Desde su creación en 1997, Afnic (Asociación francesa de denominación de Internet en cooperación) gestiona el registro de los nombres de dominio “.fr”, así como de otros dominios de primer nivel, especialmente en el extranjero. Estos registros representan actualmente más de 4 millones de registros y desempeñan un papel esencial para el ecosistema francés de Internet. En 2019, la asociación, que opera en el marco de una delegación de servicio público renovada cada cinco años, fue designada operador de servicios esenciales (OSE). Como tal, debe cumplir con estrictas normas en materia de seguridad de sus sistemas de información, según lo previsto en la directiva NIS (Seguridad de redes y de la información)transpuesta en Francia por la ANSSI. Para garantizar que estas reglas se sigan y se mantengan en el tiempo, Afnic confía en la plataforma de código abierto Rudder, una solución de automatización francesa para gestionar el cumplimiento y la seguridad de la infraestructura.

“Para tener el estatus de OSE, tuvimos que implementar 23 normas de seguridad, todo ello en un plazo de tres años”, explica Régis Massé, director de sistemas de información y director técnico de Afnic. Estas normas se dividen en cuatro áreas principales (gobernanza, protección, defensa y resiliencia), una parte importante relativa a la configuración de los entornos. Desde su origen, Afnic ha velado por su seguridad internamente, ya que la asociación también cuenta con la certificación ISO 27001 desde 2016. También gestiona ella misma sus infraestructuras de servidores y de red, sin recurrir a proveedores de servicios, excepto el hosting. Pero el cumplimiento representaba una tarea importante, sobre todo porque la asociación tiene recursos más modestos que los grandes grupos. "Los equipos de TI representan aproximadamente la mitad de la plantilla de la asociación, pero la gestión de la infraestructura la lleva a cabo un equipo de unas quince personas", indica el CIO.

Automatizar para cumplir con los plazos

Por lo tanto, para garantizar el cumplimiento del NIS, Afnic necesitaba equiparse y automatizarse tanto como fuera posible. El sistema de información de Afnic se basa en una infraestructura de cerca de 600 servidores. El despliegue de estos servidores ya estaba industrializado utilizando plantillas de Ansible. Por otro lado, una vez que las máquinas estaban en producción, era probable que su configuración cambiara con el tiempo, debido a la intervención humana o a actualizaciones. Para remediar esto, los equipos llevaron a cabo campañas de verificación periódicas y ajustaron las plantillas manualmente, lo que rápidamente podría volverse tedioso. Además, Ansible no proporcionó informes sobre la aplicación de plantillas, lo que complicó las cosas durante las auditorías. Por lo tanto, en 2020, la asociación buscó una herramienta complementaria, capaz de afrontar sus desafíos de cumplimiento. “En nuestras elecciones queremos favorecer las soluciones de código abierto y, cuando sea posible, los actores franceses, porque una de nuestras misiones es apoyar el desarrollo de Internet en Francia”, subraya Régis Massé. “También apreciamos la proximidad geográfica; poder conocer fácilmente a nuestros socios es una verdadera ventaja. » Afnic finalmente seleccionó Rudder porque la solución y el editor correspondían a sus ambiciones, pero también por su facilidad de uso. La asociación concede gran importancia a su autonomía en el uso diario de sus herramientas de administración.

“Primero probamos la solución introduciendo averías y errores de configuración”, relata el CIO. Tras haber demostrado su eficacia en el entorno de prueba, Rudder se implementó en producción en 2021, con el apoyo del editor durante la implementación. Para instalar la solución fue suficiente un único servidor, que está conectado a los agentes presentes en las diferentes máquinas físicas y VM. “La adopción fue bastante rápida porque la herramienta está bien construida. La entrada en producción no provocó ningún temor, porque los administradores ya dominaban la herramienta gracias al aumento de competencias durante las pruebas”, subraya Régis Massé. Más de dos años después de la implementación, se logró el objetivo de autonomía y solo se contacta al editor una vez al año para obtener asesoramiento adicional.

Visibilidad y seguimiento en tiempo real del cumplimiento de la flota

Cuando se implementan nuevas máquinas, Ansible ahora llama a las API Rest de Rudder para registrarlas en la plataforma. Esto permite a los administradores tener visibilidad de toda la flota, pero también crear grupos de máquinas que deben configurarse de la misma forma. Una vez que una nueva máquina se coloca en un grupo, hereda las reglas de configuración, que se aplican automáticamente. La plataforma implementa y verifica reglas de forma centralizada, eliminando la necesidad de que los equipos de operaciones inicien sesión manualmente en cada máquina. "Hemos ganado en eficiencia en comparación con los scripts internos", señala el CIO. “Era un tema importante para cumplir con nuestros compromisos y plazos. » Rudder también permitió a Afnic eliminar ciertos servicios innecesarios instalados por defecto en los servidores. La clave son las ganancias en rendimiento y seguridad. Finalmente, la plataforma ahora cubre arquitecturas de microservicios basadas en Kubernetes, cuya integración se llevó a cabo sin problemas.

Pero los mayores avances se encuentran en el monitoreo y la aplicación del cumplimiento. Por lo tanto, la solución realiza controles periódicos en los servidores y restablece automáticamente la configuración deseada si se detectan desviaciones. “Incluso en caso de avería, la herramienta está ahí para restaurar la configuración. Siempre pueden producirse errores humanos durante las operaciones de la cadena de montaje: confiar estas tareas a robots es tranquilizador, una vez que hemos demostrado que el sistema se comporta según lo esperado”, valora Régis Massé. Todas las desviaciones identificadas activan una alerta y se rastrean en informes. “Esto nos permite estar advertidos de posibles anomalías y disponer de informes de cumplimiento periódicos, que podemos presentar al CISO y durante las auditorías ISO 27001, realizadas dos veces al año, incluidas las auditorías en blanco”, indica el CIO.

La herramienta adecuada para sus necesidades en lugar de una navaja suiza

Rudder forma hoy parte de un conjunto de medios implementados por Afnic para garantizar el cumplimiento y la seguridad de sus infraestructuras. Otras herramientas gestionan equipos de red y otras estaciones de trabajo. “Debido al contexto en el que operamos, tenemos necesidades bastante específicas en nuestros servidores, así como en nuestros equipos de red, en IPv6 desde el principio. Por este motivo, preferimos elegir soluciones que satisfagan una necesidad específica en lugar de herramientas muy generales, que no siempre van lo suficientemente lejos según nuestros criterios”, indica el CIO. Debido a su función, Afnic se comunica periódicamente con sus homólogos, especialmente en otros países europeos. “Otros responsables de registros han venido a vernos para saber cómo gestionamos estos aspectos del cumplimiento”, indica Régis Massé.