Home » Citrix

Seguridad en XenServer

Ferran Serafini Posted On noviembre 23, 2011
0
1.1K Views


Hola amigos, hoy vengo con una serie de buenas prácticas para mantener nuestros entornos XenServer lo más seguros posibles.

No soy ningún experto en seguridad, pero creo que lo podemos diferenciar en 3 niveles.

  • Acceso a la administración
  • Acceso a disco remoto
  • Acceso a la red externa

Acceso a la administración (XAPI, SSH)

La XenAPI escucha por HTTP, puerto 80 es decir, texto plano y por HTTPS, puerto 443, cifrado por SSL. La interconexión entre XenCenter y XenAPI siempre se realiza por HTTPS con lo cual, nuestro acceso desde XenCenter siempre va a ser cifrado. El problema lo podemos tener en “plugins” de terceros que no implementen SSL para las peticiones hacia nuestros servidores.

Una buena práctica seria bloquear, en nuestros firewalls perimetrales, el acceso a nuestros servidores por el puerto 80 desde cualquier red y solo permitir HTTPS.

Es necesario también el acceso mediante SSH a nuestros servidores, pero solo desde la red administrativa/management. Un acceso por SSH por una contraseña insegura, expone a todo el entorno a un ataque.

Acceso a disco remoto (NFS, i-SCSI)

En el caso que estés utilizando un acceso a disco remoto vía ISCSI o NFS, es muy importante el aislamiento mediante interfaces dedicadas al propio storage. De este modo nunca expondremos el tráfico de disco (texto plano) a ninguna red de acceso.

Si usas NFS, los ficheros VHD de tu repositorio, están en texto plano así que sobretodo es importante que solo tengan acceso a estos recursos los servidores XenServer y administradores.

En el caso ISCSI, si tu cabina soporta CHAP para autentificar el “target” remoto, es la mejor opción. En ese caso solo van a tener acceso a esta LUN los servidores autentificados y asignados.

Acceso a la red externa

A menos que sea necesario, una máquina virtual no tiene por qué tener acceso a la red de administración del entorno XenServer.

Es una buena práctica establecer una interface física aislada para la administración y otra para hacerle llegar las demás redes (servicio) con el tráfico “taggeado” a nivel de switch. De este modo para la red de servicio, podemos crear un bridge por cada una de las vlans, aislando así cada uno de los entornos.

Seguridad XenServer Citrix

Eso es todo por hoy. Espero como siempre haberte aportado un nuevo granito de arena del mundo de la virtualización ¿Cómo securizas tu entorno XenServer?

Post Views: 1.072



Author

Ferran Serafini

Ferran Serafini Múrio es consultor/administrador de sistemas GNU/Linux y trabaja actualmente en la UOC (Universitat Oberta de Catalunya) como colaborador externo donde es responsable del entorno de virtualización (XenServer, Xen Open Source, VMware ESX, HyperV ). También es una apasionado de la seguridad informática y de los sistemas de alta disponibilidad.

You may also like
VMworld 2017 en Barcelona
julio 25, 2017
¿Qué es la virtualización del puesto de trabajo?
julio 4, 2017
El nuevo VMware vCenter Server Appliance 6.5
enero 17, 2017
Read Next
Leave A Reply

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.


You are reading
Seguridad en XenServer
Share No Comment