¿Quién controla las máquinas virtuales?
Inseguridad virtual
Virtualización en transición: Pérdida de control
La proliferación de la virtualización de servidores, como con cualquier otra tecnología disruptiva del data center, está a la larga limitada por su impacto en los procesos de control y administración. Los administradores se enfrentan a una explosión del número de máquinas y servidores virtuales que deben gestionar, con herramientas de monitorización poco maduras y procesos de control ad hoc. La gestión del inventario es más difícil y las tasas de utilización sufren con máquinas virtuales (MVs) “huérfanas” o excesivamente cargadas, signos ambos de la expansión de las MVs. Al mismo tiempo, el paso de cargas de trabajo de baja prioridad a otras de misión crítica o Nivel 1 requiere un seguimiento adicional por parte de equipos que ya sufren un exceso de trabajo, lo que erosiona la eficiencia. Las cargas de trabajo de misión crítica dependen de configuraciones de servidores obligatorias y consistentes, y a menudo dependen de datos sensibles sujetos a regulaciones de la propia empresa, la industria y/o el gobierno. Sin los controles de seguridad adecuados, los riesgos de conformidad se irán aumentando, asociados a la tasa de virtualización de cargas de trabajo críticas; idealmente, el riesgo de sufrir problemas de conformidad debería aumentar de forma controlada a medida que se vayan realizando nuevas cargas de trabajo.El efecto de la virtualización sobre los departamentos de TI es más que un problema teórico. De acuerdo con las investigaciones de Taneja Group sobre la compartición de recursos en empresas medianas y grandes, el 89% de los responsables de los data center afirma que los administradores pierden mucho tiempo por culpa de las limitaciones de las herramientas y procesos de administración de la virtualización. De ellos, la mitad afirma que se pierde al menos el 10% del tiempo del administrador, mientras que 1 de cada 5 informó una pérdida de eficiencia superior al 25%.
Bajo nuestro punto de vista, la mayoría de las empresas están ahora alcanzando su punto de transición. Esto presenta una oportunidad única de afrontar cuestiones sobre el control y la seguridad antes de que afecte de manera adversa a la confianza del usuario empresarial
Crisis de identidad
El primer paso para planificar la seguridad de una infraestructura virtual es reconocer qué elementos de seguridad actuales, diseñados para entornos físicos, son todavía aplicables. En general, deberían trasladarse todas las herramientas y procesos existentes para identificar vulnerabilidades y riesgos en aplicaciones, sistemas, redes y datos. Entre ellos se incluye el control de accesos, antivirus, detección de intrusiones, monitorización de actividad, firewall y las estrategias y tecnologías relacionadas.
Además, la plataforma de virtualización en sí misma deberá incluirse como un nuevo conjunto de recursos seguros. Esto incluye el hipervisor; clusters virtuales, hosts y máquinas; adaptadores de red virtual, switches y firewalls; discos y sistemas de almacenamiento virtual; entre otros. En muchos casos, las características más atractivas de la virtualización son las mismas que la hacen más difícil de controlar.
La virtualización cambia las definiciones y las líneas de demarcación entre los recursos de TI, difuminando o borrando los límites tradicionales. Por ejemplo, las máquinas virtuales ya no son sólo servidores, sino también almacenamiento (una colección de archivos en disco). Las MVs pueden capsular archivos sensibles, por lo que también son “datos” que se deben proteger. Y las MVs con frecuencia contienen adaptadores de redes virtuales y los hipervisores pueden incluir switches de red virtuales.
Si un servidor es también un dispositivo de datos y/o red, y puede residir en una o varias máquinas físicas, los métodos tradicionales de identificación ya no sirven. Se necesita una taxonomía más depurada de recursos de TI basada en objetos virtual.
¿Quién “posee” esos nuevos recursos virtuales, los equipos de red, almacenamiento o servidor? ¿Quién debería tener o tiene acceso, y qué se les permite hacer? ¿Cómo se aplican los diferentes roles para acceder a cada tipo de recurso? ¿Quién tiene la planificación sobre protección, recuperación y disponibilidad?
La separación tradicional de tareas del data center, basada en definiciones de recursos físicos de TI, no describe de forma adecuada los requerimientos de acceso o autorizaciones necesarias para dar soporte a flujos de trabajo multi-dominio en una infraestructura virtual.
Cómo recuperar el control
Los esfuerzos de optimización de la plataforma de virtualización deberían perseguir cuatro puntos esenciales de una estrategia integral de seguridad y control: control de acceso, implementación de políticas, control de configuración y logging. Nuestras recomendaciones de optimización incluyen:
* Control de acceso y roles: Centralizar