el nivel necesario para que los negocios puedan compartir y colaborar proyectos de negocio a través de la nube.
Para Ray Ozzie este lanzamiento supone “un punto de inflexión dentro de la comunidad de desarrolladores de Microsoft”, ya que “hemos introducido una tecnología que cambiará las reglas del juego que traerá consigo nuevas oportunidades tanto a los desarrolladores web como a los de negocio”. Fuente : CampusMVP.. saludos

Protegiendo tus datos con BitLocker – Parte 3

Actualmente, tanto para las organizaciones como para cualquier usuario final, la seguridad de los sistemas y la protección de la información se encuentran entre las necesidades más importantes. El riesgo de que nuestro equipo caiga en manos equivocadas o de que algún código malicioso tome control del sistema representa un gran reto para los Administradores de TI en las empresas, quienes a fin de mitigar dicho riesgo, deben contar con las herramientas necesarias para salvaguardar los sistemas e información de los usuarios.


Como parte final de la serie de posts acerca de BitLocker Drive Encryption, en esta ocasión revisaremos cómo implementar este mecanismo de seguridad en nuestros equipos y algunas recomendaciones importantes antes de configurar BitLocker con Windows Vista.


Requerimientos para utilizar BitLocker:




  • Memoria USBEl equipo debe contar con un módulo TPM versión 1.2 ó mayor. En caso de que dicho módulo TPM no esté presente, se podrá utilizar una memoria USB para arrancar el sistema.

 



  • La computadora deberá contar con al menos dos particiones NTFS antes de instalar Windows Vista o Windows Ultimate:


1) La partición de arranque (por lo general C:) es el volumen que contiene el sistema operativo. Los datos de esta partición estarán protegidos con BitLocker y serán encriptados.


2) La partición de sistema, que deberá establecerse como partición activa, contiene los archivos necesarios para arrancar el sistema operativo y deberá tener al menos un tamaño de 1.5 GB. Esta partición es necesaria para que BitLocker trabaje y es importante que no esté encriptada. 


Habilitando BitLocker en equipos que no cuentan con módulo TPM:



  1. Abrir el editor de Group Policy (gpedit.msc) a través de la Consola de Administración de Windows.
  2. Abrir la carpeta: Computer ConfigurationAdministrative TemplatesWindows ComponentsBitLocker Drive Encryption.
  3. Entrar en la opción de configuración: Control Panel Setup – Enable advanced startup options.
  4. Habilitar la opción: Allow BitLocker without a Compatible TPM.

Habilitando BitLocker


Configurando BitLocker Drive Encryption:


IMPORTANTE: Antes de configurar el equipo para trabajar con encriptación de datos, es muy recomendable hacer un respaldo de nuestros documentos y del sistema. Asimismo, se recomienda hacer un chequeo de la integridad de la partición de BitLocker mediante la utilería ChkDsk.


Posteriormente, desde el Panel de Control, entrar a la opción: Protect your computer by encrypting data on your disk.


BitLocker Drive Encryption



  1. Habilitar la opción: Turn On BitLocker.
  2. En la ventana de Set BitLocker Startup Preferences, elegir el mecanismo de autenticación (que puede ser mediante una memoria USB al arrancar el sistema o un PIN que el usuario determina).
  3. En la ventana de Save the recovery password, debemos indicar una ubicación para guardar la contraseña de recuperación, que es un archivo de texto que contiene una contraseña de 48 dígitos. Como opciones disponibles, se puede guardar en una memoria USB, una carpeta definida por el usuario, o incluso mandar a imprimir el archivo de texto.
  4. En la ventana de Encrypt the volume, hay que seleccionar la opción Run BitLocker System Check para iniciar con la encriptación de los datos una vez que se reinicie el equipo.
  5. Finalmente, se muestra una pantalla de confirmación, indicando que la configuración fue exitosa.

 Recursos adicionales:


http://technet2.microsoft.com/windowsvista/es/library/c61f2a12-8ae6-4957-b031-97b4d762cf313082.mspx?mfr=true


http://technet.microsoft.com/en-us/library/cc732774.aspx


Fuente: Windows Vista Resource Kit, 2da. Edición. Microsoft Press, 2008

Protegiendo tus datos con BitLocker – Parte 2

En un post anterior, inicié esta serie con una breve introducción a BitLocker Drive Encryption, siendo una solución para la protección de nuestros datos y que es una de las nuevas características de seguridad en Windows Vista y en Windows Server 2008. Continuando con este tema, ahora veremos a mayor detalle los mecanismos de encriptación que BitLocker utiliza y las fases de arranque de BitLocker cuando encendemos nuestro equipo.


Mecanismos de encriptación:


Keys


Para acceder a los datos encriptados,  BitLocker utiliza una llave llamada Full Volume Encryption Key (FVEK) de 256 bits. Dicha llave, es a su vez encriptada utilizando otra llave de 256 bits llamada Volume Master Key (VMK), la cual es guardada en el módulo TPM de nuestro equipo o en una memoria USB.


Tanto la FVEK como la VMK utilizan AES como estándar de encriptación y se pueden especificar cuatro niveles de seguridad al momento de implementar BitLocker:



  • AES de 128 bits con difusor dedicado
  • AES de 256 bits con difusor dedicado (el más fuerte, pero puede afectar el desempeño del sistema)
  • AES de 128 bits
  • AES de 256 bits

FVE Filter DriverEl proceso de encriptación de los datos necesariamente implica una reducción en el desempeño del sistema, pues las operaciones criptográficas requieren cierto tiempo de procesador para llevarse a cabo. Sin embargo el motor de AES que usa BitLocker fue diseñado de tal forma que fuera lo más eficiente posible. De hecho, en los equipos nuevos, dicho impacto en desempeño es mínimo (entre el 3 y el 5%).


La encriptación y desencriptación se realiza al momento de leer y escribir los datos, y se hace través del FVE Filter Driver (fvevol.sys), el cual actúa como capa intermedia entre el Sistema de Archivos (que recibe el contenido de los archivos ya desencriptado) y el Administrador del Volumen (que da acceso al volumen). Para el usuario es transparente esta acción, pues no percibe la actividad de encriptación y desencriptación que se lleva a cabo mientras interactúa con el sistema.


Si desean conocer a mayor detalle los algoritmos que utiliza Windows Vista para encriptación de datos, les recomiendo descarguen el artículo “AES-CBC + Elephant diffuser”, disponible en el sitio de Microsoft Downloads.


Fases de BitLocker al momento de arrancar el sistema:


¿Qué sucede cuando encendemos nuestra computadora, una vez que tenemos configurado BitLocker?



  1. Verificación de la integridad del sistema: Si contamos con un módulo TPM, BitLocker verifica que el disco duro esté montado a la computadora correcta (es decir, que no haya sido removido) y valida que los archivos de sistema críticos se encuentren intactos.


  2. Autenticación del usuario (opcional): Si la autenticación del usuario está configurada, el Administrador de Arranque de Windows (Windows Boot Manager) puede: buscar una llave en la memoria USB (la cual debe estar conectada cada vez que arrancamos el sistema), o solicitar un PIN al usuario (el PIN usa el algoritmo de hash SHA-256), o ambos (es el mecanismo más seguro, pues utiliza algo que el usuario tiene y algo que el usuario sabe). Aunque no es necesario, es recomendable agregar este segundo nivel de protección.


  3. Obtención de la llave VMK: Windows Boot Manager solicita al módulo TPM desencriptar la llave VMK. Si no contamos con un módulo TPM, la llave VMK se toma de la memoria USB.


  4. Arranque del sistema operativo: La llave VMK está ahora disponible para el cargador del sistema operativo, el cual arranca y es el momento en el que Windows utiliza la llave VMK para desencriptar la llave FVEK, que a su vez es la llave que desencripta el volumen completo. Finalmente Windows inicia normalmente con acceso a los datos desencriptados.

BitLocker Phases


En el siguiente y último post acerca de BitLocker, veremos la configuración y administración de este mecanismo de encriptación y algunas recomendaciones al momento de implementarlo.

Protegiendo tus datos con BitLocker – Parte 1

Sin duda, una de las características nuevas de Windows Vista que más han llamado la atención es BitLocker Drive Encryption. Esta tecnología está orientada principalmente a la protección de nuestra información, garantizando la confidencialidad de nuestros datos en caso de pérdida o robo de nuestro equipo de cómputo.


Protección de datos Para algunas organizaciones, esta nueva tecnología de encriptación es una solución directa a una de las necesidades más recurrentes actualmente en las diferentes áreas de TI: seguridad y protección de los datos. Sobre todo hoy en día, en que la información es uno de los activos más importantes en las empresas, es fundamental contar con mecanismos que garanticen que dicha información no caiga en las manos equivocadas.


De acuerdo a una encuesta del Computer Security Institute, durante el 2007, una de cada dos compañías en Estados Unidos reportó el robo de algún equipo portátil o dispositivo móvil. Asimismo, la cantidad de personas que olvidan sus equipos en lugares públicos es impresionante. Basta con ver la estadística de equipos de cómputo perdidos en los aeropuertos norteamericanos: ¡62,400 equipos cada año!


La intención de esta serie de posts acerca de BitLocker, será proporcionar una pequeña guía de referencia acerca de esta tecnología para que puedan implementar la encriptación de sus datos, ya sea como usuarios finales o dentro de sus organizaciones.


Introducción:


Disco duroBitLocker Drive Encryption permite encriptar un volumen entero (incluyendo el archivo de paginación, archivo de hibernación, el registro y archivos temporales), protegiendo así los datos en el disco, incluso si dicho disco es removido físicamente y montado en un equipo distinto. BitLocker se encuentra disponible en las versiones Enterprise y Ultimate de Windows Vista, y con la liberación del Service Pack 1, ya es posible encriptar cualquier volumen (anteriormente solamente era posible encriptar el volumen de sistema).


Para el manejo de las llaves de encriptación, lo más adecuado es utilizar soluciones especializadas como dispositivos TPM (Trusted Platform Module – los equipos nuevos cuentan con este chip incorporado en el motherboard), aunque también se puede usar de forma alternativa una memoria USB.


La ventaja de contar con un módulo TPM, es que BitLocker además de encriptar los datos, también ayuda a proteger la integridad del sistema, verificando que los archivos críticos de arranque de Windows no hayan sido modificados por algún rootkit o código malicioso. Para ello, es necesario que el módulo TPM de nuestro equipo sea versión 1.2 (revisión 0.24 ó mayor) y que además esté habilitado (se puede habilitar desde el BIOS en caso de ser necesario).


En siguientes posts acerca de BitLocker, incluiré los mecanismos de encriptación que Windows utiliza, los pasos para configurar BitLocker y los diferentes escenarios de protección de datos.