vMotion es una característica que viene acompañadonos desde hace muchos años y que como bien sabemos permite migrar una VM encendida entre servidores ESXi sin perdida de servicio. El como lo hace es una simple genialidad a pesar del paso de los años, utilizando una red de vMotion (vMkernel) para tranasportar el estado de la memoria de la/s VM/s de un host a otro. El problema viene cuando un atacante puede realizar un «man in the middle» en esta red que por su naturaleza puede transposrtar lo datos en memoria de esta y sus correspondiente agujero de seguridad si no es bien tratado.
Para ello VMware en esta última versión de vSphere 6.5 nos ha proporcionado la solución necesaria para solucionar dicho problema.
Hay 3 opciones que son posibles de base Por-VM : (Mirar la imágen del post)
- Disabled no usa cifrado en vMotion
- Opportunistic utiliza vMotion cifrado si los hosts de origen y de destino lo soportan, si no va a hacer un vMotion normal.
- Required permite sólo vMotion cifrado. Si el origen o destino no admite vMotion cifrado, entonces este falla .
¿Cómo funciona el cifrado de vMotion?
La clave generada aleatoriamente se agrega a las especificaciones de la migración.
A continuación se empuja a cada hosts a participar en el proceso de vMotion, donde los datos en la red se cifran con la clave generada aleatoriamente sólo para el proceso de migración.
Es la única clave generada al azar, que se genera por vCenter (no como en los servidores de KMS utilizados para el cifrado de los vmdks en las VMs de vSphere 6.5).
vSphere cifrado se ve bastante bien agregando una capa adicional de seguridad a tus datos, pero hay cuestiones que deben de discutirse primero:
¿Quien tiene y quien no derecho a cifrar VMs?
¿Cómo proceder cuando el administrador deja la empresa?
¿Cómo proceder cuando la contraseña de la cuenta (con derechos para cifrar) de admin se pierde?
Cada cosa debaría ser ensayada en primer lugar, comienza con algo simple (no VMs en producción). Ten en cuenta que esta es una característica de la v 1.0 y que puede todavía tener algun pequeño problema…
Gracias por leer nuestro blog, participar y compartir.
