El impacto de la virtualización en las políticas de seguridad TI
Hola amigos, soy Florián Murillo, algo que siempre me obsesiona en los proyectos de consolidación de servidores, es decir, “sublimar” los servidores físicos y transformarlos en máquinas virtuales, y es la involucración del departamento de seguridad TI en el proyecto desde el primer momento.
Y eso es debido a que la consolidación de servidores tiene un impacto importante en las políticas de seguridad existentes, resumo a continuación los aspectos mas importantes de la seguridad TI que sufrirán modificaciones :
- Control de acceso
- Actualizaciones y parcheos
- Registro de actividad en la red
- Filtrados en el almacenamiento
- Registro de logs
Control de acceso : Aparecen nuevos sistemas a los que aplicar las políticas de control de acceso existentes, como son los interfaces de gestión, ya sea en el service console (ESX) o en el vmkernel (ESXi), y probablemente no se les pueda aplicar las estrategias existentes teniendo que modificar nuestra política actual.
Además tenemos vCenter Server y el registro de los ESX en el vCenter, la aparición de vCenter Server implica el diseño y la creación de roles, para evitar dar demasiados privilegios a mas personas de las necesarias, y el registro de los ESX en el vCenter implica estrategias de protección del sistema de registro para evitar que un vCenter Server “intruso” pueda apoderarse del control del ESX.
Actualizaciones y parcheos : La aparición de los ESX y el vCenter Server implica ampliar nuestras políticas de actualización y parcheo, también a estos sistemas, es un buen momento para familiarizarse con Update Manager, que cada vez es mas imprescindible.
Solo hemos de pensar que el service console es un linux con más de 400 paquetes instalados, o sea, más de 400 fisuras de seguridad posibles, hemos de ser muy cuidadosos con su seguridad.
Registros de actividad en la red : Se realizan para analizar el tráfico de red para conocer el comportamiento de nuestras aplicaciones o tendencias de tráfico con NetFlow, también por necesidades de seguridad o cumplimiento normativo como detección de intrusos, control de navegación, archivado de correos enviados y recibidos, etc… para todo lo anterior las estrategias de análisis sobre los switches físicos se ha de complementar con el análisis sobre los “nuevos” switches virtuales que aparecen en los servidores ESX, ya que, por ejemplo, el tráfico que se genera entre dos máquinas virtuales conectadas en el mismo switch virtual no llega nunca a los switches físicos no siendo registrado por los sistemas existentes hasta ese momento.
Filtrados en almacenamiento FC : Desde hace tiempo, para que cada servidor “viera” solo las LUNs que necesitaba ver, se realiza la técnica de “zoning” en los switches FC, utilizando el identificador WWN de las HBAs para el filtrado, pero en el momento en que virtualizamos y damos movilidad a las VM con vMotion tenemos que cambiar nuestra estrategia o deberemos abrir demasiado nuestros filtros, para ello utilizaremos los WWN virtuales (o vWWN) entregando un identificador distinto a cada VM.
Registro de logs : Tras virtualizar, además de los logs habituales de los S.O. instalados en cada VM, tenemos además, los logs de actividad de la VM, logs de los ESX y logs de actividad de vCenter Server, que hemos de incluir en nuestra arquitectura de recolección y consolidación de logs.
Aparte de lo dicho, nuestra estrategia de auditorías internas y nuestros planes de securización de sistemas se ven afectados también.
Y todo lo que hemos dicho es para “empatar”, es decir, para que la empresa no incurra en un aumento de los riesgos empresariales, la parte positiva es que se nos abre un mundo de nuevas posibilidades para mejorar la seguridad TI y disminuir los riesgos empresariales además de las mejoras intrínsecas de la consolidación de servidores, que todos conocemos …
¿Se entiende porque me obsesiona involucrar al personal de seguridad en los proyectos?
Por favor, si te ha gustado este post dame tu puntuacion: [ratings]