Actualización de FW requerida por vulnerabilidad en IBM PowerVM (Power9 y Power10)

/en Data Center, Noticias/por sixe

Queremos informar a todos nuestros clientes (y lectores) de que se ha identificado un bug en PowerVM que podría suponer un problema de seguridad en los sistemas Power9 y Power10. El riesgo principal es que un actor malicioso con privilegios de usuario en una partición lógica pueda comprometer el aislamiento entre particiones lógicas sin ser detectado. Esto podría dar lugar a la pérdida de datos o a la ejecución de código no autorizado en otras particiones lógicas (LPARs) en el mismo servidor físico. Los detalles técnicos se encuentran en https://www.ibm.com/support/pages/node/6993021

¿Todos los servidores Power están en riesgo?

No. Solo algunos modelos de IBM Power9 o Power10 están en riesgo y siempre dependiendo de sus versiones de FW. Los servidores anteriores a Power9 y aquellos que ejecutan firmware OP9xx no están expuestos a esta vulnerabilidad. No hay evidencia de que esta vulnerabilidad haya sido explotada para lograr un acceso no autorizado en ningún cliente de IBM pero siempre es mejor prevenir que curar :)

¿Cuándo y quíen encontró esta vulnerabilidad?

La vulnerabilidad fue identificada por IBM de manera interna. Ya se ha creado y probado a fondo una solución, que fue lanzada el 17 de mayo en Fix Central.

¿Qué se recomienda a los clientes?

Los clientes deben seguir las instrucciones en Fix Central para descargar e instalar el firmware actualizado.

¿Cuál sería el impacto para los entornos productivos?

La principal preocupación es la posibilidad de que se produzca una fuga de datos o que se ejecute código no autorizado en otras particiones lógicas del mismo servidor físico. No hemos encontrado ninguna evidencia de que esta vulnerabilidad haya sido explotada para lograr un acceso no autorizado.

¿Hay ciertos entornos que son más vulnerables que otros?

IBM no puede especificar cuáles entornos de clientes podrían estar en mayor riesgo ya que el acceso a las particiones es controlado por el cliente. Sin embargo, cualquier entorno en el que se haya otorgado acceso de usuario con privilegios a una o más particiones debe considerarse como potencialmente vulnerable. Es decir, entornos con alta densidad de LPARs, donde se mezclen sistemas productivos y de pruebas tienen mayores posibilidades de sufrir esta vulnerabilidad.

¿Puede aplicarse el parche sin parar los equipos?

El firmware que contiene la solución puede instalarse de manera concurrente y solucionará esta vulnerabilidad en todos los sistemas, a excepción de un sistema Power10 que esté ejecutando un firmware anterior a FW1010.10. En este caso, la solución deberá aplicarse de manera disruptiva, requiriendo que el servidor sea apagado para instalar la actualización y eliminar la vulnerabilidad.

¿Qué tipo de particiones pueden estar afectadas?

Cualquier servidor IBM Power9 o Power10 mencionado en el boletín de seguridad que tenga múltiples particiones podría verse afectado. No importa cómo se hayan creado o gestionado estas particiones.

¿Se encuentra el ambiente Power Virtual Server (Power VS) de IBM en riesgo?

La vulnerabilidad también afectó a la oferta de Power Systems Virtual Server en IBM Cloud (Power VS), pero ya se ha aplicado el parche para remediarlo.

¿Necesitas ayuda con el mantenimiento preventivo de tus sistemas IBM Power?

Contacta con nosotros e infórmate de nuestro servicio de mantenimiento preventivo y soporte 24/7

Primeros pasos con la API de QRadar XDR usando python y Alienvault OTX

/en ciberseguridad, Noticias/por sixe

IBM QRadar XDR es una plataforma de gestión de eventos e información de seguridad (SIEM) que se utiliza para monitorear la seguridad de la red de una organización y responder a incidentes de seguridad de la manera más rápida y completa posible. Aunque QRadar ya es increiblemente potente y personalizable por sí mismo, hay varias razones por las que podríamos querer mejorarlo con scripts de Python utilizando su completa API.

Primeros pasos con la API de QRadar

Veamos un ejemplo de cómo podrías usar la API de QRadar para obtener diferentes informaciones de su base de datos (ArielDB) usando Python. Lo primero que necesitamos antes es un token, que se crea desde el Admin – > Authorized Services

Generando el código en python para la API de QRadar

Vamos a empezar por algo muy simple, conectarnos y sacar los últimos 100 eventos detectados por la plataforma.

import requests
import json

# Configura las credenciales y la URL del servidor QRadar
qradar_host = 'https://<your_qradar_host>'
api_token = '<your_api_token>'

# Define la URL de la API para obtener los eventos
url = f'{qradar_host}/api/ariel/searches'

# Define los encabezados de la solicitud
headers = {
'SEC': api_token,
'Content-Type': 'application/json',
'Accept': 'application/json'
}

# Define la consulta AQL (Ariel Query Language) para obtener los últimos 100 eventos
query_data = {
'query_expression': 'SELECT * FROM events LAST 100'
}

# Realiza la solicitud a la API de QRadar
response = requests.post(url, headers=headers, data=json.dumps(query_data))

# Verifica que la solicitud fue exitosa
if response.status_code == 201:
print("Solicitud de búsqueda enviada correctamente.")
search_id = response.json()['search_id']
else:
print("Error al enviar la solicitud de búsqueda:", response.content)

En este ejemplo, reemplaza <your_qradar_host> con la dirección del host de tu servidor QRadar y <your_api_token> con el token de la API que obtuviste de tu instancia de QRadar.

Este código solicitará a QRadar que ejecute una búsqueda de los últimos 100 eventos. La respuesta a esta solicitud de búsqueda incluirá un ‘search_id’ que luego puedes usar para obtener los resultados de la búsqueda una vez que estén disponibles. Puedes cambiar esta consulta por cualquiera disponible en la guía que IBM nos facilita para aprovechar al máximo  el Ariel Query Language de QRadar

Detectando IPs maliciosas en QRadar usando fuentes abiertas de AlienVault OTX

Si bien en QRadar tenemos X-Force como módulo pre-determinado para realizar búsquedas de IPs maliciosas e integrarlas en nuestras reglas, por multitud de razones (incluido el fin del pago del soporte / SWMA a IBM) podemos querer usar fuentes abiertas para realizar este tipo de funciones. Un ejempo bastante habitual del que hablamos en nuestros cursos y talleres, es el mantener una serie de estructuras de datos actualizadas con IPs “maliciosas” obtenidas a través de fuentes de datos de cibserseguridad abiertas.

Usando la API de QRadar, podemos crear código en python para crear una regla que actualice constamentemente un reference_set que posteriormente utilizaremos en distintas reglas.

Para lograr lo que estás pidiendo, necesitarías dividirlo en dos pasos.

  1. Primero, necesitarías una fuente de inteligencia de seguridad de código abierto que proporcione una lista de IPs maliciosas. Un ejemplo comúnmente usado es la lista de IPs maliciosas de AlienVault Open Threat Exchange (OTX) que acabamos de mencionar.
  2. Luego, usaremos la API de QRadar para actualizar un “reference set” con esa lista de IPs.

Programarlo en Python es muy sencillo:

Primero, descarga las IPs maliciosas de la fuente de inteligencia de seguridad de código abierto (en este caso, AlienVault OTX):

import requests
import json

otx_api_key = '<your_otx_api_key>'
otx_url = 'https://otx.alienvault.com:443/api/v1/indicators/export'

headers = {
'X-OTX-API-KEY': otx_api_key,
}

response = requests.get(otx_url, headers=headers)

if response.status_code == 200:
malicious_ips = response.json()
else:
print("Error al obtener las IPs maliciosas:", response.content)

A continuación usamos la API de QRadar para actualizar un reference set con esas IPs:

qradar_host = 'https://<your_qradar_host>'
api_token = '<your_api_token>'
reference_set_name = '<your_reference_set_name>'

url = f'{qradar_host}/api/reference_data/sets/{reference_set_name}'

headers = {
'SEC': api_token,
'Content-Type': 'application/json',
'Accept': 'application/json'
}

for ip in malicious_ips:
data = {'value': ip}
response = requests.post(url, headers=headers, data=json.dumps(data))

if response.status_code != 201:
print(f"Error al agregar la IP {ip} al conjunto de referencia:", response.content)

El siguiente y último paso paso es utilizar este reference set en las reglas que necesitemos ¡Facil!

¿Quieres saber más de IBM QRadar XDR?

Consulta nuestros servicios de venta, despliegue, consultoríay formación oficial.

Actualización de los cursos de IBM QRadar SIEM/XDR a la versión 7.5.2. Incluyendo las funciones de SOAR, NDR y EDR de QRadar Suite

/en ciberseguridad, Noticias/por sixe

Nos complace anunciar que todos nuestros cursos de IBM QRadar SIEM / XDR han sido actualizados a la versión 7.5.2. En esta nueva versión, se han incorporado poderosas funciones de SOAR, NDR y EDR dentro de la QRadar Suite, brindando a nuestros estudiantes una experiencia de aprendizaje aún más completa y actualizada con una visión en el medio plazo de la tecnología a través de CloudPak for Security los nuevos productos disruptivos de ciberseguridad de IBM que están en camino.

IBM QRadar XDR es la solución líder en el mercado de seguridad de la información que permite la gestión y análisis de eventos de seguridad en tiempo real. Con su capacidad para recopilar, correlacionar y analizar datos de múltiples fuentes, QRadar SIEM brinda a las organizaciones una visión integral de su postura de seguridad y les ayuda a detectar y responder de manera efectiva a las amenazas.

En la versión 7.5.2 de QRadar SIEM / XDR, se han introducido tres funciones clave que amplían aún más las capacidades de la plataforma:

  1. SOAR (Security Orchestration, Automation and Response): Esta función permite la automatización de tareas de seguridad y la orquestación de respuestas, lo que agiliza y optimiza los procesos de detección y respuesta ante incidentes. Con SOAR, las organizaciones pueden automatizar flujos de trabajo, investigar incidentes de manera más eficiente y tomar medidas rápidas y precisas para contener y mitigar las amenazas.
  2. NDR (Network Detection and Response): Con la función NDR, QRadar SIEM / XDR amplía su capacidad para detectar amenazas en la red. Esta función utiliza algoritmos avanzados de análisis de tráfico de red para identificar comportamientos sospechosos y actividades maliciosas. Al combinar la detección de amenazas en la red con la correlación de eventos y registros de seguridad, QRadar SIEM / XDR proporciona una visibilidad integral de las actividades de amenazas en toda la infraestructura.
  3. EDR (Endpoint Detection and Response): La función EDR permite la detección y respuesta a amenazas en los dispositivos finales, como computadoras de escritorio, laptops y servidores. Con EDR, QRadar SIEM / XDR monitorea de forma continua los endpoints en busca de indicadores de compromiso, actividades maliciosas y comportamientos anómalos. Esto ayuda a identificar y contener rápidamente las amenazas que podrían pasar desapercibidas por las soluciones de seguridad tradicionales.

En Sixe, estamos comprometidos con ofrecer a nuestros estudiantes los conocimientos más actualizados y relevantes en el campo de la ciberseguridad. La actualización de nuestros cursos de IBM QRadar SIEM / XDR a la versión 7.5.2, junto con la incorporación de funciones de SOAR, NDR y EDR de QRadar Suite, nos permite brindar una experiencia de aprendizaje integral que refleja las últimas tendencias y avances en el ámbito de la seguridad de la información.

Si estás interesado en aprender sobre QRadar SIEM / XDR y aprovechar todas estas nuevas funciones, te invitamos a explorar nuestros cursos actualizados:

También puedes solicitarnos una formación o consultoría a medida, así como soporte técnico y apoyo con tus proyectos de QRadar.

Sealpath IRM: discutimos integraciones nativas y sus opciones on-premises y SaaS (cloud)

/en ciberseguridad, Noticias/por sixe

Durante los últimos años, Sealpath se ha esforzado mucho en ofrecer integraciones nativas con diversas herramientas populares y ampliamente utilizadas en entornos empresariales para facilitar la adopción y mejorar la eficiencia en la protección de datos y la propiedad intelectual. A continuación, se mencionan algunas de estas herramientas. A continuación os dejamos un listado actualizado de los productos 100% compatibles con Sealpath IRM que en Sixe hemos probado y de los que ya disfrutan muchos clientes en todo el mundo.

Principales integraciones de Sealpath a través de módulos opcionales

Todos estos módulos están disponibles tanto en formato on-premises (instalación local) o cloud (SaaS)

  1. Sealpath for RDS: Este módulo permite trabajar en entornos de escritorio remoto o Citrix que requieren un único instalador por servidor de terminal.
  2. Sealpath for File Servers and SharePoint: Permite la protección automática de carpetas en servidores de archivos, SharePoint, OneDrive, Alfresco y otros repositorios de documentación.
  3. Automatic Protection for Exchange: Proporciona protección automática de cuerpos de mensajes y archivos adjuntos en Microsoft Exchange según reglas específicas.
  4. AD/LDAP Connector: Permite la integración con Active Directory o LDAP en un sistema SaaS.
  5. SealPath for Mobile Devices: Proporciona acceso a documentación protegida a través de la aplicación SealPath Document Viewer o Microsoft Office Mobile en dispositivos móviles iOS, Android o Mac OSX.
  6. Platform customization: Incluye la posibilidad de personalizar la apariencia de las invitaciones por correo electrónico, portales de usuario y administrador.
  7. Multi-organization: Ofrece la posibilidad de tener más de un “huesped” o suborganización vinculada a la misma empresa. Ideal para grandes grupos empresariales u oficinas gubernamentales con diferentes tipos de jerarquías u organigramas muy complejos.
  8. Conectores DLP: Permite la protección automática de la información basada en reglas configuradas en el DLP de Symantec, McAfee y ForcePoint, que son las soluciones que más nos gustan dentro de este sector.
  9. SealPath Sync Connector: Facilita el acceso sin conexión a una gran cantidad de archivos almacenados en ciertas carpetas de un dispositivo de usuario.
  10. Protection Based Classification Connector: Permite la protección automática de documentos clasificados por una solución de clasificación de información que incluye etiquetas en los metadatos del archivo.
  11. SealPath Secure Browser: Habilita la visualización y edición de documentos protegidos en el navegador web.
  12. SealPath SDK (.Net, REST, command-line): Permite el uso de SDK de SealPath en formato REST, .Net o línea de comandos para la integración de protección con ciertas aplicaciones corporativas.

Como veis, no son pocos los módulos y complementos que amplían las capacidades de la solución principal de Sealpath IRM, permitiendo a las organizaciones adaptar la protección y el control de acceso a sus necesidades específicas… y sobretodo, sin tener que cambiar su manera de trabajar o los productos que ya utilizan.

¿Lo desplegamos o usamos el modo SaaS)?

Esta es la segunda gran pregunta de los clientes. Sealpath IRM ofrece dos modalidades de implementación: Software como Servicio (SaaS) y On-Premises. Ambas opciones ofrecen la misma funcionalidad y protección de datos, pero difieren en la forma en que se alojan y administran. A continuación, se presentan las principales diferencias entre ambas modalidades:

  1. Alojamiento y administración de la infraestructura:

  • Sealpath SaaS: En la modalidad SaaS, la infraestructura y los servidores están alojados y administrados por Sealpath en la nube. Esto significa que los clientes no necesitan preocuparse por el mantenimiento, la actualización y la seguridad de los servidores, ya que estos aspectos son responsabilidad de Sealpath.
  • Sealpath On-Premises: En la opción On-Premises, la infraestructura y los servidores se implementan y administran dentro de las instalaciones del cliente o en su propio entorno de nube privada. Esto brinda a los clientes un mayor control sobre la ubicación y el acceso a sus datos, pero también implica que deben administrar y mantener los servidores por sí mismos.

  1. Integración con Active Directory y LDAP:

  • Sealpath SaaS: En la versión SaaS, los clientes pueden integrar Sealpath con sus sistemas de Active Directory o LDAP utilizando el conector AD/LDAP. Este conector permite sincronizar usuarios y grupos con el sistema de Sealpath y facilita la administración de permisos y políticas de acceso.
  • Sealpath On-Premises: En la versión On-Premises, la integración con Active Directory o LDAP está integrada por defecto y no es necesario adquirir un conector adicional.

  1. Licenciamiento de módulos adicionales:

  • Sealpath SaaS: Algunos módulos, como SealPath for Mobile Devices, están incluidos en la versión SaaS sin costo adicional.
  • Sealpath On-Premises: En la opción On-Premises, estos módulos deben adquirirse por separado según las necesidades de la organización.

  1. Personalización de la plataforma:

  • Sealpath SaaS: La personalización del aspecto y la apariencia de la plataforma (colores, logotipos, etc.) puede estar limitada en comparación con la opción On-Premises, ya que se basa en un entorno compartido en la nube.
  • Sealpath On-Premises: La opción On-Premises permite una mayor personalización de la plataforma, ya que se aloja en un entorno dedicado y controlado por el cliente.

La elección entre Sealpath SaaS y On-Premises depende de las necesidades y preferencias de la organización en términos de control sobre la infraestructura, costos y facilidad de administración. Ambas opciones brindan una sólida protección y las mismas funcionalidades para el control de acceso a la información confidencial y la propiedad intelectual. A diferencia de Microsoft y otros competidoes, no se obliga a los clientes a usar un modelo u otro, pues solo ellos saben lo que más les conviene.

¿Te interesa Sealpath IRM?

Solicita una demostración sin compromiso

Sealpath IRM en el sector del diseño industrial: Fortaleciendo la gestión de proyectos y protegiendo la propiedad intelectual

/en ciberseguridad, Noticias/por sixe

El diseño industrial es un sector altamente competitivo en el que la propiedad intelectual juega un papel crucial. Los directores de proyectos en empresas dedicadas al diseño industrial enfrentan desafíos en la gestión de la información sensible y la protección de la propiedad intelectual. La solución de Gestión de Derechos de Información (IRM) de Sealpath puede ser de gran ayuda en estos casos y garantizar la protección de la información crítica y el éxito en la gestión de proyectos.

A continuación, se describen algunas formas en que Sealpath IRM puede ayudar a las empresas dedicadas al diseño industrial y cuyo valor depende de la correcta protección de su propiedad intelectual.

Protección de la propiedad intelectual en archivos CAD y otros documentos

Los archivos de Diseño Asistido por Computadora (CAD) y otros documentos técnicos contienen información valiosa sobre los productos y diseños de una empresa. Sealpath IRM permite proteger estos datos sensibles mediante la encriptación y el control de accesos, garantizando que solo los usuarios autorizados puedan acceder, editar y compartir los archivos.

Colaboración segura con proveedores y clientes

En el sector del diseño industrial, la colaboración entre proveedores, clientes y otros stakeholders es esencial para el éxito de los proyectos. Sealpath IRM permite compartir archivos de forma segura y controlar el acceso a la información, incluso después de que los documentos hayan sido compartidos fuera de la organización. Esto garantiza que la propiedad intelectual esté protegida durante todo el proceso de colaboración.

Seguimiento y auditoría del uso de archivos

Sealpath IRM proporciona un registro detallado del uso de los archivos, incluyendo quién ha accedido a ellos, cuándo y desde dónde. Esto permite a los directores de proyectos monitorear el uso de la información confidencial y detectar posibles violaciones de seguridad o mal uso de la propiedad intelectual.

Facilitar el cumplimiento normativo

El sector del diseño industrial puede estar sujeto a diversas regulaciones y normativas relacionadas con la protección de la propiedad intelectual y la privacidad de los datos. Sealpath IRM facilita el cumplimiento de estas normativas al garantizar que la información confidencial esté protegida y accesible solo para usuarios autorizados.

Integración con herramientas de gestión de proyectos y software CAD

Sealpath IRM puede integrarse fácilmente con las herramientas de gestión de proyectos y software CAD existentes, lo que permite a los directores de proyectos proteger la propiedad intelectual sin alterar los flujos de trabajo existentes. Esto facilita la adopción de la solución y mejora la eficiencia en la gestión de proyectos.

Integración con otras herramientas empresariales

En conclusión, Sealpath IRM es una herramienta valiosa para las empresas dedicadas al diseño industrial. Al proteger la propiedad intelectual y facilitar la colaboración segura, la solución puede mejorar la eficiencia en la gestión de proyectos y garantizar el éxito en un sector altamente competitivo. Estas incluyen:

  1. Microsoft Office: Sealpath ofrece integración nativa con las aplicaciones de Microsoft Office, como Word, Excel, PowerPoint y Outlook. Esto permite a los usuarios proteger fácilmente sus documentos, hojas de cálculo y presentaciones, así como controlar el acceso y compartirlos de manera segura a través del correo electrónico.
  2. Microsoft SharePoint y OneDrive: La integración con Microsoft SharePoint y OneDrive facilita la protección y el control de acceso a los archivos almacenados en estas plataformas de colaboración y almacenamiento en la nube.
  3. Microsoft Teams: Sealpath se integra con Microsoft Teams para garantizar la protección de la información compartida en los chats y canales de colaboración. Esta integración permite a los usuarios aplicar políticas de protección directamente desde Teams y controlar el acceso a los documentos compartidos.
  4. Google Workspace (anteriormente G Suite): Sealpath se integra con Google Workspace para proteger los documentos, hojas de cálculo y presentaciones creados y almacenados en Google Drive. Los usuarios pueden aplicar políticas de protección y controlar el acceso a sus archivos directamente desde las aplicaciones de Google Workspace.
  5. Alfresco: Sealpath ofrece una integración nativa con el sistema de gestión de contenidos empresariales Alfresco. Esto permite a los usuarios proteger y controlar el acceso a los documentos y archivos almacenados en el repositorio de Alfresco.
  6. Box: La integración de Sealpath con Box permite a los usuarios proteger y controlar el acceso a los archivos almacenados en esta plataforma de almacenamiento en la nube. Los usuarios pueden aplicar políticas de protección y seguimiento directamente desde la interfaz de Box.
  7. Salesforce: Sealpath se integra con Salesforce para proteger la información confidencial almacenada en la plataforma CRM. Los usuarios pueden aplicar políticas de protección y controlar el acceso a los datos directamente desde Salesforce, garantizando la seguridad de la información del cliente y la propiedad intelectual.

¿Te interesa la solución?

Contacta con nosotros y solicita una demostración ahora mismo

Cuando los clientes salen en los periódicos

/en Data Center, Noticias/por sixe

Hace muchos años, los responsables de un gran cliente de IBM dedicado a la infraestructura energética, nos decían que lo más importante de los servidores eran que fueran lo suficientemente estables como para que nunca salieran en los periódicos. Nos quedamos con esa idea, y tras muchos años trabajando con sistemas críticos IBM y Lenovo, fuimos desarrollando una oferta de servicios que hiciera realidad esa premisa. Una correcta arquitectura, un despliegue “de libro”, alta disponibilidad y un correcto mantenimiento preventivo anual hacen que muchas bases de datos y aplicaciones impresicindibles para el negocio de nuestros clientes estén siempre disponibles. De eso va este video y nuestros servicios de mantenimiento preventivo.

 

Los errores más frecuentes al renovar o adquirir almacenamiento

/en Data Center, Noticias/por sixe

Han pasado 5 años y toca renovar el storage. ¿Cuales son los errores más habituales?

La renovación de los sistemas almacenamiento empresarial, es una decisión crítica, compleja y con unos costes que hacen muy recomendable que sea abordado con mucho cuidado. Es común que se cometan errores al planificar y llevar a cabo este tipo de proyectos y en este artículo, vamos a comentar aquellos que nos encontramos con mayor frecuencia en nuestros nuevos clientes.

1. Dimensionamiento incorrecto

Uno de los errores más comunes al renovar el almacenamiento empresarial es subestimar o sobreestimar la capacidad (en TB, rendimiento y tiempo de respuesta) necesaria de almacenamiento. Un dimensionamiento incorrecto puede resultar en una inversión insuficiente o en una inversión excesiva en almacenamiento empresarial. Todos sabemos que una solución con NVMe es más rápida que otra con SSD, pero ¿la necesitamos? ¿y para el 100% de los datos? ¿a qué precio? ¿los servidores son capaces de alcanzar el ancho de banda que permite la cabina? (pista:  en el 95% de los casos no). Pero claro para saberlo es recomendable realizar un dimensionamiento o auditoría previa, que tiene un coste muy pequeño en comparación con la adquisición de las cabinas y lo que nos podemos llegar a ahorrar. Las prisas y las ofertas para mañana no son buenas compañeras de viaje en este tipo de proyectos.

2. No prever el coste a, al menos, 5 años

Uno de nuestros clientes compró hace años unas cabinas de uno de nuestros fabricantes favoritos. Era extremadamente potente y el precio era muy atractivo. Dos años después, quisieron añadir discos (la compraron con lo mínimo) y el precio de lista de los mismos superaba el millón de euros. Es más, todos los ejercicios mostraban que era más económico comprar una nueva cabina de menor gama pero con rendimiento más que suficiente y el almacenamiento que necesitaban, que ampliar la existente. ¿Absurdo? No, una mala praxis comercial muy habitual entre empresas sin personal técnico propio. Igual que nos regalan las impresoras, con muchos otros componentes de HW ocurren cosas similares. Switches que se licencian por puerto activado, cortafuegos cuyo precio varía según los usuarios que se conecten y otros miles de trucos para ocultar los costes en el medio y largo plazo, así como las dependencias generadas y la obligación de comprar servidores y cabinas adicionales cada poco tiempo. Si bien lo hacen todos los fabricantes, con un correcto asesoramiento muchas veces se le puede dar la vuelta y en el momento de la compra conseguir a un precio muy interesante todo lo que necesitemos mientras la máquina funcione.

3. No conocer el ciclo de vida de las máquinas (hasta cuándo tendrán mantenimiento)

Otro error frecuente es no comprender el ciclo de vida de las máquinas y no saber hasta cuándo estarán disponibles los servicios de mantenimiento. Es fundamental tener en cuenta la vida útil de las cabinas de discos y la disponibilidad de servicios de soporte técnico y mantenimiento en el medio y largo plazo. Muchas veces los sistemas al final de su ciclo de comercialización tienen importantes descuentos… pero es que también durante su lanzamiento. Lo segundo nos permite usarlos durante mucho más tiempo  reduciendo el coste anual significativamente. Si compramos una cabina que va a ser retirada de marketing próximamente, puede que cuando la hayamos puesto en funcionamiento solo le queden los años mínimos de soporte y a los 5 años la única alternativa sea soportarla nosotros mismos, pedir las piezas que fallen en brokers internacionales o comprar una nueva. Si hubiéramos adquirido un sistema que llevara poco en el mercado (aunque lo suficiente para que otros lo hayan probado y sufrido sus primeros fallos) será sencillo extender el mantenimiento durante 6, 7 o incluso 10 años que suele ser el tope de su ciclo de vida habitual. Los comerciales de empresas sin personal técnico te dirán “no se podía saber” o que “la culpa es de IBM / HP / Dell / Hitachi” pero no es cierto. Tenemos que saber lo que vendemos e informar a nuestros clientes de manera honesta sobre los pros y os contras de cada nueva infraestructura que les propongamos adquirir.

4. Desconocer las matrices de compatibilidad con los sistemas operativos

Otro error común es no considerar la compatibilidad del almacenamiento empresarial con los sistemas operativos existentes. Es fundamental asegurarse de que el storage sea compatible con los sistemas operativos existentes y que si debemos actualizar, lo hagamos antes de la puesta en marcha del nuevo almacenamiento. Esto es especialmente relevante cuando hay sistemas operativos fuera de soporte por la falta de de un servicio mantenimiento preventivo. Igual la nueva cabina soporta Red Hat o Windows, pero no la versión en producción porque todo nuevo hardware requiere drivers que sería raro existieran antes. Los viajes en el tiempo tampoco existen para los sistemas operativos, y un Windows de 2008 es probable que tenga problemas  de compatibilidad con una cabina de 2023.

5. No preveer el impacto de las migraciones de los entornos de producción existentes

Por último, otro error común es no prever el impacto de las migraciones de los sistemas existentes en el almacenamiento que hemos renovado. Es importante evaluar cuidadosamente los sistemas existentes que se migrarán y comprender cómo se integrarán en la nueva solución de almacenamiento,  quien se encargará de estos servicios profesionales y qué impacto tendrán en nuestra organización o negocio.

6. No tener un equipo técnico formado ni un soporte L2-L3 al que recurrir

Muchos clientes compran sistemas almacenamiento pero no tienen el tiempo para formarse en ellos ni disponen de servicios de soporte técnico externo al que recurrir, pensando que ante cualquier problema pueden recurrir al fabricante pues ya pagan un soporte por estos sistemas, cuando no siempre es así, sobretodo si el sistema funciona correctamente y el problema, aunque muy relacionado, es otro.

7. Confiar en empresas que no tienen equipos técnicos y cuyo negocio se basa en grandes márgenes en las ventas de SW y HW

A diferencia de nuestra competencia, en Sixe Ingeniería siempre nos pondremos del lado de nuestros clientes, pues vivimos fundamentalmente de la formación, consultoría y soporte técnico. Servicios que complementamos con la venta de HW que normalmente ayudamos a mantener, con lo que somos los principales interesados en que las soluciones sean las idóneas en el medio y largo plazo. Además, como partners de referencia de IBM y Lenovo, podemos ofreceros importantes descuentos, conocemos muy bien la mayoría de los tipos de entornos críticos y somos agnósticos en cuanto a tecnología, aunque tenemos nuestras preferencias en base a nuestra experiencia. ¿Hablamos?

Servidores IBM Power10 para SAP HANA a un precio imbatible

/en Data Center, Noticias/por sixe

IBM ha publicado su última oferta en cuanto a servidores de alto rendimiento Power10 para SAP HANA, que se basa en su gama de servidores de uno y dos sockets con entre 2TB y 6 TB de RAM con descuentos de casi el 50%.

SAP HANA funciona gracias a un diseño donde el procesamiento y análisis en tiempo real de grandes volúmenes de datos se realiza íntegramente en memoria garantizando un rendimiento muy mejorado con respecto a los entornos de SAP clásicos. HANA ayuda a empresas de todo el mundo a administrar datos críticos y tomar decisiones empresariales basadas en información precisa y obtenida en tiempo real.

¿Qué aporta IBM Power10?

El Power10 de IBM es el primer servidor que ofrece soporte nativo para SAP HANA, lo que lo convierte en una opción atractiva para las empresas que buscan implementar esta plataforma. Con su capacidad para manejar grandes volúmenes de datos y realizar análisis en tiempo real, el Power10 puede mejorar significativamente la eficiencia y la eficacia de las operaciones empresariales.

Leer más

“El comercial me ha engañado” o porqué necesitas un servicio de Radar Tecnológico

/en ciberseguridad, Noticias/por sixe

El título de este artículo, “el comercial me ha engañado”, es uno de los comienzos más habituales en nuestras conversaciones con nuevos clientes. Grandes proyectos con escaso retorno cuando no directamente la omisión de información clave que de haberla conocido hubiera cambiado el trasncurso de las decisiones estratégicas en tecnología. Increibles pliegos donde alguien se olvida de los servicios profesionales necesarios para que la solución se ponga en marcha, o de la correcta formación del personal que la explotará los años venideros. Leer más

Alma & CentOS Linux en servidores IBM Power

/en Noticias/por sixe

Durante los últimos dos añs, el proyecto CentOS, distribución comunitaria de Linux basada y binariamente compatible con Red Hat, no ha parado de sufrir cambios. Al igual que ocurre en otros proyectos de software libre, esta popular (y estable) distribución usada por empresas y organismos de todo el mundo, pasaba a ser una “versión de desarrollo” de Red Hat Enterprise Linux. Lo mismo ocurre con oVirt vs RHEV o Foreman + Katello vs Satellite. A cambio, Red Hat ofrece licencias gratuitas para pequeños despliegues y ha ampliado las opciones de suscripciones educativas.

¿Que ocurre con CentOS Stream?

No es que CentOS Stream ya no sea estable, o que sus usuarios se conviertan sin quererlo en beta-testers de Red Hat Enterprise, pero cambiaban aspectos fundamentales. Hasta ahora, cuando Red Hat saba su versión X, unos meses después, se compilaban las mismas versiones de los mismos paquetes creando un “clon” con las mismas funcionalidades para quienes no necesiten un soporte de nivel empresarial. Esto deja de ser así (las actualizaciones y cambios pasan a ser más frecuentes) y, por todo el mundo, sus usuarios se plantean qué hacer. Por ejemplo el CERN de Suiza, ha decidido quedarse con CentOS Stream por el momento. Quizás por aquello de que más vale malo conocido que bueno por conocer.. pero esa es otra historia.

En paralelo, tanto Ubuntu, como Red Hat y SUSE ofrecen todos sus repositorios para x86 pero también para ARM y ppc64le (Linux on IBM Power), con lo que estábamos muy interesados en probar si estas nuevas distribuciones herederas de CentOS, estaban siendo compiladas para estas arquitecturas y si podíamos migrar a ellas desde CentOS Stream. De ser así pensamos que puede ser un buen aliciente para que clientes que dispongan (o se estén planteado adquirir) servidores IBM Power le den una oportunidad a esta tecnología, que de desplegarse satisfactoriamente no solo se consigue un mucho mejor rendimiento por core, sino que los costes en licencias y las horas necesarias para el mantenimiento técnico se reducen mucho.

Alma vs CentOS, Rocky y Oracle Linux

En esta tabla tenemos las distribuciones basadas en Red Hat que podemos (o podremos) instalar en IBM Power, y sus características fundamentales.

Benchmarking against RHEL AlmaLinux Oracle Linux Rocky Linux CentOS Stream CentOS Linux
Disponible desde Marzo 2021  2006  Junio 2021  2019  2004
Compatibilidad binaria 1:1 con RHEL Si Casi *
(cambios en glibc, openssl..)		 Si Aplican los límtes de la ACG Si
Actualizaciones cada Diarias Diarias Diarias Upstream de RHEL Diarias
Ciclo de vida 10 Years 10 Years 10 Years 5 Years EOL on 2021-12-31
Soporte comercia Terceros Oracle, terceros Terceros Terceros Terceros
Soporte para PowerPC  Si Si No todavía Si Si
Soporte para s390x  No todavía Por decidir Por decidir Si Si
Propiedad de: AlmaLinux OS Foundation Oracle Inc Rocky Enterprise Software Foundation Red Hat Inc Red Hat Inc
Tipo de organización del propietario Non-Profit 501(c)6 For Profit C-Corp For Profit, Public Benefit Corp For Profit C-Corp For Profit C-Corp

Como veis, si buscamos una alternativa a CentOS Linux para Power, AlmaLinux parece ser la opción más interesante y con 10 años de actualizaciones en cada versión.

Probando AlmaLinux (ppc64le)

Para escribir este artículo hemos hecho dos tipos de pruebas. La primera de ellas ha sido instalar desde el DVD AlmaLinux en un servidor Power8. Como veis más allá del arranque desde el SMS de la LPAR la instalación es igual que en un sistema x86

¿Y si queremos migrar desde CentOS Stream a AlmaLinux?

Existe un script que podeis descargar aquí, que hemos descargado en un segundo entorno con un CentOS Stream recién actualizado.

$ wget https://raw.githubusercontent.com/AlmaLinux/almalinux-deploy/master/almalinux-deploy.sh

Es necesario editar este script antes de ejecutarlo

$ vi almalinux-deploy.sh

Y modificar la siguiente línea, donde verifica la arquitectura porque ppc64le SI ESTÁ SOPORTADA y tenemos todos los paquetes de software disponibles (lo vamos a comprobar).

A continuación ejecutamos el script, que probablemente necesites lanzar con la opción -d para hacer un “downgrade” desde la versión actual de CentOS Stream a AlmaLinux 8.X (siempre será algo más antigua que la última de CentOS Stream)

 

Y a continuación puedes instalar epel-release y el resto de repositorios con software adicional como harías en cualquier entorno x86.

Al ser un entorno IBM Power, es recomendable instalar los paquetes de software que añaden funcionalidades (en base a comandos de AIX) para poder administrar correctamente todo el HW, acceder a la consola HMC y poder realizar cambios de configuración sin reiniciar los sistemas.

$ yum install wget 
$ wget ftp://public.dhe.ibm.com/software/server/POWER/Linux/yum/download/ibm-power-repo-latest.noarch.rpm
$ rpm -ivh –nodeps ibm-power-repo-latest.noarch.rpm

Aquí, una vez más hay que editar el script de configuración para que funcione en AlmaLinux. Verás que hay un exit 1 si no es centos/suse/redhat que vamos a modificar quedando así

$ vi /opt/ibm/lop/configure

$ chmod +x /opt/ibm/lop/configure

$ /opt/ibm/lop/configure

Instalamos el repositorio de epel (contiene mucho software adicional)

$ yum install epel-release

Y vemos como los nuevos repositorios están ya activos

$ yum repolist

migra

Descargamos las utilidades de PowerVM para que la LPAR de Linux sea gestionada desde el HMC

$ yum install src ksh rsct.core devices.chrp.base.ServiceRM DynamicRM

Y reiniciamos los servicios de RMC (que nos valen para añadir o quitar memoria y cpu de manera dinámica)

$ /usr/bin/rmcctrl -z
$ /usr/bin/rmcctrl -A
$ /usr/bin/rmcctrl -p

La prueba final

Vamos a usar un script de bastantes lineas para desplegar un servidor web, base de datos y un sitio con WordPress.

$ wget https://github.com/UncleDan/linux-scripts/blob/master/wordpress-centos8.sh

$ bash wordpress-centos8.sh

Entramos en nuestra IP con el navegador y Wodpress funcionado! Esto es algo que hace dos años no podíamos decir que funcionara con esta seguridad. Nos alegra comprobar que se han hecho muchos avances y que el soporte de aplicaciones para ppc64le es cada vez más extenso y completo. Os animamos a probarlo y sin necesidad de invertir en nuevas licencias.

¿Qué otras aplicaciones y servicios podemos desplegar en Linux sobre IBM Power?

Para acabar este artículo os dejamos un listado de aplicaciones disponibles en OpenShift para Power y que por lo tanto, están totalmente soportadas en cualquier distribución basada en Red Hat, como son AlmaLinux y CentOS. ¿A qué esperas para probarlo?

Sistemas operativos bajo contenedores (docker / runC)

+ Red Hat
+ CentOS
+ SUSE
+ BusyBox
+ AlpineLinux
+ Ubuntu
+ Debian

Middleware

+ WebSphere Liberty
+ Open Liberty
+ Apache Tomcat
+ ActiveMQ
+ JBoss
+ WildFly
+ RabbitM
+ WordPress

Lenguajes

+ Jenkins
+ Ansible
+ Kubernetes
+ Red Hat OpenShift
+ Gradle
+ Maven
+ Terraform
+ Travis CI
+ Python
+ Java
+ PHP
+ GoLang
+ OpenJDK
+ NodeJS
+ R
+ Ruby

 

Bases de datos

+ MongoDB
+ Redis
+ MySQL
+ Cassandra
+ MariaDB
+ PostgreSQL
+ Memcached
+ IBM Db2

Analíticas & IA

+ Grafana
+ Kibana
+ Elasticsearch
+ Logstash
+ Fluentd
+ Kafka
+ IBM Watson Studio
+ IBM Watson ML

Almacenamiento

+ Container Storage Interface
+ IBM Spectrum Virtualize
+ IBM PowerVC CSI Driver
+ NFS

Comunicaciones

+ Prometheus
+ Nginx
+ Apache HTTP Server
+ ZooKeeper
+ HAP oxy
+ etcd

 

Sixe Ingeniería