Módulo 8 — Huawei Cloud: seguridad, backup y finanzas

8.1 Objetivos del módulo

• Comprender qué protege un WAF y cuándo es necesario implementarlo.
• Configurar backups con CBR (Cloud Backup and Recovery) para ECS y EVS.
• Comprender la diferencia entre cuenta normal y Partner Center, y la visibilidad financiera de cada una.
• Ejecutar el procedimiento completo del reporte mensual del día 5: extracción, validación y entrega.
• Identificar anomalías típicas de consumo y reportarlas antes de la entrega.
• Configurar alertas de facturación y presupuestos para evitar sobrecostos.
• Aplicar buenas prácticas de optimización de costos.

8.2 Contenido teórico

8.2.1 WAF — Web Application Firewall

El WAF de Huawei Cloud filtra tráfico HTTP y HTTPS antes de que llegue a la aplicación, bloqueando ataques de capa 7. Es la capa de defensa específica para servicios web expuestos a internet.

¿Qué protege un WAF?

• SQL Injection (SQLi): inyección de comandos SQL maliciosos en formularios o parámetros.
• Cross-Site Scripting (XSS): inyección de scripts JavaScript en respuestas a otros usuarios.
• Command Injection: inyección de comandos del sistema operativo en parámetros.
• Path Traversal: intentos de acceder a archivos fuera del directorio web (../../../etc/passwd).
• Remote File Inclusion (RFI): carga de scripts remotos para ejecutarse en el servidor.
• Ataques de fuerza bruta: intentos masivos de login (rate limiting).
• Web crawlers y scrapers maliciosos.
• CC attacks (Challenge Collapsar): ataques de aplicación que sobrecargan el servidor.
• OWASP Top 10 en general.

Modos de implementación

Configuración mínima recomendada para producción

1. Crear instancia de WAF (edición standard es suficiente para la mayoría de casos).
2. Agregar dominio protegido (ej: app.harper.com).
3. Configurar reglas básicas: SQLi, XSS, command injection.
4. Configurar rate limiting (ej: máximo 100 requests/minuto por IP).
5. Iniciar en modo log (no block) durante 1–2 semanas para validar.
6. Revisar el dashboard de eventos: si los logs muestran que las reglas son válidas y no hay falsos positivos, cambiar a modo block.
7. Asociar el WAF al ECS o ELB mediante actualización del DNS.

8.2.2 CBR — Cloud Backup and Recovery

CBR es el servicio gestionado de backups de Huawei Cloud. Permite respaldar ECS completos (SO + todos los discos), volúmenes EVS individuales y archivos, con políticas automáticas de frecuencia y retención.

Conceptos de CBR

• Vault: contenedor lógico que agrupa los backups. Se le asigna capacidad inicial (ej: 1 TB) y costo por GB.
• Policy: regla automática que define cuándo respaldar y cuánto retener.
• Backup: punto de respaldo individual de un recurso, almacenado en el vault.
• Restore: operación de recuperación desde un backup hacia un nuevo recurso o reemplazando el actual.

Tipos de respaldo

Flujo típico de configuración en Harper

1. Console → CBR → Vaults → Create Vault. Asignar capacidad inicial.
2. Definir Policy: backup diario a las 02:00 AM, retención 14 días, replicación a OBS opcional.
3. Asociar recursos al vault y a la policy (ECS de producción, EVS críticos).
4. Verificar al día siguiente que el primer backup automático se ejecutó correctamente.
5. Programar prueba de restauración mensual: tomar un backup, restaurarlo en un ECS aislado, validar integridad.

Tipos de restauración

• Crear nuevo ECS desde backup (recomendado para pruebas): no afecta el recurso original. Costo extra del nuevo ECS hasta validar.
• Reemplazar disco de un ECS existente (destructivo): solo para escenarios reales de disaster recovery. Requiere detener el ECS.
• Cross-region restore: restaurar en una región distinta (útil para DR si la región principal cae).

8.2.3 Cuenta normal vs Partner Center — visibilidad financiera

Harper opera Huawei Cloud como Partner. Esto significa que la consola y los reportes financieros funcionan diferente a una cuenta directa.

Cuenta normal (cliente directo)

• Ve el consumo detallado por servicio (ECS, EVS, EIP, OBS, etc.).
• Recibe factura directa de Huawei Cloud.
• Puede configurar alertas de gasto al 80%, 100%, 120% del presupuesto.
• Exporta facturas en CSV/PDF directamente desde Billing Center.
• Acceso completo al desglose por proyecto, tag y recurso.

Partner Center (Harper como partner)

• Facturación consolidada — Harper paga el total, los clientes finales tienen submarcas/proyectos individuales.
• Visibilidad diferente — el técnico ve solo los proyectos asignados por el admin del partner.
• Los descuentos del partner no aparecen en el detalle de consumo bruto — se aplican al total.
• El reporte mensual de consumo se extrae desde el Partner Center (no desde la cuenta individual).
• Permite gestionar múltiples clientes desde una sola cuenta.

8.3 Procedimiento del reporte del día 5 — paso a paso

El reporte mensual de consumo HWC es entregable los días 5 de cada mes. Este procedimiento es la responsabilidad operativa más visible del puesto y debe ejecutarse con precisión y consistencia.

8.3.1 Procedimiento de extracción

1. Acceder al Partner Center con las credenciales del rol asignado: partner.huaweicloud.com/intl
2. Verificar que se esté en el rol correcto (Operations Manager / Sales Specialist según corresponda).
3. Navegar a Sales Management → Customer Business → Customer Management.
4. Filtrar por el cliente correspondiente (cada cliente puede tener varios proyectos).
5. Ir a Sales Management → Bills → Customer Bills.
6. Seleccionar el mes anterior (ej: si hoy es 5 de junio, seleccionar mayo completo: 1 al 31 de mayo).
7. Seleccionar el cliente o ver consolidado, según el reporte requerido.
8. Exportar los datos en formato CSV. Guardar el archivo con nomenclatura clara: hwc_consumo_{cliente}_{YYYYMM}.csv
9. Repetir para cada cliente que requiera reporte.
10. Para reportes técnicos detallados (no solo costo), navegar a Resource Management para ver el inventario de recursos activos.

8.3.2 Validaciones antes de entregar

Antes de enviar el reporte al cliente, ejecutar las siguientes validaciones:

• El periodo del reporte cubre exactamente el mes anterior (1 al último día del mes).
• El cliente del reporte coincide con el solicitado.
• Los totales del CSV coinciden con los totales mostrados en la consola.
• Los recursos listados existen actualmente o tienen registro de eliminación dentro del periodo.
• No hay duplicados de recursos (el mismo ECS facturado varias veces sin razón).
• Los precios unitarios coinciden con los precios actuales del catálogo (detectar cambios de tarifa no comunicados).
• Si hay anomalías, se documentan y se incluyen en una sección de observaciones del reporte.

8.3.3 Plantilla del reporte entregable

El reporte que se entrega al cliente debe seguir esta estructura. Adaptar formato según lineamientos comerciales del departamento, pero mantener todas las secciones.

Encabezado del reporte

Sección 1 — Resumen ejecutivo

Sección 2 — Detalle de consumo por servicio

Sección 3 — Detalle de recursos activos (ECS)

Sección 4 — Anomalías y observaciones

Se documentan los hallazgos detectados durante la validación. Si no hay anomalías, indicar explícitamente "Sin anomalías detectadas".

• EIPs no asociadas detectadas: {número}, costo asociado: $ ___
• ECS detenidos pero no eliminados (siguen facturando disco): {número}
• Snapshots EVS antiguos (>90 días): {número}, costo asociado: $ ___
• Variación significativa en costo (>20%) vs mes anterior: {sí/no, descripción}
• Recursos sin tags de identificación: {número}

Sección 5 — Recomendaciones

Acciones sugeridas al cliente o equipo interno para optimizar consumo o mejorar la postura operativa. Ejemplos:

• Liberar EIPs no asociadas (ahorro estimado: $ ___).
• Eliminar snapshots antiguos no utilizados (ahorro estimado: $ ___).
• Migrar ECS subutilizados a yearly/monthly o a tipo más pequeño.
• Configurar lifecycle policies en buckets OBS para mover datos viejos a Archive.

8.3.4 Anomalías típicas a detectar

Estas son las anomalías más frecuentes encontradas durante la revisión mensual. Identificarlas y reportarlas demuestra valor agregado al cliente.

8.4 Alertas de facturación y buenas prácticas de ahorro

Configuración de alertas (cuenta normal o partner)

1. Console → Billing → Budget Management → Create Budget.
2. Definir presupuesto mensual estimado (USD).
3. Configurar alerta al 80% del presupuesto: notificación por correo al equipo.
4. Configurar alerta al 100%: notificación + posible acción automática (parar ECS no críticos).
5. Probar el envío de la alerta con un correo de prueba.

Buenas prácticas de optimización de costos

• Apagar ECS de desarrollo y QA fuera de horario laboral (programación con scripts o políticas).
• Usar yearly/monthly para cargas estables 24/7 (descuento del 30–50%).
• Usar pay-per-use para cargas variables o de prueba.
• Eliminar snapshots y backups antiguos según política de retención.
• Liberar EIPs no asociados inmediatamente al detectarlos.
• Configurar lifecycle policies en OBS: mover a IA después de 30 días, a Archive después de 90.
• Usar shared bandwidth si hay múltiples EIPs con tráfico bajo.
• Etiquetar (tag) todos los recursos para rastreo de costos por proyecto/cliente.
• Revisar mensualmente recursos infrautilizados (CPU promedio <10%) — candidatos a downsize.
• Aprovechar Free Tier en servicios que lo ofrecen (algunos GB de OBS, monitoreo básico, etc.).

8.5 Laboratorios prácticos

Lab 1: Configurar backup automático con CBR

1. Console → CBR → Vaults → Create Vault. Tipo: Server. Capacidad inicial: 100 GB. Pay-per-use.
2. Crear policy: daily-prod-policy. Schedule: diaria a las 02:00 AM. Retention: 14 días.
3. Asociar el vault al ECS creado en el Módulo 7 (o uno de pruebas).
4. Asociar la policy al vault.
5. Esperar 24h o forzar un backup manual: Vaults → Backup Now.
6. Verificar que el backup aparece en el vault con estado Available.
7. Simular pérdida: detener el ECS y eliminar uno de los EVS.
8. Restaurar: desde el backup, crear un nuevo ECS. Verificar que los datos estén intactos.
9. Documentar tiempo total de restauración para el runbook (RTO real).

Lab 2: Extracción del reporte mensual desde Partner Center (simulación)

Si aún no tienesel técnico aún no tiene acceso real al Partner Center, ejecutar este lab usando un reporte de ejemplo proporcionado por el supervisor.

1. Acceder al Partner Center (o usar archivo de ejemplo proporcionado).
2. Navegar a Bills → Customer Bills.
3. Filtrar por mes anterior y por cliente.
4. Exportar a CSV con nomenclatura: hwc_consumo_{cliente}_{YYYYMM}.csv
5. Abrir el CSV en hoja de cálculo. Identificar las columnas clave: resource_type, resource_name, usage_amount, unit_price, total_cost.
6. Crear tabla pivote: total por servicio (ECS, EVS, EIP, OBS).
7. Identificar el recurso más costoso del periodo.
8. Identificar al menos 2 anomalías (EIP huérfano, snapshot viejo, etc.).
9. Llenar la plantilla del reporte (Sección 8.3.3) con los datos extraídos.
10. Entregar el reporte completo al supervisor para revisión.

Lab 3: Configurar alertas de facturación

1. Console → Billing → Budget Management → Create Budget.
2. Tipo: Cost Budget. Periodo: Monthly.
3. Monto: definir junto con supervisor (ej: $200 USD).
4. Alerta 1: 80% del presupuesto → enviar correo al técnico responsable y al supervisor.
5. Alerta 2: 100% → enviar correo + SMS si está disponible.
6. Forzar prueba con correo de testing.
7. Documentar el procedimiento como entrada del runbook.

Lab 4: Optimización de costos — hallazgos y cleanup

Aplicado sobre la cuenta real (con autorización del supervisor) o sobre un reporte simulado:

1. Listar todos los EIPs y filtrar por Status = Unbound. Documentar el listado.
2. Listar todos los EVS y filtrar por Status = Available (no adjuntados). Documentar.
3. Listar snapshots EVS con antigüedad >90 días. Documentar.
4. Calcular el ahorro mensual estimado si se eliminan estos recursos.
5. Presentar al supervisor el listado con recomendaciones de eliminación.
6. Una vez aprobado, ejecutar la eliminación con doble validación (preguntar antes de cada delete).
7. Verificar al mes siguiente que el ahorro proyectado se reflejó en el reporte real.

Plantilla de hallazgos de optimización

8.6 Checklist de evaluación

• Explica qué protege un WAF y los modos de implementación disponibles.
• Crea un vault y una policy en CBR, y los asocia a un ECS de prueba.
• Ejecuta un backup manual y verifica su disponibilidad.
• Restaura un ECS desde un backup y valida la integridad de los datos.
• Diferencia cuenta normal de Partner Center y sabe desde dónde extraer cada tipo de reporte.
• Ejecuta el procedimiento completo del reporte mensual del día 5 sin asistencia.
• Aplica todas las validaciones a un reporte antes de entregarlo.
• Llena la plantilla de reporte con datos reales extraídos del Partner Center.
• Identifica al menos 5 tipos diferentes de anomalías en un reporte simulado o real.
• Configura alertas de presupuesto al 80% y 100% y verifica el envío de correo.
• Aplica al menos 3 buenas prácticas de optimización de costos en recursos reales.
• Documenta los hallazgos en formato runbook reutilizable por el equipo.

8.7 Referencia rápida — Cheatsheet seguridad, backup y finanzas