Ir al contenido principal

Cómo hacer tu diagrama de infraestructura

Aquí te daremos el paso a paso de cómo puedes crear el diagrama de infraestructura de tu organización.

Introducción

Un diagrama de infraestructura es un mapa visual que muestra cómo interactúan, hacia adentro y hacia afuera, los componentes de una infraestructura tecnológica.

Aquí te vamos a contar cómo puedes hacer tu diagrama o, en caso de que ya cuentes con uno, cómo validar que tenga todo lo necesario para cumplir con los requisitos de seguridad de la información.

NOTA: La creación de este diagrama requiere de un amplio entendimiento de términos técnicos. Recomendamos que sea realizado por una persona con experiencia y conocimiento en el entorno de redes y servicios cloud de tu organización.

La herramienta para crearlo es a tu elección, sin embargo, acá te dejamos algunas de las mejores alternativas:

  • Lucidchart: Es una herramienta de diagramación, basada en web. Cuenta con una variedad de opciones de diagramas dentro de su biblioteca.

  • Cacoo: También es un software basado en la web y es recomendable para cuando quieres compartir tu diagrama y editarlo al mismo tiempo con tu equipo.

  • Draw.io: Es una herramienta de creación y edición de diagramas, que tiene más de 50 plantillas predefinidas, algunas son especiales para diferentes proveedores de nube.

Antes de comenzar, es importante conocer los distintos tipos de íconos y símbolos para crear este tipo de diagramas.

Para mostrar elementos de seguridad, los íconos más usados que podrás encontrar son los siguientes:

Para indicar el flujo de la información, los íconos más usados que podrás encontrar son los siguientes:

Ahora, ¿cómo comenzamos? A grandes rasgos, los pasos a seguir son:

  1. Elige la herramienta que utilizarás para modelar tu diagrama.

  2. Identifica todos los componentes y conexiones de tu infraestructura. Te recomendamos hacer esto por capas, es decir:

    1. Los que están en capas de alto nivel son componentes más cercanos a tus proveedores y clientes.

    2. Los que están en capas de bajo nivel son componentes más cercanos a las operaciones internas de tu organización.

  3. Comienza a diagramar. Recuerda utilizar los símbolos correspondientes para cada componente, y que sean los adecuados para tu operación.

Haciendo el paso 2 correctamente, podrás identificar las conexiones entrantes y salientes al ecosistema de tu empresa.

Algunos de los componentes y conexiones que podrás sumar a tu infraestructura son:

  • Clientes, los cuales pueden ser usuarios finales o intermediarios.

  • Proveedores, como pueden ser los de tu nube, de telecomunicaciones, etcétera.

  • Entidades bancarias (si eres una fintech, debes colocarlas).

  • Conexiones expuestas a internet.

  • Conexiones con entidades externas mediante webservices, APIS y/o integraciones.

  • Conexiones VPN.

  • Conexiones cifradas, mediante certificados SSL/SSH, versiones TLS.

  • Comunicaciones de puerto HTTPS o SFTP.

  • Conexiones con filtro de proxies o IPs.

  • Canales de conexión vía web y/o mobile.

  • Firewalls.

  • Web Application Firewalls.

  • Front End y Back Office.

  • Autoscaling, balanceadores de carga, zonas de disponibilidad.

  • Contenedores, máquinas virtuales.

  • Bases de datos y repositorios de resguardos.

  • Aplicaciones de analítica de datos (si es necesario).

NOTA: Si tu infraestructura cuenta con componentes que no están en esta lista, hay que agregarlos.

Hacer este listado te puede ayudar a repasar e identificar lo que tiene tu infraestructura, para después colocarlo en el lugar más adecuado dentro del diagrama.

Comencemos a diagramar

Ahora te explicaremos paso a paso cómo puedes hacer un diagrama de infraestructura con un ejemplo práctico.

En este ejemplo contemplaremos Servicios Cloud en draw.io, ¿estás listo?

Este diagrama se hace de izquierda a derecha, comenzando por las interacciones externas, y separándolas de lo que es interno de la organización.

Draw.io nos ofrece algunas plantillas preestablecidas que puedes utilizar para no comenzar desde cero.

Cómo puedes ver en la imagen, cuenta con los principales proveedores de nube, de los que podrás elegir una variedad de plantillas.

Para nuestro ejemplo seleccionaremos AWS:

Una vez seleccionada una plantilla, draw.io te habilitará todos los símbolos e íconos asociados al proveedor de nube elegido para que puedas crear tu diagrama con los recursos adecuados:

Para comenzar el diagrama, colocamos los íconos de usuario, internet y proveedor de servicio (cómo lo podrás ver en la próxima imagen); estos son los principales elementos desde donde nos llega toda la información.

Siguiendo la identificación por capas que mencionamos anteriormente, vamos a ir analizando los componentes de alto nivel (aquellos que se encuentren más cerca a tus proveedores y clientes), y bajo nivel (aquellos que se encuentren más cerca a tus operaciones internas). 

1. Identificación de VPCs, regiones y subredes

Vamos a identificar los componentes que se encuentran dentro del entorno de la empresa, como lo son las VPCs (Virtual Private Cloud, por sus siglas en inglés), las regiones y subredes, así sean públicas o privadas.

Para nuestro ejemplo; indicamos que en nuestra región principal, ubicada en Virginia, contamos con una VPC productiva y otra VPC de staging.

Dentro de nuestra VPC productiva tenemos dos subredes; una privada y una pública.

Además, indicamos que tenemos una región secundaria, ubicada en Sao Paulo.

Hackmetrix insights: Como medida de seguridad, te recomendamos que cada entorno (desarrollo, pruebas/staging, producción) se encuentre en una VPC separada. De esta forma, cada una estará aislada lógicamente dentro de una cuenta de AWS, o cual sea que sea tu proveedor de nube.

Ten en cuenta que cada VPC define una red virtual distinta, con su propio espacio de direcciones IP y sus propias reglas para lo que puede entrar o salir de esa red.

Asimismo, las direcciones IP dentro de cada VPC se dividen en varias subredes que controlan el enrutamiento de su dirección IP.

Y si bien, las subredes públicas son accesibles desde internet, a las subredes privadas sólo deben acceder desde la VPC.

2. Identificación de canales de contacto con clientes, proveedores, y su seguridad en la comunicación

Después de haber identificado los VPCs, sus regiones y subredes, hay que pensar en cómo interactúan los clientes con nuestra empresa. Es decir, mediante qué canales y qué métodos de seguridad utilizan.

En este paso incluiremos todas las medidas que ayudan a proteger la información en las primeras capas de la infraestructura.

Algunos ejemplos de éstas medidas de seguridad son:

  • Web Application Firewall (WAF)

  • Firewall

  • Protocolo SFTP

  • Certificado SSL y protocolo TLS 1.3

NOTA: Si tu empresa tiene más herramientas cómo Route 53, CloudFront (en el caso de AWS), API Gateway, conexiones por VPN, filtros por Elastic IP (IP elástica), etcétera, también debes incluirlas. Recuerda que lo importante es demostrar que tus ingresos están protegidos.

En nuestro ejemplo indicamos que la información que el usuario nos transmite por medio de internet está protegida con un protocolo SSL TLS 1.3 y un WAF.

Además decimos que la información que nos llega por medio del proveedor de servicio, está protegida con un protocolo SFTP y un firewall.

Hackmetrix insight: Si no tienes estas medidas de seguridad, puedes comenzar por implementar un WAF y/o un firewall en redes internas y externas.

3. Identificación de esquemas de virtualización o esquema serverless (sin servidor)

En este paso debemos identificar los siguientes componentes:

  • Las zonas de disponibilidad (availability zones) y cómo están conectadas o segregadas.

    • Recordemos que una zona de disponibilidad es un centro de procesamiento con una ubicación diferente. Es decir, tenemos la herramienta A en un centro de datos en México (principal), pero también tenemos esa misma herramienta A en un centro de datos en Brasil (backup); así en dado caso de algún evento disruptivo en México, podemos seguir operando con la infraestructura de Brasil.

  • Internet Gateway, si contamos con uno. Este es conveniente plasmarlo en las conexiones que van desde el WAF y/o el Route 53 (para el caso de Amazon), hacia las zonas de disponibilidad.

    • Un gateway de internet es básicamente el enlace entre dos redes con protocolos y arquitecturas diferentes.

  • Los endpoints, por ejemplo computadores de escritorio, portátiles, servidores, estaciones de trabajo, smartphones y tabletas.

  • Los balanceadores de carga y cómo se comportan con servicios de autoescalamiento. Puede suceder que la infraestructura sea serverless y tengamos funciones (como Lambda en AWS), en lugar de máquinas virtuales o contenedores.

    • Un balanceador de carga te ayuda a distribuir adecuadamente el tráfico entrante entre varios destinos.

Para nuestro ejemplo, indicamos que la información transmitida por el cliente por medio de internet, después de haber pasado por el WAF, llega al balanceador de carga que, posteriormente la dirige a las subredes públicas dentro de nuestra VPC productiva.

Además, la información del proveedor de servicios, después de haber pasado por el firewall, la dirige a la subred privada dentro de nuestra VPC productiva.

Indicamos también que las subredes públicas son nuestras zonas de disponibilidad, y que éstas, en conjunto con la subred privada, se agrupan para indicar el autoescalamiento.

Las instancias generadas en cada una de las subredes están protegidas con la herramienta EC2 de AWS.

Hackmetrix insight: Los balanceadores de carga ejecutan varias copias de la aplicación para lograr escalabilidad y alta disponibilidad.

Uno de los más utilizados es Application Load Balancer (ALB), que es administrado por AWS y está diseñado para enrutar el tráfico HTTP y HTTPS. Su mayor ventaja es que se encarga de la tolerancia a fallas, la seguridad y del escalado automático del balanceador. 

4. Identificación de bases de datos y buckets

Aquí debemos identificar las conexiones a base de datos y repositorios (o las herramientas que utilices para el storage y database).

Debemos conocer qué tipo de bases de datos tienes, por ejemplo SQL, PostgreSQL, DynamoDB, RDS, etcétera, y cuántos repositorios usan.

También es importante plasmar la ubicación dónde se debe realizar el respaldo de información.

Para nuestro ejemplo; indicamos que dentro de nuestra VPC productiva tenemos una base de datos en PostgreSQL y que se almacena en en el repositorio Bucket S3.

Hackmetrix insight: Recuerda que toda la información que se guarde en las bases de datos y repositorios debe estar cifrada o, al menos, la información más importante y sensible (en el diagrama de ejemplo lo representamos con un ícono de archivo cifrado/candado).

5. Identificación de contenido estático

Ahora es momento de agregar los componentes relacionados con el contenido estático (imágenes, CSS, JS).

Siguiendo con nuestro ejemplo, indicamos que este contenido se almacena en buckets de Amazon S3 y se sirve a través de CloudFront CDN. 

6. Identificación de herramientas de monitoreo y gestión de logs

Aquí debemos incluir los componentes de monitoreo Cloud que tengamos en nuestra infraestructura.

En nuestro ejemplo indicamos que tenemos AWS CloudTrail y AWS CloudWatch que, aunque parezcan similares, su función es distinta:

  • CloudTrail responde a la pregunta "¿quién hizo esto en AWS?", y la API llama al servicio o recurso involucrado.

  • CloudWatch responde a la pregunta “¿qué está sucediendo en AWS?”. Básicamente registra todos los eventos de un servicio o aplicación.

Concretamente, ambos nos ayudan a realizar lo siguiente:

  • Supervisar la VPC; sus recursos, dispositivos, conexiones y el rendimiento.

  • Monitorear máquinas virtuales; infraestructura de virtualización y máquinas virtuales individuales.

  • Monitorear bases de datos, los procesos de monitoreo, consultas, disponibilidad y consumo de sus recursos en la nube.

  • Monitorear almacenamiento en la nube; sus recursos, servicios, bases de datos y aplicaciones.

Hackmetrix insight: Las herramientas de monitoreo de logs son clave para garantizar un correcto funcionamiento y la seguridad de los sistemas.

Recogen datos de múltiples lugares y analizan esos datos para detectar comportamientos anormales o posibles ciberataques.

Si tienes también otras herramientas de este tipo (o SIEM), es conveniente incorporarlas en este paso también. 

7. Identificación de herramientas de administración de seguridad en la infraestructura

Aquí es donde debemos reflejar la seguridad aplicada en nuestra infraestructura.

Los aspectos de seguridad más importantes que nos ayudan a administrar y controlar la VPC en su totalidad son los siguientes:

  • Manejo de identidades o accesos

  • IDS/IPS

  • Manejo de claves

Para nuestro ejemplo; indicamos que contamos con AWS KMS, AWS IAM y AWS Inspector.

Hackmetrix insight: Existen otras opciones como AWS GuardDuty (para IDS o antimalware), Cognito, Auth0 (para manejo de identidades o accesos) y Secrets Manager (para manejo de claves), que pueden sustentar la seguridad de la infraestructura. 

8. Identificación de herramientas de desarrollo

En este paso debemos colocar los repositorios de código, o herramientas de integración continua que utilicemos.

En nuestro ejemplo, indicamos que tenemos Repositorio Code GIT, y que éste se dirige a Jenkins, la herramienta de integración continua (IC).

Hackmetrix insight: Debes colocar el logo correspondiente al repositorio de código y/o herramienta de integración continua que usen en tu empresa.

Los repositorios de código más utilizados son Github, Gitlab y Bitbucket.

Entre las herramientas de integración continua (IC) más comunes están Travis, AWS CodePipeline, Gitlab CI.

9. Identificación de la VPC staging

Aquí debemos identificar los componentes de la VPC del entorno staging.

El objetivo de este paso es demostrar que ambos entornos existen aunque no necesariamente que cuenten con los mismos componentes, pero esto sería lo más recomendable.

Para representar las VPCs (o ambientes) de staging dentro de nuestro diagrama, podemos simplemente hacer una réplica de los componentes que tenemos en el ambiente de producción, o sea nuestra VPC productiva.

Hackmetrix insights: Si bien ambos ambientes tienen que ser espejo, debemos ser cautelosos con el uso de las bases de datos.

No se deben usar los datos productivos en una VPC staging; es decir que al hacer la réplica de los componentes y la estructura, no debemos replicar los datos de las bases en producción.

También, es muy importante recordar que las credenciales de acceso a la VPC de staging deben ser diferentes a las de la VPC productiva.

Generalmente no se monitorean los logs o registros de la VPC de staging, ya que se le da más importancia al monitoreo de la VPC productiva, pero de igual manera debes mantener este ambiente seguro.

Recordemos que medidas como el uso de canales internos seguros, segregaciones correctas con grupos de seguridad y su aislamiento evitan exposiciones a internet que nos ayudan a proteger nuestra infraestructura. 

10. Identificación de la región alternativa

¡Ya estamos por terminar!

Aquí vamos a reflejar la disposición de regiones alternativas que tendremos según nuestra estrategia de recuperación.

Recordemos que para esto puede haber varios escenarios:

  1. Réplica parcial de ambientes: replicar en otra región de la misma nube la VPC de producción para poder asegurar la continuidad del negocio.

  2. Réplica total de ambientes: mantener ambos sitios y/o regiones replicados totalmente. Esta opción suele ser la más costosa y generalmente la menos usada.

  3. Réplica parcial o total de ambientes en otra nube: por ejemplo con otros proveedores como Google Cloud o Azure.

Para nuestro ejemplo indicamos que la región secundaria de Sao Paulo agrupa todos los componentes ya diagramados en nuestra VPC productiva dentro de la región primaria de Virginia.

Para este caso se está utilizando un escenario de réplica parcial en la misma nube (AWS).

La imagen siguiente representa todo nuestro diagrama:

Para los otros escenarios mencionados anteriormente:

  • En el escenario 2 - Réplica total de ambientes; el grupo de región alternativa se tendría que graficar abarcando ambas VPCs, o bien, hacer una copia igual de ambos entornos y disponerlos a un lado.

  • En el escenario 3 - Réplica parcial o total de ambientes en otra nube; la réplica se debería mostrar en otro grupo, que contenga los componentes de la VPC o entorno productivo y/o staging. Este nuevo grupo debe tener el nombre del proveedor de nube alternativo.

Recuerda que:

Un diagrama de infraestructura es una representación visual de una red de telecomunicaciones, así como todos los elementos de seguridad aplicados a ellas.

Este gráfico te ayuda a mostrar los componentes que conforman tu red y cómo interactúan entre sí.

Adicionalmente, te permite administrar, mejorar y asegurar la infraestructura de tu organización. Además de ser uno de los documentos clave para cumplir con varias normativas como lo son la ISO 27001, PCI DSS y otras regulaciones de seguridad como Ley Fintech y la RAN 20-10.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
Cómo hacer tu inventario de activos de información
Cómo hacer tu descriptivo de roles y responsabilidades
Cómo hacer tu matriz SoD
Cómo hacer tu guía de seguridad en el desarrollo y mantenimiento de sistemas
Diagrama de Infraestructura (para SGIA)
¿Ha quedado contestada tu pregunta?