La Virtualización ya está aquí, prepárate antes de dar el paso
Jason Yuan, Product Manager de Virtualización de McAfee, analiza la relación entre los entornos vituales y la seguridad, ofreciendo algunos consejos prácticos.
Mucho ese está hablando estos días de virtualización, pero ¿por qué? La respuesta es sencilla: la virtualización puede ahorrar a las compañías mucho dinero. Esta es la razón por la que la mitad de las empresas norteamericanas han puesto en marcha la virtualización, y se sigue EMEA con una 35 por ciento. La virtualización es una de las tecnologías más vanguardistas que hemos visto en los últimos 20 años.
Al más alto nivel, la virtualización permite a cada equipo de hardware trabajar como “máquinas virtuales” múltiples. Esto supone un significativo ahorro de costes a través de la consolidación de los servidores, donde un único servidor físico ahora puede hacer el trabajo que hacían entre ocho y 20 unidades. La virtualiación no sólo supone un ahorro en recursos humanos y hardware sino que, a la larga, también ahorra energía ya que facilita que el consumo de un data center pueda reducirse hasta un 30 por ciento de media, lo que supone el 1,5 por ciento del gasto de electricidad total de Estados Unidos. La “tecnología verde” es un paso importante, pero además permite gestionar mejor los ordenadores porque las imágenes virtualizadas permiten la gestión y seguridad de vcientos de miles de ordenadores desde una localización central para configuraciones estandarizadas.
No hay duda de que la virtualización puede reducir los cotes de TI, lo que supone un incentivo importante para las empresas. Desde una perspectiva de seguridad, sin embargo, está sujeta a las mismas amenzas que un sistema tradicional. La tecnología de virtualización tiene sus propios retos y es importante estar preparados.
¿Cuáles son los riesgos de la tecnología de virtualización? El primero de ellos es que se ha convertido en el principal objetivo de los hackers. Siguiendo la línea de nuestos CTO Christopher Bloin, cuando una plataforma o aplicación pasa a ser ampliamente utilizada, puede ser atacada. Si los hackers consiguen acceso a la infraestructura de virtualización, consiguen acceso al disco duro, a la CPU y a la memoria, pasando por encima de las medidas de seguridad y sin conocimiento de los usuarios. McAfee es consciente de que la suma de las vulnerabilidades asociadas al código de software de virtualizacoón se ha suplicado de 2006 a 2007.
En entorno de virtualización también se enfrenta a la combinación de amenazas, las llamadas buenas prácticas de seguridad para zonas de redes segregadas, especialmente cuando diferentes servidores o docenas de ordenadores comparten los mismos recursos físicos. Sion embargo, la infraestructuira virtual de hoy no ofrece ninguna segmentación basada en redes en sistemas físicos. Un gusano o virus puede propagarse rápidamente de una máquina virtual a otra, del mismo modo que una enfermedad contagisa puede extenderse si la primera persona enferma no está en cuarentena. Debido al diseño del entorno virtual sin entradas, no tiene protección de segregación natural.
Otro riesgo de virtualización de software radica en las cpias de seguridad que se hacen regularlmente para apoyo del sistema. Debido a la facilidad con la que se hacen estas copias de seguridad, son mucho más abundantes que en un entorno físico tradicional. Con frecuencia están inactivas durante meses, que es mucho tiempo en términos de seguridad. Una amenaza desarrollad recientemente puede desmontar un sistema operativo no parcheado o una aplicación. Cuando estas copias de segudiad virtuales son devueltas online, son inmediatamente conectacfas en el entorno de producción. Un ejemplo, un gusano infectado en una red por una máquina virtual infectada, provocaría la caída de miles de servidores.
Esto no quiere decir que no sea un fan del software de virtualización, o que no es seguro. Nada más lejos de la realidad. Creo que la virtualización es hacia donde debemos dirigirnos pero, como profesional de seguridad, es mi trabajo tomar la ruta más segura. Por tanto, si vas a “coger el tren”, aquí tienesn algunos consejos sobre cómo hacerlo.
1. Implicar a los responsables de la seguridad
Si vas a lanzarte a la iniciativa de la virtualización, la seguridad debe formar parte de ella. Es simple, todavía un gran número de equipos están únicamente comprometidos con las operaciones, aplicaciones y grupos de servidores. Este olvido podría ser una excusa, un tema ignorado o podría ser el temor de que las personas encargadas de la seguridad ralenticen todo. Pero esto necesitamos cambiarlo.
2. Aplicar las contramedidas de seguridad certificadas a tu entorno virtualizado
Tanto las máquinas físicas como las virtuales, corren el riesgo de sufrir ataques de virus, gusanos, malware…Por eso es importante aplicar las contramedidas de seguridad existentes. Cuando eliges productos de seguridad, pregunta si son compatibles con tu entorno de virtualización. Si tienes problemas con uno específico, asegúrate de que el proveedor de apoyo (Nivel 1, Nivel 2 y Nivel 3) está equipado para encargarse de tu configuración. Además, tienes que ser consciente de la gestión añadida que introduces. Es una buena idea usar las mismas medidas de seguridad para sistemas virtuales y físicos, por eso no tienes que usar la seguridad de los clientes y la consola de gestión para entornos virtualizados y un set diferente para entornos físicos.
3. Contrata los servicios de un consultor de seguridad que conoce la virtualización
Desarrollar un entorno virtualizado seguro implica más que la tecnología. Los consultores con experiencia pueden ayudarte a gestionar la transición, desde instalar el software a enseñar a la gente a gestionarlo. También pueden asegurarse de que mantienes los procesos de seguridad adecuados para dar lugar al nuevo entorno.
No existe un sistema de seguridad perfecto, pero existen mejores prácticas de seguridad, si el entorno es físico o virtual. El problema es que no todas las compañías están migrando hacia la virtualización y aplicando procesos de seguridad correctos. Tales procesos pueden ser extremadamente caros sólo para mitigar el riesgo, pero los datos de valor de la compañía correrán riesgos, incluyendo datos de clientes, lo que no es ninguna opción para ninguna compañía digna de tener clientes. Investigaciones muestran que una de cada ocho mantiene los mismos procesos que antes de la transición, lo que significa que otras siete están invitando a problemas reales para andar a través de sus puertas virtuales.
Así que, da un paso adelante hacia la virtualización. Pero hazlo de forma segura.