¿Puede VMware prevenir los ataques de denegación de servicio?
Las máquinas virtuales como bien sabes son en realidad contenedores (containers) en donde las aplicaciones residen y se ejecutan. Por diseño, todas las máquinas virtuales están aisladas unas de las otras. Este aislamiento permite que muchas máquinas virtuales puedan compartir en mismo hardware virtual.
Adicionalmente, se pueden proteger estas máquinas virtuales con el uso de reservas y limites en el servidor Host, es decir, el servidor ESXi en este caso. Por ejemplo, se puede configurar una máquina virtual para que solo reciba el 40% (por poner un porcentaje) de recursos de CPU del servidor físico esxi pero nunca mas del 50% (por poner otro porcentaje)
Lo que quiero decir es que el uso de reservas y limites en un entorno virtualizado con VMware (supongo que otras soluciones de virtualización tendrán algo parecido) protegen a la máquina virtual de la degradación de servicio en un ataque tipo DoS.
Para ponértelo en contexto, por ejemplo, si una máquina virtual en un servidor host es atacada por un ataque de tipo DoS, el limite en los recursos en dicha máquina virtual previene que esta tome mas recursos del servidor físico y acabe afectando al rendimiento de las otras máquinas virtuales que conviven en el mismo servidor físico (ESXi).
Por consiguiente, al crear un modelo tipo scale-out con muchas máquinas virtuales ofreciendo el servido en modo RR (Round Robin) y con limites y reservas para que una denegación de servicio conseguimos que un futuro ataque de denegación de servicio no afecte a todas las VMs y por lo tanto tiren el servicio por completo.
Bien, con esto conseguimos arreglar parte del problema, es decir, nuestro CPD y nuestro servicios o servidores internos, pero, ¿Qué pasa si lo que nos inundan es la puerta de entrada o salida, es decir, nuestra conexión a internet de la empresa?
Ni que decir tiene que por supuesto si te inundan la red de entrada no puedes hacer mucho, o si!? Te pregunto: ¿Que podríamos hacer en ese caso?
Te emplazo la próxima semana donde publicare en una segunda parte de este articulo, como protegernos contra ataques de denegación de servio en la red externa con nuestro router de Juniper.
Gracias por leer nuestro blog, participar y compartir.