Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

¿Pueden los centros de datos virtuales seguir siendo protegidos por los métodos convencionales?

Las herramientas de seguridad para virtualización disponibles para los equipos empresariales han mejorado, ¿pero acaso alguien las está utilizando?

En muchas compañías, es momento para una revisión de la realidad: la seguridad dentro de sus entornos virtualizados no está a la par con la de las redes y los sistemas físicos tradicionales.

¿Por qué los equipos de seguridad empresariales han tardado en adoptar las políticas y los cambios a los procesos necesarios para gestionar de forma segura las plataformas de virtualización? A veces, es el resultado de una tecnología inmadura como la seguridad de punto final que no juega muy bien en el centro de datos virtual. En otros casos, los equipos de seguridad tal vez no saben "que no saben" algunas cosas, y una falta de madurez en la implementación de procesos y procedimientos puede ser el culpable.

A medida que más empresas virtualizan sus centros de datos, la necesidad de implementar prácticas de seguridad fundamentales y tecnologías dentro de estos entornos se ha incrementado. Muchas tecnologías están disponibles para ayudar al departamento de seguridad de TI a implementar controles dentro de la infraestructura virtual, pero los equipos de seguridad sólo utilizan parcialmente estas herramientas. En tanto las cargas de trabajo de computación se condensan más, los equipos de seguridad deben evaluar seriamente la tecnología de virtualización específica e integrarla más profundamente en sus centros de datos.

Entornos mal administrados

La buena noticia es que la virtualización puede simplificar el proceso de parcheo y la gestión de la configuración, pero la gestión de inventario estricto es de suma importancia para evitar la proliferación de máquinas virtuales.

Dentro de los entornos virtualizados, numerosas máquinas virtuales están alojadas en un único sistema físico, una condición conocida como multi-tenancy. El software hipervisor es responsable de mantener la segmentación y el aislamiento entre las máquinas virtuales. Esto se puede aumentar con código abierto o una red virtual comercial y dispositivos de seguridad virtuales o complementarios.

La gestión de la configuración en realidad puede ser más fácil en entornos virtualizados. El uso de plantillas simplifica el despliegue de nuevas máquinas virtuales. El mantenimiento de las plantillas ayuda a centralizar las herramientas y prácticas de gestión de configuración en un solo lugar. Microsoft, Citrix y VMware ofrecen herramientas y otras opciones para la creación y gestión de los ciclos de vida y las configuraciones de las máquinas virtuales. Mientras que el parcheo sigue siendo un reto para muchas organizaciones, las pruebas de parches a menudo son más fácil con las máquinas virtuales, ya que es posible tomar una instantánea de una imagen antes de la prueba y restaurarla cuando la prueba se ha completado.

Un problema de seguridad importante en muchos entornos, sin embargo, es la falta de gestión de inventario detallado de las máquinas virtuales. La facilidad con que los administradores y desarrolladores pueden crear máquinas virtuales conduce a sistemas que se aprovisionan sin pensarlo bien en la gestión del ciclo de vida. Las máquinas virtuales están en pausa o apagadas, y permanecen en estado latente durante un período de tiempo; sin embargo, los archivos asociados con estas máquinas todavía contienen datos sensibles. Cuando y si las máquinas virtuales se activan de nuevo, pueden carecer de parches y de controles de configuración críticos.

Para gestionar adecuadamente la naturaleza dinámica de los entornos virtuales, los equipos de operaciones necesitan actualizar y alinear sus procesos de gestión del cambio para adaptarse al rápido ritmo de cambio, teniendo en cuenta las dependencias de todos los componentes de la pila de virtualización –almacenamiento, red e hipervisores.

Gestión de roles y privilegios

La separación de funciones también tiende a sufrir en entornos virtuales. Algunas organizaciones de TI comienzan sus despliegues dejando que un equipo existente de administradores e ingenieros diseñen e implementen la tecnología de virtualización. Este mismo equipo a menudo sigue gestionando todos los diversos componentes de la infraestructura virtual. Esta falta de separación de funciones puede conducir a errores accidentales o ambientes mal administrados (por no mencionar los grandes problemas si uno de los miembros del equipo de virtualización se rebela y se convierte en un interno malicioso con privilegios).

No es poco común que los administradores de VMware realicen todas las actividades de gestión utilizando la función predeterminada de "Administrador". Esta misma función se da a menudo a otros administradores de TI que gestionan el almacenamiento y los objetos de la red en el entorno virtual. Estos administradores a menudo operan enteramente con demasiados privilegios.

Esta tendencia es un importante paso atrás en términos de seguridad de la red. Algunas organizaciones están desplegando gateways de acceso central a sus herramientas de gestión de la virtualización, que incluyen una gestión más robusta de roles y privilegios. Uno de estos productos es el appliance Hytrust que se integra con la plataforma de gestión de VMware vCenter.

Problemas de tráfico

La consolidación de la arquitectura de red en centros de datos virtuales también puede conducir a compromisos que afectan a la seguridad. Debido a que todas las máquinas virtuales comparten hardware, el número de interfaces de red en los servidores de hipervisor o blades también puede dictar cómo converge el tráfico de la red.

La mayoría de los entornos virtuales llevan el tráfico normal de producción, así como el tráfico de administración para acceder y operar el tráfico de almacenamiento de los componentes de virtualización como iSCSI o el canal de fibra. Además, llevan el tráfico especializado de operaciones, como la migración de máquinas virtuales dinámicas (llamada vMotion en entornos VMware).

El tráfico VMotion contiene el contenido de la memoria de la máquina virtual (VM) enviada en texto plano, lo que puede incluir las credenciales de autenticación y datos sensibles. El tráfico de gestión puede incluir detalles de configuración u otra información útil para un atacante. Mezclar esta información con el tráfico de producción puede aumentar la exposición de los datos dentro del entorno si un atacante logra tener acceso a él. Pocas organizaciones hoy guardan todos estos tipos de tráfico de manera completamente distinta en el centro de datos virtual.

Mejores controles técnicos

Múltiples cambios se han producido en el ámbito de los controles técnicos específicos de la virtualización en los últimos años. Afortunadamente, algunas de las herramientas disponibles para los equipos de seguridad empresarial han mejorado significativamente, lo que permite conseguir niveles de seguridad comparables dentro de los entornos virtuales.

Todos los principales fabricantes de firewall ahora tienen opciones virtualizadas que están disponibles como dispositivos virtuales (VMs especializadas). Check Point Software Technologies, Cisco, Fortinet, Juniper Networks y Palo Alto Systems (por citar varios proveedores conocidos) tienen varios modelos y factores de forma de dispositivos virtuales que se pueden integrar en la infraestructura virtual. VMware también tiene su propia línea de firewalls virtuales vShield, tanto para el control interno y monitoreo del perímetro, como para el control del tráfico.

Como sea, muchos equipos de seguridad no están utilizando firewalls virtuales ampliamente. La funcionalidad está ahí, pero los equipos de red y de seguridad todavía sienten que sus firewalls físicos son capaces de manejar el control del tráfico en la red. La gestión y la gobernanza de estos dispositivos es otro desafío. Algunos equipos de virtualización sienten que deben gestionar todos los componentes dentro del entorno virtual, incluso los relacionados con la red o la seguridad.

Verificación de la realidad: herramientas de seguridad de redes virtuales

Al evaluar los dispositivos virtuales, los equipos empresariales deben considerar la siguiente lista de control para mejorar la seguridad de una red virtual:

• Determine si necesita un firewall virtual con base en la necesidad de control de tráfico hacia, desde y dentro de la virtualización o la infraestructura de nube. En algunos casos, esto puede ser necesario para el cumplimiento, o puede que necesite más granularidad en el control del tráfico que el que pueden ofrecer los segmentos y la arquitectura de los firewall físicos existentes.

• Asegúrese de que su proveedor de firewall o IDS/IPS virtual soporta sus principales tecnologías de virtualización. Actualmente, la mayoría de los proveedores soportan VMware, con un apoyo limitado para las plataformas Xen y Hyper-V.

• Considerado cuánta sobrecarga de recursos ocuparán los dispositivos virtuales –requieren memoria, espacio en disco y CPU.

• Considere los temas de gobernabilidad y gestión relacionados con la administración de firewalls e IDS/IPS. En la mayoría de los casos, tiene sentido permitir que los equipos que actualmente gestionan firewalls e IDS/IPS gestionen también los modelos virtuales.

- D.S.

Desde el punto de vista de madurez, la red de IDS/IPS es comparable con los firewalls virtuales. Esta funcionalidad se ofrece a veces en el mismo dispositivo virtual (con un enfoque de seguridad de red más parecido al de la gestión unificada de amenazas, o UTM).

Además de las plataformas independientes, la detección de intrusos se puede lograr mucho más fácilmente en entornos de virtualización, debido a las características avanzadas disponibles en los switches virtuales. Muchos conmutadores –incluyendo los de Microsoft, VMware, Cisco y el proyecto Open vSwitch– permiten la exportación de NetFlow, así como de opciones de puertos de reflejo para copiar el tráfico a un aparato de detección de intrusos dedicado o sensor externo.

Cambios en la seguridad de punto final

Un área que está cambiando dramáticamente es la seguridad de punto final. En la mayoría de los entornos virtualizados, los agentes antivirus tradicionales consumen demasiados recursos, y muchos de los productos de punto final tradicionales no están totalmente optimizados para su uso en sistemas virtuales. Las nuevas tecnologías de Intel Security (MOVE) y Trend Micro (Deep Security) descargan el procesamiento de seguridad de punto final a una máquina virtual dedicada, al tiempo que aprovechan las llamadas de API nativas y la integración del núcleo para mantener bajos los requisitos de procesamiento en máquinas virtuales.

Muchas empresas no se han desplazado a estos productos especializados de seguridad de punto final, aunque la mayoría han comenzado a probar estas herramientas o han desplegado implementaciones limitadas. Los puntos clave a tener en cuenta para los equipos de seguridad que buscan opciones de seguridad de punto final para entornos virtuales incluyen lo siguiente:

• Comprobar el nivel de integración de productos del proveedor con la tecnología de virtualización en su empresa. Actualmente, VMware tiene el mayor soporte de los nuevos proveedores antimalware y otros vendedores de seguridad de punto final. Microsoft y Citrix tienen menos integración con proveedores de terceros.

• Tenga en cuenta que los nuevos modelos "de descarga" tienen limitaciones y desventajas. Mientras que el rendimiento puede mejorar, la capacidad de realizar análisis en tiempo real y análisis en memoria del comportamiento heurístico puede sufrir. Además, estos productos no pueden escalar bien en entornos de gran tamaño.

• Pida a los proveedores referencias de clientes, así como las estadísticas de rendimiento y métricas relacionadas con la operación dentro de sistemas de punto final y tecnología de virtualización similares a los suyos.

Recopilación de registros de hipervisor

El registro y la vigilancia en entornos virtuales es actualmente muy inmaduro en muchas organizaciones, también. El mayor problema es la recopilación de registros de las plataformas de hipervisor –muchos simplemente no lo están haciendo o no hacen lo suficiente. Las plataformas hipervisoras producen una amplia variedad de registros que proporcionan información sobre quién está utilizando la plataforma, qué tipo de acciones se están llevando a cabo, desempeño, estadísticas de comportamiento, y más. Por ejemplo, el hipervisor ESXi de VMware incluye los siguientes registros que los equipos de seguridad y operación deberían recopilar de forma centralizada:

• /var/log/syslog.log – archivo Syslog genérico

• /var/log/auth.log – eventos de autenticación y seguridad

• /var/log/vmkernel.log – información miscelánea de hipervisor

• /var/log/hostd.log – registro del servicio Master ESXi

• /var/log/vpxa.log – registros del agente de gestión de vCenter

La mayoría de los hipervisores basados en Linux (Xen, KVM, VMware) incluyen de forma nativa una especie de demonio Syslog, que facilita la recopilación de registros y la agregación. En entornos Hyper-V, se deben utilizar los agentes de registro para registros del Visor de Incidentes de Windows, aunque las herramientas de Microsoft System Center pueden recuperar datos de log y eventos de hipervisores distribuidos, también. Los equipos de seguridad deben reunir todos los registros pertinentes de todos los hipervisores en sus entornos e integrar esta información en plataformas centrales de administración de registros y SIEM para su análisis y correlación.

Por último, la brecha entre las tecnologías de seguridad implementadas dentro de los entornos físicos y virtuales todavía debe ser abordada en la mayoría de las empresas. Muchos equipos de TI y de seguridad han tardado en adoptar las numerosas políticas y cambios de procesos que se necesitan para gestionar mejor las plataformas de virtualización y las máquinas virtuales. Conforme aumente la inversión en centros de datos virtuales, los equipos de seguridad empresariales deben evaluar seriamente herramientas de seguridad específicas para virtualización, y los CISOs deben aplicar y mejorar las políticas y procedimientos relacionados con la gestión de la virtualización y las operaciones. La seguridad en entornos virtuales no está a la par con la de los sistemas físicos y las redes, pero a medida que evoluciona la tecnología y se ponen en marcha las políticas, ya no tiene por qué ser el caso.

Sobre el autor: Dave Shackleford es el propietario y consultor principal de Voodoo Security LLC; académico en IANS; y un analista, instructor senior y autor de cursos de SANS. Anteriormente trabajó como CSO para Configuresoft; como CTO en el Centro de Seguridad de Internet; y como arquitecto de seguridad, analista y director de varias compañías Fortune 500. Actualmente es miembro de la junta directiva del Instituto de Tecnología SANS y ayuda a dirigir el capítulo de Atlanta de la Cloud Security Alliance.

Este artículo se actualizó por última vez en diciembre 2014

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Guía Esencial

Guía Esencial: Evolución de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close