Llegamos a ustedes gracias a:



Reportajes y análisis

El lado sombrío de la virtualización

 

[11/08/2010] En la conferencia anual de Computerworld Premier 100 IT Leaders realizada en marzo pasado, un CIO se puso de pie para expresar su inquietud por la seguridad de la infraestructura virtual en más de la mitad de sus servidores de producción. Otros dos ejecutivos de TI intervinieron con sus propias preocupaciones.

Ninguno de los ejecutivos en esa habitación quiso admitir que podían sentirse vulnerables; sin embargo, Jai Chanani, director de servicios técnicos y de arquitectura en Rent-A-Center Inc., señaló que uno de sus mayores temores era la habilidad de robar [servidores virtuales].
Preocúpese 
¿Qué tan preocupada está de su organización acerca de la
seguridad en un entorno virtualizado? 
* Bastante o demasiado: 32,7% 
* Un poco: 36% 
* Mínimo: 23,7% 
* Nada: 7,6% 
Fuente: Encuesta de TheInfoPro a 214 profesionales
de la seguridad informática, noviembre 2010 
 
El equipo de Chanani tiene alrededor de 200 servidores virtuales que operan como servidores de archivo, impresión y, en algunos casos, como servidores de aplicaciones. Pero, por razones de seguridad, su compañía no utiliza la virtualización para el sistema ERP, bases de datos o correo electrónico de la empresa. 

Michael Israel, CIO del operador de parque de atracciones Six Flags Inc., tiene una preocupación diferente. Para él, el escenario más inquietante es el de un administrador sin escrúpulos moviendo servidores virtuales de un segmento de red segura, hacia hosts físicos en un segmento sin garantía; o la creación de nuevos servidores virtuales indocumentados, sin licencia y sin parches. "Lo último que quiero es que hayan 25 servidores allá a fuera sin saber que existen", señala. 

John Kindervag, analista de Forrester Research Inc., indica que ha escuchado historias de clientes que han tenido comprometida la gestión de la consola de VMware, vCenter, permitiéndole al atacante copiar una máquina virtual que luego puede ejecutarse para acceder a los datos. "Cuando se roban una máquina virtual, es como si entrara al centro de datos y se robaran una pieza de hardware. Es potencialmente devastador", agrega. 

"Hemos trabajado durante años con los clientes en la implementación de mejores prácticas para hacer que deje de ser una preocupación", señala Venu Aravamudan, director senior de márketing de producto de VMware Inc. Él dice que la mayoría de los usuarios le hace frente a tales riesgos siguiendo las mejores prácticas, tales como la creación de un segmento aislado de la red para la gestión de los recursos, y la creación de controles de acceso basados en roles.
La migración a servidores virtuales ha hecho que las empresas ahorren grandes sumas de dinero como resultado de la consolidación y mejora de la eficiencia, pero como la virtualización devora más y más servidores de producción, algunos ejecutivos de TI se están preguntando ¿Se ha pasado algo por alto? ¿Una ruptura catastrófica podría apagar aplicaciones críticas -o tal vez el centro de datos? 

"Los clientes se levantan un día, se dan cuenta que el 50% de sus aplicaciones críticas de negocio residen en la infraestructura virtual, y dicen, 'Dios, ¿es esto seguro?' Esto es muy común", señala Kris Lovejoy, vicepresidente de estrategia de IBM Security Solutions.

"Hay algunos nombres de grandes y muy conocidas empresas en todo el mundo sobre las que se puede pensar que tienen todo en orden. No puede estar más lejos de la verdad", indica Andrew Mulé, consultor senior de seguridad de RSA, de EMC Corp. 
 
El problema no es que una infraestructura virtual sea difícil de asegurar por sí misma, sino que muchas empresas todavía no han adaptado sus mejores prácticas (si las tienen) al nuevo entorno. 

Dolores de cabeza virtuales 
La virtualización introduce tecnologías -incluyendo una nueva capa de software, el hipervisor- que deben ser administradas. Otra novedad es la conmutación virtual que enruta el tráfico de red entre los servidores virtuales, de manera que no siempre son visibles a las herramientas diseñadas para controlar el tráfico de la red física. 

Por otra parte, la virtualización rompe la separación tradicional de funciones en TI, al permitir que un solo administrador genere nuevos servidores virtuales en masa con solo apretar un botón, sin la aprobación de la adquisición o entrada de red, almacenamiento, continuidad del negocio o de los grupos de seguridad (consulte la sección "Cuidado con el administrador todopoderoso más adelante). 

Mientras tanto, las tecnologías de seguridad de virtualización y las mejores prácticas aún están evolucionando. El mercado ha emergido con tanta rapidez, que los clientes -desde un punto de vista de buenas prácticas- no se han sabido mantener, señala Lovejoy. Hay una falta de conocimiento sobre el tema y falta de competencia en el campo. 
"La cuestiones sobre la seguridad en un entorno virtual se centran en la falta de visibilidad, falta de control, y el miedo a lo desconocido", agrega Bill Trussell, director general de la investigación sobre seguridad en TheInfoPro, una firma de investigación de mercado TI con sede en Nueva York. ¿Podría alguien secuestrar un hipervisor dentro de la infraestructura virtual de una empresa y utilizarlo para comprometer a todos los servidores virtuales que residen en la parte superior de ella -como teme un CIO? ¿Podría un atacante violar, sin que el administrador lo sepa, un servidor virtual y utilizarlo como una plataforma para atacar a otro servidor virtual residente en el mismo hardware que contiene, por ejemplo, la aplicación de procesamiento de pagos de tarjetas?

Las preocupaciones acerca de espantosos escenarios como estos persisten a pesar del hecho de que no han habido ataques conocidos contra las infraestructuras virtuales, señala Eric Bayeta, director senior de seguridad para RSA.

Cuando TheInfoPro encuestó a 214 profesionales de la seguridad a principios de este año, se encontró con que un tercio de ellos estaban "muy o extremadamente" preocupados por la seguridad en un entorno virtualizado.

Las preocupaciones sobre un ataque que podría poner en peligro un hipervisor subieron después de que el hipervisor de Joanna Rutkowska se infectó con un rootkit de malware Blue Pill en la conferencia Black Hat del 2006.

Desde entonces, sin embargo, la industria ha avanzado en tecnologías de hardware para garantizar la integridad de los hipervisores, tales como Virtualization Technology para Directed I/O (conocido como VT-d) de Intel. "Hoy en día, la mayoría de los procesadores Core i5 e i7 (de Intel) tienen esa tecnologías", y los proveedores de software de virtualización han pasado a soportar esas características, señala Rutkowska, fundadora y CEO de Invisible Things Lab, una empresa de investigación de seguridad informática.

Rutkowska duda de que alguien actualmente utilice un rootkit del tipo Blue Pill para comprometer máquinas virtuales. "Los chicos malos en realidad no tienen ningún incentivo para usar rootkits tan sofisticados", afirma, sobre todo porque la tecnología más conocida de rootkit de los años 90 todavía funciona bien para atacar a los sistemas operativos tradicionales.

"Las personas se están retorciendo las manos pensando en escenarios teóricos, en lugar de analizar los que han sido documentados como problemas", añade Trussell.

Pero, si no se siguen las mejores prácticas y se adaptan a una infraestructura virtual, la virtualización implica riesgos. Por ejemplo, el hipervisor debe estar actualizado, al igual que cualquier otro sistema operativo, señala KC Condit, director senior de seguridad de la información en Rent-A-Center.
Los consultores de seguridad señalan que han notado una gran variedad de problemas de seguridad en las instalaciones de los clientes.

Lovejoy esté viendo problemas de malware y cross-site scripting como consecuencia de imágenes de máquinas mal construidas, por ejemplo. "Por lo general, esa imagen contienen malware o vulnerabilidades que pueden ser explotadas fácilmente", señala. "Solía suceder una vez. Ahora bien, estas imágenes se despliegan sin fin, creando enormes dolores de cabeza para la gente".

"Estamos viendo una gran cantidad de hipervisores mal configurados", añade Mulé de RSA. Él dice que a menudo ve malas prácticas de gestión de parches para máquinas virtuales y el uso de nombres de usuario y contraseñas fáciles de adivinar o por defecto para programas de gestión de máquinas virtuales que tienen pleno acceso al hipervisor. Además, señala, "que esporádicamente ve las herramientas de gestión de la máquina virtual en el lado equivocado del firewall".

El uso de contraseñas por defecto al crear nuevos servidores virtuales es muy común, agrega Harold Moss, CTO de estrategia de seguridad en la nube de IBM Security Solutions; y además, las personas responsables de administrar las nuevas máquinas no siempre las cambian. Los aspirantes a ladrones pueden marcar a una máquina, adivinar la contraseña y tener el control por completo, explica.

Además, debido a que las imágenes de las máquinas virtuales son código de programa almacenado en alguna parte de una unidad de disco duro, estos archivos deben ser protegidos. "No querrá tener a alguien andando por ahí con un servidor completo en una unidad USB", señala Vauda Jordania, ingeniero senior de seguridad para el gobierno de la ciudad de Phoenix. Ella dice que la ciudad utiliza una combinación de seguridad física, controles de acceso del almacenamiento en red y vigilancia de la integridad de los archivos, para proteger las imágenes de las máquinas virtuales.

El tráfico que fluye entre las máquinas virtuales es otro motivo de preocupación, ya que los firewalls, detección de intrusos y sistemas de prevención, y otras herramientas de control, no notan si las máquinas virtuales se ejecutan en el mismo hardware.

"He puesto rastreadores de paquetes en los servidores virtuales, y nada va dentro o fuera de la interfase de la red física. Entonces, ¿cómo ocurren las comunicaciones? Y ¿se hacen a través de canales seguros?", pregunta Jordan. Mientras que la ciudad tiene una importante inversión en infraestructura virtual, Jordan ni siquiera hablará de la tecnología o su ámbito de aplicación, alegando motivos de seguridad.
Con ESX Server de VMware y las otras principales plataformas de virtualización, los datos que pasan entre las máquinas virtuales no están encriptados.  Aravamudan señala que la encriptación se está "considerando seriamente" en VMware, pero se negó a decir cuándo podría ser añadida a los productos de la empresa.

Sistemas como vShield de VMware y otras herramientas de terceros pueden crear firewalls virtuales que segmentan a VMware, XenServer, Hyper-V y otras máquinas virtuales en diferentes zonas de seguridad, pero no todas las organizaciones los han implementado. Por ejemplo, la creación de zonas de seguridad no ha sido de gran importancia en Rent-A-Center. Pero a medida que la infraestructura virtual escala, se convierte en una necesidad, indica Condit.

Algunas herramientas de firewall existentes tienen visibilidad en el tráfico del servidor virtual; pero en otros casos, TI necesita agregar otro conjunto de herramientas específicas para la virtualización, y que se suman a la complejidad de la gestión.

Es mejor tener un conjunto de herramientas que abarque tanto los entornos físicos como virtuales, señala Neil MacDonald, analista de Gartner Inc. Sin embargo, hasta que los vendedores tradicionales de herramientas de seguridad se pongan al día, TI puede necesitar utilizar herramientas de proveedores menos conocidos como Altor Networks, Catbird Networks y HyTrust que han sido diseñadas específicamente para las máquinas virtuales.
Más importante aún, la base de arquitecturas de red necesita cambiar para dar cabida a la virtualización, indica Mulé de RSA. "Las redes que funcionan correctamente con los servidores físicos, no siempre funcionan bien con las máquinas virtuales. La seguridad mejoraría si se lleva a cabo un correcto enrutamiento de subredes y redes LAN virtuales", agrega. La mayoría de las fallas de continuidad de la empresa en entornos virtualizados pueden atribuirse a fallas en el diseño de la red, sostiene.

Matthew Nowell, ingeniero de sistemas senior en Six Flags, utiliza redes virtuales de área local (LAN) para separar los servidores virtuales. "Dependiendo de cómo configuramos las reglas de enrutamiento, pueden ser capaces o no de hablar la una a la otra", señala.

Pero MacDonald advierte que "los controles de acceso basados  en VLAN y routers por sí solos no son suficientes para la separación de la seguridad". Las directrices de la empresa de investigación claman por la implantación de algún tipo de firewall que contemple virtualización.

En el gobierno de la ciudad de Phoenix, Jordan insiste en que los administradores de sistemas aíslen cada servidor virtual dentro de su propia zona de seguridad. "Tuve que luchar con los administradores del servidor que juran para arriba y para abajo que el hipervisor puede hacer eso. Pero yo confío más en los firewalls que en los hipervisores", afirma.

Seguridad desde el inicio
Asegurar una infraestructura virtual no tiene que ver con la compra de más herramientas, señala Baize de RSA. "Hay muchas cosas disponibles en la actualidad en materia de controles de la infraestructura virtual. Lo que falta es la comprensión de lo que son los controles y cuándo deben aplicarse", agrega.
La mejor manera de crear una infraestructura virtual segura es conseguir que los expertos en seguridad estén implicados desde el principio. Gartner estima que el 40% de los departamentos de TI no buscan la entrada ellos en una implementación virtual hasta después de que el sistema ya está construido y en línea.

El problema se hace más evidente a medida que las aplicaciones de misión crítica se trasladan a las máquinas virtuales. "Cuando está buscando en un SharePoint,  Exchange o ERP virtualizado, en realidad lo está haciendo sobre datos sensibles. Esto fuerza el problema", señala MacDonald.

Para entonces, las organizaciones están tratando de ajustar la seguridad que debió ser diseñada desde el principio. Ese tipo de rediseño después de los hechos puede ser caro. "Los CIO deben asegurarse de que tienen a su mejor gente involucrada a la hora de diseñar este tipo de arquitectura", señala MacDonald.

Todo se reduce a la política, sostiene Condit. "Si no tiene implantada una política de seguridad sólida, una infraestructura virtual mostrará esas debilidades mucho más rápido debido a que las cosas suceden con mayor rapidez", señala, refiriéndose a la rapidez con la que los servidores virtuales pueden ser creados y luego trasladados en torno a los servidores host físicos.

Los CIO tienen razón en preocuparse, señala Condit, "Cierto nivel saludable de paranoia es siempre algo bueno."
Cuidado con el administrador todopoderoso
En un ambiente virtualizado sin control, los administradores son todopoderosos -y eso no es algo bueno-, y los consultores y ejecutivos de TI están de acuerdo. "Les da a los administradores del servidor las llaves del reino, y la mayoría de las veces no entienden los riesgos de seguridad", señala Vauda Jordan, ingeniero senior de seguridad para el gobierno de la ciudad de Phoenix.

Por ejemplo, los administradores pueden crear un servidor FTP virtual que compromete la seguridad. O, sin darse cuenta, pueden utilizar una herramienta de migración de máquinas virtuales para mover un servidor a un hardware diferente por razones de mantenimiento, sin notar que el nuevo huésped se encuentra en un segmento de red que no es de confianza.
 
El incumplimiento de las mejores prácticas, o establecer una clara separación de funciones en la infraestructura virtual, es un problema muy común, señala Andrew Mulé, consultor senior de seguridad de RSA. "A la gente no le gusta practicar funciones separadas, incluso en la actualidad. Le dan la joyas de la corona a un pequeño número de personas", señala Mulé, quien recomienda desarrollar un fuerte proceso de administración del cambio que incluya la emisión de etiquetas de gestión de cambios.

KC Condit, director senior de seguridad de la información en Rent-A-Center, está de acuerdo. "En el mundo virtual, no hay una separación inherente de las obligaciones, así que hay que construirlas". La gestión de cambio, gestión de configuración y control de acceso son vitales para asegurar la infraestructura virtual.

El cumplimiento es otra preocupación. Como director de ingeniería de sistemas en el Council of Europe Development Bank, Jean-Louis Nguyen tiene que supervisar la actividad para garantizar que los administradores de 140 máquinas virtuales cumplan con las regulaciones y requisitos de gestión. El banco intentó utilizar las capacidades de registro de VMware, pero necesitó una mejor manera de consolidar la información. "Llegar a los registros fue trivial", señala. Terminó usando una herramienta dedicada de HyTrust que proporciona un registro central de todas las actividades.
 
El banco también utiliza HyTrust para crear un entorno virtual completamente separado para el jefe de seguridad, quien puede supervisar toda la infraestructura de servidores físicos y virtuales.

"La clave es asegurar que en su gestión no haya un abuso de administración", finaliza Nguyen.
 
Robert L. Mitchell, Computerworld (US)