vShield EndPoint: La seguridad y el rendimiento no tienen por qué seguir caminos opuestos
Las nuevas tecnologías abren nuevas oportunidades para todos, tanto para aquellos que las aprovechan para desarrollar nuevos modelos de negocio, bancos de pruebas o investigación, como para aquellos con no tan loables intenciones.
Por supuesto la virtualización no es una excepción, y con la aparición de técnicas de detección de entornos virtualizados como RedPill allá por el 2004 se demostraba que esta tecnología tampoco escapaba a la necesidad del tratamiento y la gestión de la seguridad.
En esta línea, VMware desarrolla algo más tarde vShield, una familia creciente de soluciones de seguridad para los entornos virtualizados.
En el pasado, Florián Murillo ya escribió un excelente post acerca de vShield Zones, el primero de los productos que conforman la familia de seguridad vShield. En esta ocasión sin embargo, me gustaría hablar del “peque” de la familia, vShield EndPoint ). Y digo el “peque” por ser el más joven, y no el menos potente.
De hecho, como veremos al final del post, algunos estudios afirman que este producto nos puede llegar a ayudar a mejorar la densidad de carga de trabajo de un Host ESX/ESXi en casi un 275%.
Pero antes de los números veamos un pequeño resumen de en qué consiste vShield EndPoint y el motivo por el que podemos a llegar a conseguir esta impresionante mejora en la densidad de carga de trabajo.
Permitidme que os ponga en antecedentes sobre el problema que trata de atajar vShield EndPoint. Cuando hablamos de seguridad informática a todos se nos viene a la cabeza, entre otras cosas, los virus y el spam. La forma natural de atajar estos dos problemas es el uso de soluciones anti-virus y anti-spam.
Hasta ahora, el modelo en el que trabajaba este software era una aproximación clásica de cliente-servidor, en la que se realizaba el despliegue de un agente en las máquinas que se querían proteger y cuya gestión, administración, mantenimiento, actualización, etc… se realizaba desde una consola central que administraba además un servidor que alojaba las firmas y actualizaciones del software en cuestión.
Para el modelo clásico este esquema funcionaba bien, ya que cada equipo que se quería proteger contaba con sus recursos independientes, de los cuales podían reservar una parte para la ejecución de los mencionados agentes.
Sin embargo, ¿qué ocurre cuando nos movemos hacia un modelo de virtualización, donde el hardware y por lo tanto los recursos están compartidos por varios sistemas? La respuesta es evidente, la carga asociada a cada uno de estos agentes debe ser multiplicada por el número de máquinas virtuales que corren en el mismo hardware. Hasta aquí no estoy descubriendo nada nuevo, se hace patente que la arquitectura clásica de cliente-servidor no funciona bien para las soluciones de anti-virus en entornos virtualizados, especialmente cierto en entornos VDI. En este punto es donde entra en acción vShield EndPoint.
vShield EndPoint es una solución que optimiza el software de seguridad que se ejecuta en entornos virtuales, para entornos vSphere 4.1 y View 4.5. La principal virtud de vShield EndPoint es que permite la ejecución de las soluciones de seguridad en las máquinas virtuales, sin necesidad de realizar el despliegue de agentes y eliminando por tanto la sobrecarga asociada.
Esto es posible gracias a tres componentes:
- Una máquina virtual securizada, suministrada por los Partners de VMware y desplegada en cada host, es la encargada alojar el motor de antivirus. Sería el equivalente al agente que antes teníamos que desplegar por cada máquina virtual.
- Un driver para las máquinas virtuales encargado de descargar a la máquina virtual de las operaciones asociadas a los eventos relacionados con los ficheros.
- VMware EndPoint Security (EPSEC), un módulo cargable del kernel, encargado de enlazar los dos primeros componentes en el nivel del hypervisor.
Básicamente vShield EndPoint, se encarga de monitorizar los eventos de ficheros que se producen en las máquinas virtuales y enviarlos al motor de antivirus que se encuentra en la appliance suministrada por un partner de VMware, todo ello gestionado de forma centralizada desde una consola integrada con vCenter.
Al principio del post os comentaba que se podía llegar a conseguir hasta un 275% de mejora en la densidad de carga de trabajo de un host. Pues bien, esta es la conclusión a la que ha llegado Richard Garsthagen en su post Security designed for virtualization… it really works!! en el que hace referencia al estudio encargado por TrendMicro a Tolly acerca de su solución de antivirus integrada con vShield EndPoint.
Personalmente, en cuestiones tecnológicas, no me gustan los “actos de fé”, pero lo cierto es que el estudio arroja números cuanto menos interesantes y dignos de considerar.
A continuación os pongo una pequeña tabla comparativa de los diferentes productos de la familia vShield: