¿Qué es la infraestructura como código?
La infraestructura como código (IaC) es el proceso por el cual se gestiona y aprovisiona la infraestructura de manera dinámica a través de código, en lugar de hacerlo mediante procesos manuales, para simplificar el desarrollo, la configuración y la ejecución de las aplicaciones. La IaC recurre al código para:
- Automatizar el aprovisionamiento, la implementación, la configuración y la gestión de infraestructura.
- Organizar el funcionamiento de todos los componentes de la infraestructura, como hardware, software, redes, máquinas virtuales, contenedores, bases de datos y elementos de la infraestructura de la nube.
- Configurar, monitorizar y gestionar todos los sistemas y componentes de la infraestructura.
La adopción generalizada de cargas de trabajo, contenedores y computación en la nube ha convertido a la IaC en una parte fundamental de DevOps, ya que abre la puerta a la automatización y la monitorización continua de todo el ciclo de vida de las aplicaciones, desde la integración y las pruebas hasta la entrega y la implementación. Además, también es un aspecto importante de la seguridad de los contenedores y las aplicaciones, así como de la protección general de las cargas de trabajo.
La guía completa para CNAPP
Descarga la guía completa para CNAPP de CrowdStrike para comprender por qué las plataformas de protección de aplicaciones nativas de la nube son un componente crítico de las estrategias modernas de seguridad en la nube, y aprende a integrarlas en los ciclos de vida de desarrollo.
Descargar ahoraLos cinco principios de la infraestructura como código
Los siguientes principios tienen por objetivo ayudar a tus equipos a superar los retos propios de la IaC y maximizar el retorno de la inversión (ROI) de la estrategia de IaC.
- Disponibilidad de los sistemas: si los sistemas se desarrollan pensando en lograr una infraestructura dinámica, será fácil construir, destruir, actualizar, redimensionar y transferir recursos a medida que la infraestructura vaya cambiando con el tiempo. De este modo, la infraestructura seguirá en funcionamiento aunque se produzca un fallo inesperado y se podrán evitar interrupciones en las operaciones que puedan afectar al negocio.
- Posibilidad de replicar los sistemas: recrear cualquier parte de la infraestructura de forma eficiente debe ser sencillo. Solo así se consigue acabar con buena parte del riesgo y el nerviosismo que supone hacer cambios en la infraestructura. Además, poder replicar la infraestructura de manera sencilla permite gestionar los problemas con rapidez y aprovisionar los nuevos entornos sin problemas.
- Capacidad de reproducir los procesos: cualquier cambio de infraestructura o acción adoptada debe ser reproducible. Para ello, los equipos de infraestructura deben elaborar el script de todos los procesos que puedan. En el caso de algunos procesos les resultará más difícil hacerlo, pero existen herramientas que pueden ayudarles en esta labor.
- Diseño dinámico: los desarrolladores saben que realizar un cambio en una infraestructura compleja tiene un coste económico elevado. Por ello, es esencial que diseñen infraestructuras que puedan adaptarse a los cambios a medida que se produzcan, anticipando con precisión cómo va a cambiar la infraestructura en el futuro.
- Coherencia de sistemas: cuando se automatizan procesos, siempre existe la posibilidad de que se produzca algún fallo. Para abordar este reto, los desarrolladores de infraestructura deben asegurarse de que todos los nuevos usuarios que se añadan o los cambios que se realicen sean exactamente iguales a los existentes. De lo contrario, podrían producirse incoherencias que den lugar a automatizaciones defectuosas.
Seis ventajas de la IaC
En el panorama de TI actual, la IaC debe entenderse como un componente esencial de la estrategia de TI. Incluso los requisitos de infraestructura más sencillos pueden volverse más eficientes y rentables con los principios de IaC.
Aunque la IaC pueda añadir complejidad al entorno de TI, las ventajas que aporta suelen compensar el coste de su implementación y gestión.
1. Velocidad
La IaC es uno de los grandes facilitadores del desarrollo ágil, la metodología de integración continua/entrega continua (IC/EC) y prácticas de DevOps. Elimina la mayor parte de los procesos manuales del aprovisionamiento y la configuración de los componentes de infraestructura de la nube, ya que los equipos pueden aprovisionar la infraestructura a través de un script codificado para cada entorno, lo que incrementa significativamente la rapidez.
2. Precisión
Al utilizar código, la IaC limita los errores en el proceso de configuración y reduce las incoherencias que pueden surgir cuando varias personas se encargan de la configuración.
3. Responsabilidad
Puedes hacer que los cambios en la infraestructura y configuración estén controlados por versiones en la IaC, al igual que en cualquier otro archivo de código fuente. De este modo, obtienes trazabilidad completa sobre los cambios realizados en las configuraciones y, por tanto, puedes saber qué usuario es responsable de los mismos.
4. Eficiencia
La IaC es un facilitador estratégico de DevOps, ya que permite poner rápidamente a disposición de los usuarios los componentes de la infraestructura de la nube cuando sean necesarios. Tiene carácter modular, es decir, varios fragmentos de código pueden dividirse y combinarse para satisfacer las necesidades de varios casos de uso. Gracias a ello, se agiliza el desarrollo de software y se optimizan los recursos del equipo de TI.
5. Ahorro de costes
Normalmente, las automatizaciones conllevan un ahorro de costes, y la IaC no es una excepción. Al permitir a las organizaciones optimizar recursos limitados (como los costes de hardware, personal o almacenamiento, entre otros), la IaC reduce los costes a nivel general y da la posibilidad a los equipos de centrarse en aquellas tareas de mayor valor que requieren supervisión e intervención humanas. Los gastos generales de capital y funcionamiento se mantienen en niveles bajos.
6. Escalabilidad
Gracias a la infraestructura como código, es posible ampliar la gestión de la infraestructura sin incurrir en un gasto excesivo, ya que la automatización reduce los errores de configuración y elimina las interacciones complejas.
Infraestructura mutable e inmutable
Una de las primeras decisiones que deben tomar las organizaciones es cómo van a automatizar la infraestructura. Las posibilidades suelen ser dos: infraestructura mutable o infraestructura inmutable.
1. Infraestructura mutable
La infraestructura mutable puede actualizarse o modificarse una vez aprovisionada. Este tipo de infraestructura ofrece a los equipos de TI la flexibilidad necesaria para personalizar los servidores de modo que se ajusten mejor a los requisitos de las aplicaciones. Por desgracia, esta flexibilidad trae consigo incoherencias en el despliegue y puede dificultar el seguimiento.
2. Infraestructura inmutable
Por el contrario, la infraestructura inmutable no se puede modificar una vez aprovisionada. Dado que no se pueden realizar cambios, se necesita una infraestructura completamente nueva si hay que hacer alguna modificación. Aunque esta opción suena poco práctica, la realidad es que se pueden crear infraestructuras nuevas en la nube sin problemas.
Expert Tip
¿Qué tipo de infraestructura elegir? Aunque cada organización tiene sus propias necesidades, la mayoría optan por la infraestructura inmutable. La infraestructura inmutable hace que sea extremadamente sencillo mantener la coherencia en los entornos de implementación y pruebas. Además, dado que con este tipo de infraestructura se puede hacer un seguimiento de versiones previas de la infraestructura, es posible volver a una versión anterior si es más eficiente.
IaC declarativa frente a IaC imperativa
Existen dos enfoques principales que pueden adoptarse a la hora de escribir el código de IaC:
1. IaC declarativa
En el enfoque declarativo, el usuario define el estado futuro y enumera todos los recursos y atributos de la infraestructura. Sin embargo, será la herramienta o plataforma la que determine cuál es el mejor modo de instalar y configurar el sistema para lograr ese estado futuro.
2. IaC imperativa
El enfoque imperativo requiere mucha más información y especificidad que el enfoque declarativo. En este método, el equipo de desarrolladores o TI define el estado futuro y también especifica el proceso para conseguirlo. Ni la herramienta ni el sistema se desviarán de los pasos definidos en el proceso ni alterarán su orden.
Más información
¿Por qué la IaC declarativa es el enfoque de preferencia? La mayoría de las organizaciones tienden a adoptar un enfoque declarativo porque les ofrece más flexibilidad a la hora de habilitar varios casos de uso. Algunas de las ventajas que ofrece son las siguientes:
- Simplicidad: en la IaC, el desarrollador no debe especificar mucha información más allá de indicar el estado futuro deseado.
- Rapidez y flexibilidad: el sistema declarativo compila automáticamente un inventario de todos los objetos del entorno. Con este registro resultará más rápido y sencillo alterar o desmantelar la infraestructura cuando sea necesario.
- Automatización: en el enfoque declarativo, la plataforma de IaC aplica automáticamente los cambios realizados en el estado deseado. Por el contrario, en el enfoque imperativo tendría que ser el desarrollador quien aplicase esos cambios en el entorno.
- Optimización: en un enfoque de IaC declarativo, las organizaciones pueden limitar los scripts de implementación y otro código imperativo, lo que ayuda a contener y reducir la deuda técnica con el tiempo.
Mejores prácticas de la infraestructura cómo código
Si sigues estas mejores prácticas, podrás garantizar la seguridad de la IaC a largo plazo:
- Codifícalo todo en la IaC para implementar cambios de manera ágil y segura. Para ello, es necesario actualizar automáticamente la canalización en ejecución para detectar los cambios y evitar la intervención humana.
- Protege los secretos codificados y no incluyas credenciales cuando implementes código para evitar posibles brechas. Algunas formas de proteger la información confidencial pasan por sustituir los secretos codificados por referencias a variables confidenciales y utilizar una herramienta de gestión de secretos.
- Busca posibles errores de configuración que pueden causar vulnerabilidades en tu infraestructura. Para ello, utiliza herramientas de escaneo de pruebas estáticas de la seguridad de aplicaciones (SAST) o de análisis de composición de software (SCA).
- Modulariza la infraestructura adoptando un enfoque de arquitectura de microservicios durante su desarrollo. Este enfoque permite desglosar en módulos diferentes los diversos componentes de la infraestructura para que se puedan gestionar a nivel individual.
- Restringe el acceso a los entornos dando únicamente permisos de "solo lectura" a los usuarios. Solo los usuarios con credenciales específicas deberían tener privilegios de acceso suficientes para cambiar la infraestructura, y cada cambio debería firmarse criptográficamente.
Herramientas y plataformas de IaC
Algunas de las plataformas y herramientas de infraestructura como código más populares son:
| Plataforma/Herramienta | Descripción |
|---|---|
| Terraform | Terraform es una herramienta de IaC de código abierto que permite a los desarrolladores definir y proporcionar infraestructura de datacenter en diversas plataformas, como Amazon Web Services (AWS), Microsoft Azure, Oracle Cloud, Google Cloud Platform y otras plataformas de nube pública. |
| Pulumi | Pulumi es un kit de desarrollo de software de IaC de código abierto con el que los desarrolladores pueden crear, implementar y gestionar infraestructura en cualquier nube y con diversos lenguajes, como Python, TypeScript, JavaScript, Go, C# y F#. |
| Ansible | Ansible es una herramienta de IaC que permite el desarrollo de aplicaciones para clientes de IBM Power Systems. Como Terraform y Pulumi, Ansible es un recurso de código abierto que puede automatizar el aprovisionamiento, la gestión de configuración y la implementación de aplicaciones. |
| Chef Infra | Chef Infra, junto con Puppet, es una solución pionera en el espacio de DevOps y una de las primeras herramientas de gestión de infraestructuras para definir la IaC. |
| Puppet | Puppet, otra pionera en el campo de la infraestructura como código, es una herramienta de gestión de configuración de software que utiliza sus propios modelos y lenguaje declarativo para configurar los sistemas. |
| CFEngine | CFEngine es otro sistema de gestión de la configuración de código abierto. Se la considera una de las herramientas más maduras del mercado y puede respaldar necesidades de las configuraciones más complejas. |
| AWS CloudFormation | AWS CloudFormation es una herramienta de IaC que permite a los usuarios modelar, aprovisionar y gestionar la infraestructura de AWS, así como otros recursos externos. |
| Azure Resource Manager | Azure Resource Manager es un servicio de infraestructura como código que utiliza JSON para configurar los componentes de la infraestructura dentro del entorno Azure. |
| Google Cloud Deployment Manager | Google Cloud Deployment Manager es un servicio de implementación de infraestructura que automatiza la creación y gestión de los recursos de Google Cloud. La IaC y la automatización simplifican el desarrollo, la entrega y la implementación de aplicaciones. Los equipos de DevOps y TI pueden desarrollar, configurar y gestionar la infraestructura de manera más eficiente. La seguridad es un aspecto extremadamente importante a la hora de desarrollar, entregar e implementar aplicaciones. Idea, crea y protege con CrowdStrike. |
Cómo puede ayudarte CrowdStrike
Las organizaciones que optan por la infraestructura como código para gestionar sus entornos de nube también están expuestas a amenazas y vulnerabilidades. CrowdStrike Falcon® Cloud Security ofrece una visión única de los adversarios y proporciona una seguridad de pila completa nativa de la nube que reduce el trabajo de los equipos de seguridad, protege frente a las brechas en la nube y optimiza las implementaciones multinube.
Guilherme (Gui) Alvarenga es Senior Product Marketing Manager de la cartera de seguridad en la nube en CrowdStrike. Cuenta con más de 15 años de experiencia en el fomento de soluciones en la nube, SaaS, red y ML para empresas como Check Point, NEC y Cisco Systems. Se graduó en publicidad y marketing en la Universidad Paulista de Brasil y obtuvo un máster en dirección y administración de empresas en la Universidad Estatal de San José. Estudió informática aplicada en la Universidad de Stanford y se especializó en seguridad en la nube y Threat Hunting.
