Llegamos a ustedes gracias a:



Reportajes y análisis

La virtualización de la seguridad sigue siendo un trabajo inconcluso

[19/01/2010] Si bien la adopción de la virtualización de servidores está avanzando al galope, el esfuerzo por perfeccionar la seguridad de la virtualización ha alcanzado, en el 2009, solo un lento trote.

Aproximadamente, el 18% de las cargas de trabajo de servidor han sido virtualizadas, y la firma de investigación Gartner espera que este porcentaje suba a 28% en el 2010, y casi al 50% en el 2012. Pero el funcionamiento óptimo en cuanto a la adaptación de soluciones tradicionales de firewall, detección de intrusos, antimalware y otros tipos de software de seguridad y monitoreo (en este cambio radical de arquitectura basada en hipervisores) sigue siendo en gran medida un trabajo inconcluso.
Uno de los acontecimientos que se produjeron este año fue la liberación de las API de seguridad de VMware.
Después de hablar de la idea desde febrero del 2008, VMware finalmente lanzó en abril del 2009 su API VMsafe dirigido a ayudar a los proveedores de seguridad a construir productos que trabajen con su plataforma. Pero algunos proveedores afirman que estas API presentan problemas de desempeño.
No estamos usando el API de VMware debido a problemas de desempeño, indicó Richard Park, director senior de producto de Sourcefire, que a principios de diciembre lanzó su primer sensor virtual y consola de administración para VMware ESX y vSphere 4.
Los tradicionales appliances físicos de Sourcefire son sensores de red que pueden hacer ambas cosas: el monitoreo y la detección de intrusos, y el bloqueo y la prevención de intrusos. Pero en este punto, el Virtual 3D Sensor y el Virtual Defense Center solo proporcionan visibilidad de monitoreo en hosts VMware ESX, sin bloquear los ataques.
Hoy la única manera de bloquear el tráfico es poner el sensor entre dos switches de VMware, explica Park. Sourcefire aún está examinando cómo apoyar plenamente esta parte. Para los clientes de hoy en día que usan servidores virtualizados de VMware, la demanda es de monitoreo, afirma Park.
Park afirma que Sourcefire está ansioso de ver un conjunto robusto de APIsde VMware VMsafe; y que VMware ha reconocido que hay problemas de desempeño en sus API, y las está revisando.
En octubre durante la Gartner ITEXPO, el vicepresidente de Gartner, Neil MacDonald, vituperó públicamente a algunos proveedores de seguridad por no avanzar más rápido en el campo de los dispositivos virtuales de software, insinuando que más bien se están aferrando a sus antiguas maneras de vender costosas cajas de hardware.
Los clientes empresariales están virtualizando rápidamente sus entornos de TI y a menudo creando involuntariamente resultados menos seguros, incluso cuando obtienen los múltiples beneficios de la virtualización, indicó MacDonald. Acordonar los servidores virtualizados solo con las LAN virtuales -lo cual es una práctica común-  no es suficiente para crear una separación de seguridad, señaló MacDonald. Esto se ha convertido en un valor por defecto, porque está incorporado en VMware con su switch virtual. Nuestra posición es que no es suficientemente fuerte.
MacDonald afirmó que la virtualización está causando una especie de perturbación de modelos de negocios en el tema de la seguridad, y elogió los esfuerzos de algunos fabricantes, incluyendo Trend Micro, por lanzar nuevos ofrecimientos para asumir el reto de la virtualización. El uso de la API de VMware VMsafe es un planteamiento todavía nuevo, señaló.
El Core Protection de Trend Micro para máquinas virtuales, que es el software antimalware diseñado para ser usado con VMware, fue lanzado en el tercer trimestre. El Deep Security 7 de Trend, para firewall, prevención y protección de intrusos, monitoreo de integridad, y administración de registros para VMware ESX, fue lanzado en noviembre.
Según Bill McGee, director senior de márketing de producto de Trend Micro, ambos productos hacen un uso limitado de las herramientas de VMsafe. Pero añade que, si bien VMsafe significa un paso importante, necesita ser mejorado.
VMware está haciendo mejoras en el área de desempeño para ancho de banda y cargas de trabajo significativas, señala McGee, sobre todo al cambiar el enfoque que utilizan para el envío de paquetes en el sistema.
Virtualización significa realizar cambios y estamos viendo la presión, y la oportunidad, para que los proveedores de seguridad optimicen la seguridad, indica McGee. VMware ha sido uno de los proveedores de software de virtualización más agresivos al abrir su tecnología para optimizar las funciones de seguridad, afirma, mientras que hasta ahora el comportamiento de Citrix y Microsoft parece más limitado en esta área.
Por su parte, VMware señala que se alegra de ver a varios proveedores, entre los que se cuenta a Altor Networks, Reflex, ISS IBM y Trend Micro, adoptando la tecnología VMsafe.
Aunque no revela comentarios específicos sobre el tema del desempeño, el director de alianzas de VMware, Jitesh Chanchani indica que, VMsafe es una parte integral de nuestra estrategia de seguridad. En términos de mejoras, esta es una inversión constante para nosotros.
Señala que las API son un desarrollo positivo porque proporcionan visibilidad muy fina de los recursos de la máquina virtual, tales como la capacidad de introspección para examinar lo que está pasando en la plataforma de VMware.
Mientras tanto, los analistas de la industria continúan ocupándose del tema de que si la adopción de una plataforma de virtualización aporta o no más riesgo.
Según Forrester Research, agregar tecnología de hipervisor (Citrix Xen, VMware vSphere y Microsoft Hyper-V) sí añade un cierto riesgo a los entornos de TI, porque forma capas de software adicionales sobre los sistemas operativos existentes. Todo el software, no importa cuán delgado sea, contiene errores de diseño oculto y defectos de codificación accidentales.
Se va a cometer errores y habrá ataques contra los servidores virtuales, afirma la empresa en un informe titulado Fear of a Hijacked Planet. Estos errores y ataques pueden incluir el caso de un atacante que compromete una máquina virtual que persigue a los hosts, busca la subversión de los hipervisores, y la suplantación de la migración en vivo.
Por el lado del usuario, las empresas se encuentran un poco confundidas. El personal de TI de seguridad, en particular, tiene más preguntas que respuestas, indica el analista de Forrester, Andrew Jacquith. Los equipos de TI están haciendo preguntas como ¿Es seguro el hipervisor? ¿El equipo de operaciones TI está haciendo algo que no debe? ¿Qué visibilidad tenemos de las máquinas virtuales?
Según Jacquith, una de las frustraciones sigue siendo la funcionalidad Live Migration de VMware, para configurar las máquinas virtuales para que automáticamente migren de un host a otro, con el propósito de lograr fault tolerance y continuidad del negocio. Todo eso es bueno, excepto que la máquina virtual en sí misma se mueve por la red, lo que hace posible un ataque del tipo hombre en el medio, señala Jacquith. Pero es optimista sobre las mejoras que se vienen en este campo.
En el lado positivo, Jacquith señala que el programa VMsafe, junto con otras opciones de proveedores de parches offline y capacidades de actualización, es signo de ha habido progreso en la seguridad de la virtualización este año.
Ellen Messmer, World Network (US)