Mejorar la gestión y la flexibilidad son ventajas inherentes a la virtualización de entornos de trabajo. Pero el principal riesgo se produce al gestionar tales entornos como se venía haciendo en el mundo físico. Partiendo de los datos extraídos de la consultora Gartner a finales del pasado año, se pueden evaluar los seis principales riesgos a tener en cuenta:
1. No tener en cuenta la seguridad en los proyectos de virtualización: La seguridad debe ser una reflexión previa a la virtualización, y no un pensamiento secundario posterior. Según Gartner, un 40% de los proyectos de implantación de virtualización durante el año 2009 se llevaron a cabo sin que el departamento de seguridad TI estuviera implicado en las etapas de planificación y en la arquitectura inicial del proceso.
Muchos responsables de TI creen que nada cambia en el mundo virtual, y consideran que poseen conocimientos y técnicas suficientes como para proteger los flujos de trabajo, los sistemas operativos y el hardware con la misma eficiencia que antaño. Pero cometen un grave error, pues ignoran la nueva capa de software que introducen las máquinas virtuales.
Los profesionales de la seguridad han de ser conscientes que el riesgo que no se conoce, ni se comunica, ni puede ser controlado. Para estar cómodos en estos nuevos entornos, deben implementar una extensión de su red de firewalls e IPSs mediante el uso de idéntica tecnología, pero sólo en una plataforma diferente (VM, o máquina virtual).
Lo que se debe hacer -asegura el informe- es no comprar más métodos de seguridad, sino ampliar los procedimientos sobre la misma. Solo así se abordará adecuadamente la protección de los centros de datos virtuales.
2. Una amenaza en la capa de virtualización afectaría a todas las cargas de trabajo dependientes: La capa de virtualización representa otra importante plataforma de TI en la infraestructura de una empresa, pero, como cualquier software, contiene vulnerabilidades que pueden ser objeto de ataques. Los hackers han fijado su punto de mira en esta tecnología para poner en jaque las cargas de trabajo. Por ese motivo, la capa debe ser “parcheada”.
Para Gartner, lo principal es que las organizaciones no confíen en el host basado en controles de seguridad para detectar o proteger lo que se encuentra bajo la capa. En nuestra opinión, es importante proteger estos servidores con un IPS desde el exterior, así como asegurar las aplicaciones internas de uso con un cortafuegos virtual y un IPS, garantizando así el control de los datos de la aplicación.
3. Falta de visibilidad y control de las redes internas virtuales. Gartner recomienda que, como mínimo, las organizaciones busquen el mismo tipo de control en las redes virtuales que en las físicas, para no perder visibilidad y capacidad de gestión al dar el salto a la virtualización. Con ello, se pretende reducir la posibilidad de una mala configuración. Una vez que una aplicación está virtualizada, es imposible que una red de solución de base muestre qué está pasando con el servidor de la máquina virtual, por lo que las herramientas de seguridad deben ser virtualizadas para protegerlo desde dentro.
Asimismo, la gestión de las soluciones de seguridad ha de ser coherente con los equipos en la gestión de los cortafuegos e IPSs físicos actuales. Con todo esto, se garantiza que las habilidades sigan igual y la carga de administración continúe siendo mínima.
4. Las cargas de trabajo de los distintos niveles de seguridad se consolidan en un único servidor físico sin la suficiente separación: Los sistemas más críticos y las cargas de trabajo más sensibles están en el punto de mira de la virtualización. Esto puede convertirse en un problema cuando las cargas más delicadas se mezclan con el resto, incluidas en zonas de seguridad diferentes dentro del mismo servidor físico y sin la adecuada separación. Por ello, las empresas deben exigir una separación en las redes físicas actuales para cargas de trabajo de diferentes niveles.
Lo importante es crear confianza en este entorno, y por ello, aunque estén en el mismo servidor VM, las aplicaciones virtuales de diferentes zonas deben estar separadas, ya sea por un firewall de nivel 2 de seguridad o un IPS Lo ideal sería que, si el sistema de gestión es el mismo para las soluciones de seguridad física y virtual, la carga de administración sea también idéntica.
5. Un control inadecuado de acceso administrativo a la capa Hypervisor VMM y a las herramientas administrativas. El acceso a esta capa debe estar rigurosamente controlado, pero esto es difícil puesto que la mayoría de plataformas de virtualización ofrecen múltiples vías de administración. Gartner propone restringir el acceso y basar el apoyo de control en las responsabilidades administrativas para delimitar quién puede hacer qué en el entorno virtual.
Es importante mantener el control para poder corregir los cambios sobre la marcha, por lo que las herramientas de seguridad que se utilicen deben de ser administradas de forma central, así como tener los derechos de acceso y los procesos de registro. Si empleamos todos estos recursos al mismo tiempo, mucho mejor, pues reduciremos el tiempo de gestión y eliminaremos costosos errores.
6. Pérdida potencial por la separación de las funciones de red y los controles de seguridad. Cuando los María Campos, country manager de StoneSoft Ibéricaservidores físicos se concentran en una sola máquina, aumenta el riesgo de que los usuarios o administradores, sin darse cuenta, accedan a datos que exceden los niveles de privilegio habitual. Gartner recomienda que el mismo equipo responsable de la configuración de la topología de red en el medio físico esté también al frente de los entornos virtuales.
Se debe favorecer la plataforma de virtualización de arquitecturas que reemplazan el código de apoyo de conmutación, de modo que las políticas de contención y las configuraciones físicas y virtuales sean las mismas. Es muy importante que se apliquen los mismos principios a nivel físico y a nivel virtual, valorando especialmente la necesidad de poder saltar con facilidad de una a otra opción.
Sería más aconsejable utilizar el mismo sistema de gestión a través de la LAN/WAN física y en el entorno virtual, donde se puede seguir trabajando con los mismos papeles, equipos y administradores en ambos ambientes. En este sentido, lo ideal es, utilizar los recursos técnicos y humanos para obtener un único sistema de gestión segura.
Autor: María Campos, country manager de Stonesoft Ibérica
Fuente: CSO España y Segu-Info