¿Cómo analizar la seguridad de VMware vSphere?
A día de hoy preguntar a cualquier administrador o responsable de una plataforma de cualquier tipo acerca de su preocupación por la seguridad puede resultar algo obvio, y la virtualización no es una excepción a este respecto.
Sin embargo, si cambiamos la pregunta por cuales son las medidas que adoptadas para mejorar la seguridad de una plataforma, las respuestas ya no son tan predecibles o similares. Y es que si preguntamos a cualquier experto en seguridad nos dirá sin duda alguna que la Seguridad y la Usabilidad son conceptos claramente contrapuestos que deben ser cuidadosamente gestionados para encontrar el equilibrio necesario y esto, evidentemente, conlleva una carga importante.
En este sentido, y para facilitar la vida de los administradores de sistemas, de un tiempo a esta parte los fabricantes ponen a nuestra disposición guías para el alineamiento de nuestros sistemas con las mejores prácticas de seguridad.
En esta ocasión me gustaría hablaros de dos herramientas que podemos usar para comprobar que la configuración de nuestra plataforma de virtualización VMWare vSphere cumple con las mejores prácticas de seguridad proporcionadas por el fabricante.
La primera de las herramientas que comentaba se trata de VMware Compliance Checker for vSphere, una aplicación escrita en Java que analiza una serie de puntos de los que aparece en la guía que antes os comentaba y que genera un informe en HTML con los puntos analizados, el porcentaje de cumplimiento y la descripción de cada uno de los puntos tal y como aparece en la guía proporcionada por VMware.
Con esta herramienta, que a pesar de estar escrita en Java sólo se ejecuta en Windows, podremos analizar tanto host ESX(i) independiente como una plataforma vSphere completa.
La segunda de las herramientas se trata de un script en Perl programado por William Lam, vSphere Security Hardening Report Script . Este script se conecta con un host ESX(i) o un vCenter y realiza una revisión de los puntos indicados en la guía de securización de vSphere.
Las principales ventajas de este script en Perl frente a la herramienta que antes os mencionaba son:
- Mayor número de puntos de la guía cubiertos
- Posibilidad de enviar el resultado del análisis por correo electrónico
- Posibilidad de generar informes tanto en HTML como en CSV.
Un punto importante que si bien no creo que deba ser marcado como una desventaja, pero que si debo señalar es que a pesar de estar escrito en Perl y que en teoría debería ser más agnóstico en cuanto a plataforma de ejecución se refiere, es que para ejecutar el script en Windows es necesario realizar varios ajustes en el propio script para que funcione correctamente.
Si bien es cierto que estas herramientas sólo realizan un análisis de los puntos recomendados por la guía de securización proporcionada por VMWare y que no cuentan con la posibilidad de aplicar dichas recomendaciones una vez realizado el análisis, también es cierto que precisamente el análisis es uno de los pasos más importantes en cualquier proceso de ajuste de una plataforma, por lo que ojalá sigamos viendo herramientas como estas.
¿Crees que este artículo puede interesar a alguien a quien conoces? Compártelo clicando los botones de Twitter y Facebook de abajo. Gracias.