Virtualizando de forma segura
Julio César Ardita, CISM
[email protected]
www.isaca.org.uy
Agenda
- Evolución de la virtualización
- Seguridad en virtualización de Servidores
- Seguridad en virtualización de la red
- Conclusiones
www.isaca.org.uy
Evolución de la virtualización
Cuando hablamos de virtualización, la visión de IT incluye:
- Reducción de costos
- Gestión y administración simplificada de infraestructura
- Mejora de los niveles de servicio
- Facilidad de disponer de entornos de desarrollo/testing
La visión de seguridad incluye:
- “Sensación” de mejor y mayor control
- Por FIN vamos a poder hacer el BCP!!!
- Nuevos riesgos y amenazas
www.isaca.org.uy
Evolución de la virtualización
Formas de Virtualización
Uso actual
a nivel de
Servidores
y Desktops
www.isaca.org.uy
Cuidado
con el uso
local !!!
Seguridad en virtualización de Servidores
Modelo sin virtualización
Seguridad:
Problemáticas
de seguridad
conocidas.
www.isaca.org.uy
Seguridad en virtualización de Servidores
Virtualización y Consolidación de Servidores
www.isaca.org.uy
Seguridad en virtualización de Servidores
Virtualización total de Servidores
www.isaca.org.uy
Seguridad en virtualización de Servidores
Virtualización total de Servidores
www.isaca.org.uy
Datacenter
Seguridad en virtualización de Servidores
Riesgos existentes:
- “Aprender” la seguridad de una nueva tecnología
- Seguridad del Server HOST o del Storage (Permisos de
acceso a las maquinas virtuales)
SAN
www.isaca.org.uy
Seguridad en virtualización de Servidores
Riesgos existentes:
- Diseño de la seguridad de la virtualización
Mail/Win
DC/Win
AS/Linux
Internet
LAN
DMZ
www.isaca.org.uy
Red Lan Interna
Seguridad en virtualización de Servidores
Riesgos existentes:
- Diseño de la seguridad de la virtualización
Mail/Win
DC/Win
AS/Linux
FW
Físico
Internet
LAN
DMZ
www.isaca.org.uy
Red Lan Interna
Seguridad en virtualización de Servidores
Riesgos existentes:
- Administración segura del Hypervisor. El acceso se
debe realizar a través de la red de management.
En lo posible el Hypervisor no debe tener una IP propia
asignada en el segmento LAN.
DC/W2k
AS/Linux
Si posee una dirección IP, debe
estar filtrada solo a los usuarios
autorizados.
LAN
Management
www.isaca.org.uy
Seguridad en virtualización de Servidores
Riesgos existentes:
- Seguridad del Hypervisor o Sistema Operativo Host
- Vulnerabilidades del Hypervisor
- Aplicación de patches de
seguridad a nivel de
Hypervisor.
www.isaca.org.uy
Seguridad en virtualización de Servidores
Riesgos existentes:
- Seguridad del Hypervisor o Sistema Operativo Host
- Vulnerabilidades del Hypervisor
- Aplicación de patches de
seguridad a nivel de
Hypervisor.
www.isaca.org.uy
Seguridad en virtualización de Servidores
Riesgos existentes:
- Seguridad del Hypervisor o Sistema Operativo Host
- Vulnerabilidades del Hypervisor
- Aplicación de patches de
seguridad a nivel de
Hypervisor.
www.isaca.org.uy
Seguridad en virtualización de Servidores
Riesgos existentes:
- Gestión de roles de administración
Se deben definir los roles de administración
del Hypervisor incluyendo creación, apagado,
encendido, clonación, movimiento, etc. de las
máquinas virtuales existentes.
Admin (sobre)
Admin full (no puede admin roles)
Admin Hypervisor
Admin VM
www.isaca.org.uy
Auditoría
Admin red virtual
Seguridad Informática
Seguridad en virtualización de Servidores
Riesgos existentes:
- Monitoreo de logs del Hypervisor
Centralización de logs del hypervisor y monitoreo de los
mismos para detección de anomalías.
VEEAM – Administración, backup,
centralización de LOGS.
www.isaca.org.uy
Seguridad en virtualización de la red
Modelo de red
estándar
www.isaca.org.uy
Seguridad en virtualización de la red
Anatomía de la red virtual
Consola de servidor
(puerto de gestión)
Host (Hypervisor)
MV0
MV1
MV2
MV3
Máquina
virtual (MV)
ADM
vmkernel
NIC virtual
(vnic)
Grupo de
puertos
vSwitch
Switch virtual
(vSwitch)
NIC física
(vmnic o pnic)
Switch físico
LAN
www.isaca.org.uy
Vmkernel
(puerto para IP
Storage y VMotion)
Seguridad en virtualización de la red
Primera etapa de virtualización
www.isaca.org.uy
Seguridad en virtualización de la red
MV0
MV1
Consola de
servidor
vmkernel
vSwitch
MV0
MV1
MV0
Consola de
servidor
MV1
vmkernel
Consola de
servidor
vSwitch
Y si tengo muchas
zonas de seguridad.
¿Cómo aprovecho la
tecnología de
virtualización?
www.isaca.org.uy
MV0
MV1
vSwitch
MV0
Consola de
servidor
MV1
vmkernel
Consola de
servidor
vSwitch
MV0
MV1
vmkernel
vSwitch
vmkernel
vSwitch
MV0
Consola de
servidor
vmkernel
MV1
Consola de
servidor
vmkernel
vSwitch
Seguridad en virtualización de la red
Segunda etapa de virtualización
MV0
MV1
DMZ1
MV2
MV3
MV0
DMZ2
MV2
MV3
Entidades
Externas
Proveedores
Internet
www.isaca.org.uy
MV1
LAN
MV0
MV1
MV2
MV3
MV2
MV3
MV2
MV3
Firewalls virtuales
DMZ 1
DMZ 2
Proveedores
Ent. Externas
Consideraciones:
- Utilización de roles
para segregar las tareas
de administración.
- Documentar
adecuadamente.
ADM
Internet
ADM
LAN
- Implementar
monitoreo de logs.
Internet
www.isaca.org.uy
LAN
Conclusiones
El proceso y diseño de virtualización se debe llevar a cabo
teniendo en cuenta la seguridad.
Los riesgos existentes son elevados, ya que se puede
poner en riesgo la continuidad de la operación y el acceso
no autorizado a información confidencial.
Se debe trabajar en conjunto con el área de IT y Auditoría
para coordinar la gestión y el monitoreo de los Hypervisors.
www.isaca.org.uy
¿Preguntas?
Muchas Gracias
Julio César Ardita, CISM
[email protected]
www.isaca.org.uy
Descargar

Virtualizando en forma segura