¿Quién controla las máquinas virtuales?

Inseguridad virtual

La virtualización de servidores ha alcanzado un punto de inflexión en la empresa después de 10 años. El ahorro económico derivado de la consolidación de servidores físicos se está estabilizando y las primeras ganancias en la eficiencia operacional de TI están en riesgo debido al rápido crecimiento y cada vez mayor complejidad de las infraestructuras virtuales. Por otra parte, las aplicaciones empresariales críticas para la producción, la siguiente frontera en la virtualización, demandan mayores niveles de servicio y una vigilancia más estricta de la seguridad y la conformidad, así como equipos de TI más especializados. La siguiente fase de la virtualización está relacionada con el control, con un especial énfasis en la eficiencia, el rendimiento y la agilidad. Ahora se necesitan soluciones de gestión tipo “command and control” que vayan más allá de las herramientas prevalentes hoy en día, más orientadas al inventario. Para virtualizar más rápidamente mayores cargas de trabajo a la vez que se protege la rentabilidad, las herramientas de próxima generación necesitan poder gestionar el control de accesos, las políticas de vigilancia, los controles de configuración y los registros de actividad. La próxima década se recordará como el período de tiempo en el que maduró la virtualización desde un estado de tecnología aplicada a una capa esencial en la infraestructura del data center. En muchos casos, un nuevo sistema operativo que se extiende por cada escalón de la pila de aplicaciones y afecta a todos los aspectos del servidor y la gestión de cargas de trabajo. Aunque las investigaciones de Taneja Group muestran que un 18-25% de la carga de trabajo de aplicaciones en medianas y grandes empresas norteamericanas está ya virtualizada, los planes pretenden virtualizar un 25% más a finales de los 1012. Hasta la fecha, las cargas de trabajo más virtualizadas han sido las de Nivel 2 e inferiores (aplicaciones internas y de baja prioridad), pero la tendencia clara es hacia el Nivel 1, virtualizaciones de cargas de trabajo de tareas críticas para la empresa. Efectivamente, más del 70% de las empresas encuestadas manifestó que no sólo se siente confortable con el desarrollo de aplicaciones críticas en servidores compartidos virtualizados, sino que lo está haciendo de manera activa.

Virtualización en transición: Pérdida de control
La proliferación de la virtualización de servidores, como con cualquier otra tecnología disruptiva del data center, está a la larga limitada por su impacto en los procesos de control y administración. Los administradores se enfrentan a una explosión del número de máquinas y servidores virtuales que deben gestionar, con herramientas de monitorización poco maduras y procesos de control ad hoc. La gestión del inventario es más difícil y las tasas de utilización sufren con máquinas virtuales (MVs) “huérfanas” o excesivamente cargadas, signos ambos de la expansión de las MVs. Al mismo tiempo, el paso de cargas de trabajo de baja prioridad a otras de misión crítica o Nivel 1 requiere un seguimiento adicional por parte de equipos que ya sufren un exceso de trabajo, lo que erosiona la eficiencia. Las cargas de trabajo de misión crítica dependen de configuraciones de servidores obligatorias y consistentes, y a menudo dependen de datos sensibles sujetos a regulaciones de la propia empresa, la industria y/o el gobierno. Sin los controles de seguridad adecuados, los riesgos de conformidad se irán aumentando, asociados a la tasa de virtualización de cargas de trabajo críticas; idealmente, el riesgo de sufrir problemas de conformidad debería aumentar de forma controlada a medida que se vayan realizando nuevas cargas de trabajo.El efecto de la virtualización sobre los departamentos de TI es más que un problema teórico. De acuerdo con las investigaciones de Taneja Group sobre la compartición de recursos en empresas medianas y grandes, el 89% de los responsables de los data center afirma que los administradores pierden mucho tiempo por culpa de las limitaciones de las herramientas y procesos de administración de la virtualización. De ellos, la mitad afirma que se pierde al menos el 10% del tiempo del administrador, mientras que 1 de cada 5 informó una pérdida de eficiencia superior al 25%.
Bajo nuestro punto de vista, la mayoría de las empresas están ahora alcanzando su punto de transición. Esto presenta una oportunidad única de afrontar cuestiones sobre el control y la seguridad antes de que afecte de manera adversa a la confianza del usuario empresarial

Crisis de identidad
El primer paso para planificar la seguridad de una infraestructura virtual es reconocer qué elementos de seguridad actuales, diseñados para entornos físicos, son todavía aplicables. En general, deberían trasladarse todas las herramientas y procesos existentes para identificar vulnerabilidades y riesgos en aplicaciones, sistemas, redes y datos. Entre ellos se incluye el control de accesos, antivirus, detección de intrusiones, monitorización de actividad, firewall y las estrategias y tecnologías relacionadas.
Además, la plataforma de virtualización en sí misma deberá incluirse como un nuevo conjunto de recursos seguros. Esto incluye el hipervisor; clusters virtuales, hosts y máquinas; adaptadores de red virtual, switches y firewalls; discos y sistemas de almacenamiento virtual; entre otros. En muchos casos, las características más atractivas de la virtualización son las mismas que la hacen más difícil de controlar.
La virtualización cambia las definiciones y las líneas de demarcación entre los recursos de TI, difuminando o borrando los límites tradicionales. Por ejemplo, las máquinas virtuales ya no son sólo servidores, sino también almacenamiento (una colección de archivos en disco). Las MVs pueden capsular archivos sensibles, por lo que también son “datos” que se deben proteger. Y las MVs con frecuencia contienen adaptadores de redes virtuales y los hipervisores pueden incluir switches de red virtuales.
Si un servidor es también un dispositivo de datos y/o red, y puede residir en una o varias máquinas físicas, los métodos tradicionales de identificación ya no sirven. Se necesita una taxonomía más depurada de recursos de TI basada en objetos virtual.
¿Quién “posee” esos nuevos recursos virtuales, los equipos de red, almacenamiento o servidor? ¿Quién debería tener o tiene acceso, y qué se les permite hacer? ¿Cómo se aplican los diferentes roles para acceder a cada tipo de recurso? ¿Quién tiene la planificación sobre protección, recuperación y disponibilidad?
La separación tradicional de tareas del data center, basada en definiciones de recursos físicos de TI, no describe de forma adecuada los requerimientos de acceso o autorizaciones necesarias para dar soporte a flujos de trabajo multi-dominio en una infraestructura virtual.

Cómo recuperar el control
Los esfuerzos de optimización de la plataforma de virtualización deberían perseguir cuatro puntos esenciales de una estrategia integral de seguridad y control: control de acceso, implementación de políticas, control de configuración y logging. Nuestras recomendaciones de optimización incluyen:
* Control de acceso y roles: Centralizar

Viñeta publicada el 20 de febrero de 1870 en La Flaca n.º 35 Tendencias

ny2 ACTUALIDAD

ny2 Sociedad de la información

Día de la Movilidad y el BYOD Coffee Break