Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad en la virtualización: Conceptos que hay que vigilar

[25/03/2011] Si bien la seguridad móvil y de los teléfonos inteligentes es en tema candente entre los gurús de la seguridad de la virtualización, muchos otros temas demandan la atención de TI hoy. En la reciente conferencia de seguridad RSA en San Francisco, el interés por este punto tuvo un gran crecimiento y por una buena razón. Los departamentos de TI se encuentran en diferentes puntos en su viaje a la virtualización y, según los analistas, algunos siguen pensando sobre seguridad en términos del viejo mundo físico.

"Todavía hay muchas preguntas sobre cómo abordar la seguridad en los servidores virtualizados", señala Phil Hochmuth, director del programa de productos de seguridad de IDC.
Para el año 2012 la mitad de todas las cargas de trabajo que se ejecutan en los centros de datos corporativos, se ejecutarán en plataformas virtualizadas, ya sean servidores virtuales o plataformas cloud. Para el año 2015, el 40% de los software de seguridad que controlan el interior de los centros de datos corporativos serán totalmente virtualizados, de acuerdo con un informe de Gartner de noviembre del 2010.
Las herramientas básicas de seguridad, como la protección contra intrusiones no funcionan bien con las máquinas virtuales, porque son más difíciles de definir por una dirección geográfica, IP o MAC, y es difícil que un software externo vea o filtre las comunicaciones entre las máquinas virtuales en un único servidor físico, señala Neil MacDonald, vicepresidente de Gartner, quien co-escribió el informe.
Incluso con la mayoría de herramientas, es difícil que TI sepa cuántas de las máquinas virtuales en un servidor particular, aún tengan todos sus parches al día, indica Hochmuth.
Aquí hay algunas preguntas sobre seguridad en la virtualización que tiene que considerar cuando hace planes para su entorno:
1. ¿Un servidor lento es un servidor seguro?
Al igual que en los servidores físicos, la adición de software de seguridad se suma a la carga de trabajo, se come los recursos y reduce el rendimiento. Los servidores virtualizados hacen un uso más eficiente de sus recursos que los servidores físicos, pero eso no quiere decir que sea obvio dónde y cómo aplicar la seguridad.
"Suena bastante básico, pero hay muchos desacuerdos acerca de que si es mejor tener los agentes dentro de cada máquina virtual para asegurarla, o si eso es una pérdida de recursos y si tener algo que pueda ver un grupo de máquinas virtuales es mejor", indica Hochmuth.
Ejecute un agente en cada una de las 30 máquinas virtuales de un servidor de procesamiento quad, y obtendrá gastos generales iguales a la ejecución de 30 copias del software de seguridad -porque eso es lo que usted está haciendo.
La otra alternativa importante: Ejecute una pieza del software en el servidor físico que pueda observar todas las máquinas virtuales y sus sistemas operativos. Es más elegante en el concepto, pero no puede ser tan seguro, o puede no ser tan eficiente.
Hochmuth recomienda "una prueba muy pragmática del concepto comparando el impacto en el rendimiento de los productos de varios proveedores. Incluso si la prueba no le dice nada acerca de lo buena que es la seguridad, "le dirá qué productos atascan las cargas de trabajo que usted esté ejecutando más allá de lo que a pueda parecerle aceptable", agrega.
2. ¿Debería dejar que las máquinas virtuales se comuniquen entre sí sin cifrado?
Virtualizar servidores significa más que solo meter varios sistemas operativos en una caja, significa la creación de una red dentro de esa caja en la que las máquinas virtuales se comunican entre sí, con las aplicaciones que se ejecutan en otros servidores y con la Internet, de acuerdo con Matt Sarrell, director ejecutivo de la firma de pruebas/análisis de seguridad Sarrell Group.
Gran parte del impulso hacia el cifrado en los entornos virtuales proviene de organizaciones que necesitan ser capaces de demostrar una buena cadena de custodia de los datos según la HIPAA y otras regulaciones de privacidad, de acuerdo con Sarrell.
Ese mismo cifrado puede ayudar a cerrarle las puertas al software malicioso que puede infectar a un hypervisor o sistema operativo en una máquina virtual que se ejecuta en un centro de datos; y sin embargo, mantener el resto de las máquinas virtuales seguras incluso si una se ve comprometida.
Cifrar el flujo de datos hacia y desde máquinas virtuales en ejecución, ya sea en una nube pública o privada también puede reforzar las puertas entre máquinas virtuales y sus vecinas en las nubes públicas, agrega Hochmuth.
"Los servidores cluod públicos compartidos son como vivir en un edificio de apartamentos, por lo que su seguridad puede depender de qué tan seguros actúan sus vecinos, señala. "El cifrado de sus máquinas virtuales y sus datos puede hacer que la situación sea un poco más segura, pero de nuevo, con un riesgo potencial de un impacto en el rendimiento".
3. ¿Sabe quién o qué está pidiendo los datos?
Las políticas de seguridad vinculadas a las direcciones MAC o IP no funcionan bien cuando las entidades en cuestión son virtuales, según Gary Chen, gerente de investigación de IDC para el grupo Enterprise Virtualization Software de IDC.
Cuando las aplicaciones se ejecutan en máquinas virtuales, la seguridad tiene que tener en cuenta quién quiere tener acceso, a lo que desea acceder, cuándo, dónde y de qué dispositivo desea tener acceso, de acuerdo con MacDonald de Gartner.
Solo en ese contexto una política de seguridad puede seguir siendo eficaz en lugar de bloquear firmemente una pieza de datos sensibles, salvo si un empleado nuevo o sin capacitación -que tiene acceso seguro a la oficina- decide descargarla a través de una conexión WiFi sin encriptar a una laptop desprotegida.
Las máquinas virtuales deben ser capaces de hacer cumplir el mismo nivel de la políticas de seguridad de una a otra, y en las nubes públicas o privadas, aplicando los requisitos de seguridad de la empresa en función del contexto en que los datos se solicitan, no en función de que MAC o dirección IP envía la solicitud, señala Hochmuth.
4. ¿Está escudriñando los espacios intermedios?
Ejecutar servidores virtuales significa correr un sistema operativo adicional -vSphere de VMware, XenServer de Citrix o Windows Server 2008 de Microsoft- que puede ser atacado por los piratas informáticos o malware diseñado para reconocer y responder a máquinas virtuales o hipervisores, agrega Chen.
El malware no solo se puede propagar a las máquinas virtuales a través de sus conexiones a Internet, se puede propagar entre ellas una vez que una máquina virtual esté infectada dentro del firewall, o dentro de un servidor físico -sobre todo si las máquinas virtuales se configuran para soportar conmutación por error o recuperación de desastres, lo que les da acceso especial de una a otra, señala Chen. El cifrado de datos o la protección de la identidad puede reconstruir las paredes entre los servidores con el fin de mantener los datos seguros, incluso después de que el software de virtualización los ha derribado para compartir los datos o cargas de trabajo, añade Hochmuth.
Fundamentos NIST
Al igual que los servidores físicos, los servidores virtuales tienen que ser parchados, configurados y mantenidos de acuerdo a las normas de la organización, que definen los niveles de seguridad a fin de que un descuido o discrepancia no abra un agujero que anule el esfuerzo conjunto, de acuerdo a una guía para la seguridad de virtualización emitida por el Instituto nacional de Estándares y Tecnología (NIST) de los Estados Unidos.
Un resumen de sus directrices:
1. Asegure el hipervisor de la misma manera que un sistema operativo; si funciona como un sistema operativo y es vulnerable como tal. Los agujeros en él harán que todo lo que se ejecute sobre él sea vulnerable.
2. Establezca directrices coherentes para configurar la seguridad en las máquinas virtuales y físicas, y un proceso para verificar que las pautas se están siguiendo.
3. Amplíe la administración de parches y procesos de vulnerabilidad para cubrir las máquinas virtuales, así como las máquinas físicas.
Kevin Fogarty, CIO (US)