Llegamos a ustedes gracias a:



Reportajes y análisis

Herramientas de seguridad para proteger máquinas virtuales

Las pruebas a cinco productos revelan diferencias entre Reflex, Catbird, Beyond Trust, Hytrust y Trend Micro.

[23/03/2011] A medida que las empresas migran sus servidores y la infraestructura del centro de datos hacia el mundo de la virtualización, las tecnologías de seguridad -que son abundantes y comunes en el mundo físico- se vuelven escasas y distantes entre sí. Aunque se han observado pocos ataques directos en las máquinas virtuales, protegerlas de potenciales vulnerabilidades que solo existen en el mundo virtual, sigue siendo una buena práctica de seguridad.

Por ejemplo, los firewalls físicos no están diseñados para inspeccionar y filtrar la gran cantidad de tráfico que se origina por un hipervisor que ejecuta diez servidores virtualizados. Y debido a que las máquinas virtuales pueden iniciarse, detenerse, y pasarse de hipervisor en hipervisor con solo presionar un botón, los dispositivos de seguridad tienen que ser capaces de manejar estos movimientos y actividades con facilidad. Por último, pocos hipervisores tienen los controles de acceso que hasta el más básico servidor de archivos tiene: una vez que alguien tiene acceso al hipervisor, puede controlar todas las máquinas virtuales que se alojan allí.
En respuesta a estas preocupaciones, una serie de nuevos proveedores han creado herramientas de seguridad de virtualización. Y el ritmo de fusiones y adquisiciones se ha recuperado a medida que los vendedores establecidos tratan de aumentar su oferta e integrar productos. Por ejemplo, VMware adquirió Blue Lane Technologies y ha incorporado el software Blue Lane en su línea de productos vShield. Juniper Networks compró Altor Networks Virtual Firewall y está integrando Altor en su línea de firewalls y software de gestión. Y Third Brigade ahora es parte de Deep Security Line de Trend Micro.
Para esta prueba, enviamos invitaciones a todos los actores principales. Los cinco que han aceptado son: Beyond Trust Power Broker Servers para Virtualización, Catbird vSecurity, Hytrust Appliance, Reflex Systems Virtualization Management Center, y Deep Security de Third Brigade/Trend Micro. Los que declinaron fueron CA con su Virtual Privilege Manager, Juniper/Altor, Fortinet FortiWeb VM (que fue anunciada en enero) y vShield de VMware vShield.
Descubrimos que ningún producto puede hacer todo bien, o incluso más de un par de cosas. Aunque sería bueno si pudiéramos comprar una máquina virtual equivalente a una herramienta de gestión unificada de amenazas, no existe ninguna.
Puesto que los productos tienen diferentes capacidades, no son directamente comparables. De hecho, algunos de estos proveedores se han unido para ofrecer soluciones combinadas. Esto, junto con las fusiones activas mencionadas anteriormente, significa que esta es una categoría muy dinámica y que se deben esperar más consolidaciones y cambios.
Si es nuevo en la virtualización, estos productos pueden parecer confusos, ya que utilizan un vocabulario completamente nuevo, como la palabra "hosts" para indicar los hipervisores físicos que ejecutan las máquinas virtuales individuales. Y obviamente, necesitará tener algo de experiencia con vCenter y ESX para entender cómo implementar y utilizar estos productos.
De los cinco productos, Virtual Management Center, de Reflex, es el más completo, con módulos en las tres grandes áreas que hemos examinado -auditoría/cumplimiento, firewall/detección de intrusos y controles de acceso. Estos módulos están unidos con la presentación de informes por separado y consolas de administración. Es mucho por manejar, para estar seguro.
Trend Micro tiene los mejores y más útiles informes, convenientes para la distribución y la gestión. Catbird tiene la protección más sofisticada basada en red, similar a lo que se encuentra en un dispositivo físico de Cisco o de Check Point. Hytrust brilla cuando se trata de limitar el acceso a usuarios y funciones autorizados. BeyondTrust tiene su lugar en la protección de máquinas virtuales Linux.
Pero los inconvenientes de estos productos pueden abrumar sus beneficios. La mayoría son un tanto quisquillosos a la hora de usarlos e implementarlos. La excepción notable es Hytrust con la configuración del orden de un dispositivo que equilibra de la carga en la red. Hay muchas piezas en movimiento en los otros productos como para que su protección funcione correctamente, y todos requerirán que reúna en la misma habitación a sus expertos en redes, autenticación, virtualización y seguridad global para poder coordinar la implementación.
En nuestra evaluación nos fijamos en cuatro grandes categorías funcionales:
Presentación de informes. Nos fijamos en que tan fácil es generar informes de acciones concretas y si el producto puede detectar automáticamente violaciones particulares. Si el producto tiene características de vigilancia del cumplimiento o de reparación, también examinamos la forma en que se desempeñan en este campo. Reflex y BeyondTrust tienen herramientas de presentación de informes web por separado, los otros utilizan menús en sus herramientas de administración basadas en web.
Nos gustaron los informes de Trend: eran más fáciles de producir y analizar, y de compartir con la dirección. Los otros (como Hytrust o Catbird) produjeron montones de páginas capaces de adormecer al administrador de red más geek; o fueron tan difíciles de configurar que el operador más dedicado se agotaría generándolos (BeyondTrust).
El manejo del host. Nos fijamos en cómo protegen a un nuevo host ESX. Cada producto tiene diferentes procesos de activación; Hytrust y Reflex son más sencillos que los otros, que requieren varios pasos de configuración o una serie de diferentes agentes que se añaden a cada host. El objetivo es ofrecer protección al instante, ya que muchas veces las máquinas virtuales se pueden pausar y reiniciar, evitando los controles tradicionales de arranque que usan los productos antivirus físicos.
Política de controles. Analizamos la granularidad de las políticas del producto y que tan fácil es añadir elementos a las políticas existentes o crear otras totalmente nuevas. Se trata del pan y la mantequilla de estos productos, no importa para que más hayan sido diseñados. Todos dan resultado en esta área y casi no se puede distinguir entre ellos, una vez que ha entendido el proceso.
Administración de usuarios. Examinamos la granularidad de los controles de usuario y lo fácil que es añadir nuevos usuarios al producto, o asignar usuarios a funciones de seguridad específicas. Hytrust, Reflex y Trend tienen la configuración de funciones más complejas y granulares.
Todos los productos están estrechamente vinculados con ESX de VMware y vSphere. Catbird de vSecurity también puede proteger las instalaciones de Citrix Zen, y PowerBroker de BeyondTrust puede apoyar Xen, Zones de Solaris y los entornos de VM de IBM. Ninguno de los productos protege, en la actualidad, instalaciones HyperV de Microsoft.
¿Quién hace qué?
No hay una sola herramienta que haga todo. Cualquier persona que tome en serio la seguridad de VM necesitará más de una herramienta. He aquí una guía rápida:
Cumplimiento y auditoría. Esto incluye la capacidad de producir informes para entender los distintos requisitos de cumplimiento, tales como los protocolos de Payment Card Initiative, y la capacidad de auditar el acceso y los registros administrativos para localizar quién cambió algo y cuándo. Las cinco ofrecen algunas de estas características.
Detección de intrusos (IDS) y firewall. Estas son las características en las que la mayoría de gente piensa cuando escuchan por primera vez acerca de la seguridad de VM. Catbird, Reflex y Trend ofrecen módulos con algunas de estas características.
Controles de acceso. Esto incluye la capacidad de poder restringir el acceso para que los usuarios no pueden detener o cambiar las máquinas virtuales en cualquier equipo host protegido. BeyondTrust, Reflex y Hytrust ofrecen algunas de estas características, y al igual que los otros, también tienen la capacidad de vincular las funciones de control de acceso a determinados usuarios de Active Directory.
Protección Anti-virus/anti-malware. Al igual que las herramientas de AV en el mundo físico, esto proporciona protección contra las vulnerabilidades dentro de una máquina virtual. Trend Micro tiene esta característica.
¿Dónde encaja vShield de VMware?
Si bien no probamos vShield, es un requisito previo para el producto Deep Security de Trend Micro y tiene el inicio de sus propias interfases de seguridad que otros proveedores, con toda seguridad, explotarán en los próximos meses. Reflex (y Altor/Juniper) también trabaja con vShield, aunque no es necesario. Ninguno de los otros productos que probamos usa vShield.
Aquí están los comentarios de cada producto:
PowerBroker de BeyondTrust
BeyondTrust hizo su nombre dando seguridad a servidores Linux y Unix, donde permite la ejecución de raíz de comandos y scripts sin tener que estar conectado con privilegios de root. Y ahora ha llevado este concepto al mundo virtual, para incluir la capacidad de asegurar las máquinas virtuales de una manera similar. Es un producto muy potente, pero lamentablemente, su poder está basado en su extenso lenguaje personalizado de scripts que se basa en la línea de comandos. Si se siente cómodo con Linux y las líneas de comando, este es el producto para usted.
El producto tiene dos interfases web: una llamada PowerBroker Management Console, la otra se llama simplemente Web Servers Interfase. La primera se utiliza sobre todo para generar informes y configurar algunos parámetros de configuración, mientras que la segunda se utiliza sobre todo para la configuración y algo de administración. La mayoría de páginas web son formularios en blanco que requieren que esté familiarizado con la sintaxis de línea de comandos y variables para algunas configuraciones en particular. Ambas consolas web son como una idea de último momento y engorrosas de manejar.
Sin embargo, vale la pena echarle un vistazo a sus características, sobre todo si quiere ser capaz de hacer cosas como registrar cada golpe en el teclado de todos los usuarios y ser capaz de reproducirlos para ver si algo salió mal. Si desea conectar autenticación a un servidor LDAP o Active Directory, por ejemplo, es necesario que agregue varias líneas de código de secuencias de comandos a su archivo de configuración. Lo mismo para agregar nuevas funciones administrativas, o una nueva máquina virtual para proteger: hay que escribir y probar más código.
Como producto de Catbird, trabajará con ESX de VMware y con hipervisores Xen de Citrix. Si está ejecutando un host ESXi, necesitará el add-on VMA de VMware para que la consola de servicio se conecte a ésta. Es compatible con la versión ESX /ESXi o superior.
El lenguaje de comandos está en algún lugar entre Perl y PHP, pero tomará algún tiempo para aprenderlo y ser eficaz con él, como cualquier otro lenguaje de programación. La instalación del producto también es algo compleja, basándose en una serie de servidores y demonios Unix o procesos que se deben configurar con secuencias asociadas de comandos. Hay una versión separada de este software para proteger las máquinas virtuales de Windows.
Catbird vSecurity
Catbird es el otro producto probado que puede administrar hosts que no son de VMware, incluyendo hosts Citrix Xen junto con cualquier máquina virtual que se ejecuta en la infraestructura de servicios web de Amazon (que también ejecuta a Xen). Lo hace a través de un agente Open Virtual Data Format que se instala en cada máquina. (Los agentes no están instalados en las máquinas virtuales individuales que se ejecutan en cada host, lo que es un plus.) También es compatible con ESX / ESXi 3.5 y versiones anteriores. Tiene una única consola de gestión, denominado Catbird Control Center, que se ejecuta en su propia máquina virtual que configura un servidor web que debe ser colocado fuera del entorno protegido. Acaba con ejecutar un navegador habitual y ya se puede ir.
Catbird tiene un profundo conjunto de políticas y prácticas de seguridad que se basan en los incondicionales del mundo físico: la detección de intrusiones de Snort y el escáner de vulnerabilidad de Saint. El proceso de creación de la política es algo complejo, pero no es nada que un servidor de seguridad de administración ordinario no pueda aprender en unas pocas horas. Puede configurar zonas de confianza muy sofisticadas y segregar sus máquinas virtuales en conjuntos de reglas y condiciones muy granulares, y puede mezclar y combinar máquinas virtuales con servidores físicos.
Los informes son la debilidad de este producto, y Catbird está trabajando en una mejora para su próxima versión. Hay un informe de cumplimiento único que puede descargar a su PC local como un PDF detallado de 60 páginas. Hay otros informes, tales como acciones de remediación, historia de cambio de registros, y otros, pero sus resultados solo van a la pantalla y no se pueden distribuir fácilmente. Otra debilidad es que solo hay dos roles de usuario para el producto: Administrador, que tiene acceso a todo, y "lector" que solo puede ver y no puede alterar la configuración. La mayoría de los demás productos tienen más granularidad.
Hytrust Appliance
Hytrust vende una aplicación de software que maneja controles de acceso VM individuales para los hosts ESX y ESXi, ejecutándose al menos en v3.5. Esto evita que los usuarios alteren o suspendan cualquier máquina virtual en ejecución sin darse cuenta.
Establece políticas y reglas de acceso para separar las funciones y hay gran variedad de distintos roles disponibles: uno puede ejecutar informes de cumplimiento de auditoría, mientras que otro permitirá que solo los administradores de red puedan remover, apagar o copiar cualquier máquina virtual utilizando los servicios de migración vMotion de VMware.
Otras funciones solo permiten que los usuarios accedan a una máquina virtual en funcionamiento, sin realizar ningún cambio en la propia máquina virtual. Cada función es una colección de reglas de acceso, de forma similar a cómo funciona un servidor de seguridad regular. Esta es la fuerza clave del producto, y también puede asignar estas funciones a determinados usuarios o grupos de Active Directory.
El programa de instalación es muy sencillo: Una vez instalado el software (que puede funcionar como su propia máquina virtual en un servidor ESX), la lleva a los hosts vCenter o ESX que desee para administrarlo con una pantalla de configuración simple. No hay software que necesite ser instalado en cualquier máquina protegida, solo necesita el nombre de usuario y contraseña de inicio de sesión para ese host. Si comienza con su máquina vCenter, automáticamente se puede enumerar los diversos huéspedes que maneja la máquina. También puede establecer diferentes reglas de protección para VM específicas que se ejecutan en cada host.
Todas las operaciones de Hytrust se realizan con un navegador conectado a su aparato. Las pantallas son bastante ordenadas y con su estructura de menú es sencilla de entender. Después de una hora de haber configurado el dispositivo, puede estar libre haciendo sus cosas, protegiendo su red virtual y elaborando informes inteligentes. El proceso se ve un poco confuso por cómo está escrito en la guía de configuración del producto, pero una vez que comprende el flujo de trabajo de configuración no es tan difícil.
Una ingeniosa característica se llama Password Vault. Hytrust cambia todas las contraseñas root de nuestros hosts hacia algo seguro y único, por lo que no están disponibles para el usuario normal de VM, o incluso para los administradores. Si necesita acceso temporal al host, puede hacer que Hytrust le proporcione una contraseña por tiempo limitado. Esto es similar a la función de protección de BeyondTrust.
Parte de su conjunto de características es una serie de más de 30 procedimientos de endurecimiento que pueden ocurrir automáticamente si se seleccionan un conjunto de directrices, tales como los estándares de Payment Card Industry (PCI). Esto incluye asegurar el acceso SNMP, complejidad de las contraseñas y las normas de longevidad, y el uso de una línea de comandos segura para sus hosts. Una vez establecidas las directrices, audita su instalación y luego trata de remediar lo que no ha alcanzado. Esta es una característica muy agradable.
Hytrust ofrece una fácil instalación. No hay varios servidores o agentes que instalar, solo trabaja fuera de la puerta. Una cosa interesante es que tiene un plug-in vClient de VMware. Una vez instalado, una ficha "Hytrust" extra aparece en la parte superior del área de selección, y al hacer clic en ella aparecerá la misma vista que vería en el navegador. Esto hace que a los administradores les sea más fácil gestionar su colección de VM mientras pasan la mayor cantidad de su tiempo en vClient.
La parte más débil del producto es su característica de informes. Proporciona información abundante sobre el cumplimiento punto por punto de cada host con una pauta particular de seguridad, como PCI o Center for Internet Security y otras nueve plantillas pre establecidas. Sin embargo, los informes son contundentes y demasiado detallados. Cada informe se puede exportar como un archivo CSV a su escritorio.
Virtual Manager Center de Reflex Systems
Reflex ofrece el mismo tipo de controles de infraestructura de red que se ven en el mundo físico, como firewalls y detección de intrusos, al mundo virtual. Funciona con ESX de VMware, ejecutando por lo menos v3.5 (pero no libera hosts ESXi sin módulos adicionales vMa de VMware).
Hay tres módulos diferentes administrados por su Virtualization Managemet Center basado en Windows: vTrust (la protección de firewall virtual), vWatch (que se ocupa de la supervisión del rendimiento y de los recursos), y vProfile (para la gestión de la configuración). Vimos los tres productos y encontramos que Reflex ofrece la colección más completa de herramientas, faltándole solo antivirus. Esto hace que sea un buen punto de partida, si es que puede permitirse la compra de los tres módulos.
El software Reflex sitúa agentes dentro de un host ESX. Puede separar zonas de seguridad para máquinas virtuales específicas que se ejecuta en hosts diferentes y establecer políticas para manejar el tráfico de red, tal como lo haría con el router Cisco y el IDS de Juniper. Esta característica es muy poderosa, y puede ser pensado como un firewall basado en host para cada una de sus máquinas virtuales sin tener que instalar nada en la máquina virtual en sí.
La característica de la zona, junto con la siguiente característica, hace que los administradores puedan profundizar, encontrar y reparar fácilmente los problemas de seguridad VM.
Esta segunda característica es la capacidad de rastrear los cambios en su infraestructura virtual utilizando su base de línea de tiempo. Puede dar marcha atrás al reloj y mirar lo que le ha sucedido a su red para solucionar mejor los problemas, para -por ejemplo- saber cuándo un usuario angustiado estropeo algún parámetro de configuración hace unos días.
En el núcleo del producto es un mapa visual que muestra qué hosts están ejecutando qué máquinas virtuales y adaptadores virtuales de red. Es bueno tener esto para que pueda hacer un seguimiento de su colección de VM, y es mejor y más útil que el mapa VMotion de VMware. En Reflex, hace clic y puede profundizar en la máquina virtual individual o en el adaptador de red para ver lo que está pasando, y cuando pasa el mouse sobre un ícono, se ve una gran cantidad de datos en la parte superior de la pantalla que le dan todo tipo de información, tal como los patrones de tráfico de red y la cantidad de almacenamiento adjunto en disco.
Reflex tiene dos clientes de gestión con funciones diferentes: Web y Windows. El cliente web se utiliza principalmente para generar y ver informes, lo cual es útil si desea separar la función de informar a un público más amplio que a las personas que desean ejecutar su cliente de Windows. Algunos de los informes están disponibles dentro del cliente de Windows, pero la mayoría se encuentran en el cliente web. Esto puede ser un poco confuso al principio.
Deep Security de Trend Micro
Trend Micro compró Third Brigade y ha incorporado sus características a Deep Security. El producto tiene una variedad de módulos de protección, incluidos firewalls/IDS con agentes o sin agentes, antimalware, y la protección de aplicaciones web. El escáner antivirus requiere vShield Endpoint para ser instalado, y solo funciona en ciertas máquinas virtuales de Windows y no tiene agente. Trend está trabajando para incorporar sus protecciones físicas y virtuales bajo un mismo techo, pero no está en el que hemos probado.
Como sospecha de una compañía de software centrada en el consumidor, su interfase de administración web es muy atractiva y el tablero de instrumentos tiene muchas cosas. Puede ver toda su colección de VM de un solo vistazo, si las medidas de protección se han instalado, y qué alertas se han reportado. Tiene que usar mapas generados por VMware para ver una imagen visual de su red de máquinas virtuales y sus hosts.
Y como se puede sospechar de una compañía de software de seguridad, el firewall y las características IDS son numerosas, incluyendo la inspección profunda de paquetes y una colección de decenas de normas que tienen que ver con el monitoreo de la integridad del sistema operativo. Por ejemplo, si alguien realiza cambios en el archivo host Windows, puede ser registrado como un evento dudoso.
El módulo de reporte de Trend Micro es claro y parte del tablero de instrumentos web. Tiene un menú desplegable para crear uno de18 informes, ya sea en un formato RTF o en un archivo PDF. En este último caso, puede hacer clic en un botón para compartir y enviárselo por correo electrónico a su jefe. Puede ajustar el rango de fechas y de las máquinas virtuales de interés haciendo clic en los botones correspondientes.
El principal inconveniente es la función de cumplimiento establecida. A diferencia de Hytrust, no clasifica cada elemento de la guía, pero escanea cada máquina virtual por reglas pre-establecidas como parte de su módulo de control de integridad. Puede crear fácilmente sus propias reglas o modificar las que se incluyen en el programa. Tampoco tiene reparación automatizada.
Añadir una nueva máquina virtual es muy sencillo. Debido a que Trend se engancha en las interfases de vCenter, tan pronto como la añade ya está protegido. Lo único que necesita en la máquina virtual es el software huésped Endpoint vShield de VMware.
Trend se puede sincronizar con Active Directory y los directorios LDAP y obtener usuarios de ellos. A continuación, puede asignar funciones a estos usuarios. Y Trend tiene mucha granularidad con la forma en que cada función se asigna a cada usuario, hasta decenas de derechos para determinadas actividades. Así que puede configurar usuarios que pueden ver cosas, pero que no puede borrar o cambiar cualquier parámetro.
David Strom, Network World (US)