Title: Virtualizando de forma segura
1Virtualizando de forma segura
- Julio César Ardita, CISM
- jardita_at_cybsec.com
2Agenda
- - Evolución de la virtualización
- - Seguridad en virtualización de Servidores
- - Seguridad en virtualización de la red
- - Conclusiones
3Evolución de la virtualización
- Cuando hablamos de virtualización, la visión de
IT incluye - - Reducción de costos
- - Gestión y administración simplificada de
infraestructura - - Mejora de los niveles de servicio
- - Facilidad de disponer de entornos de
desarrollo/testing - La visión de seguridad incluye
- - Sensación de mejor y mayor control
- - Por FIN vamos a poder hacer el BCP!!!
- - Nuevos riesgos y amenazas
4Evolución de la virtualización
Formas de Virtualización
Uso actual a nivel de Servidores y Desktops
Cuidado con el uso local !!!
5Seguridad en virtualización de Servidores
Modelo sin virtualización
Seguridad Problemáticas de seguridad conocidas.
6Seguridad en virtualización de Servidores
Virtualización y Consolidación de Servidores
7Seguridad en virtualización de Servidores
Virtualización total de Servidores
8Seguridad en virtualización de Servidores
Virtualización total de Servidores
9Seguridad en virtualización de Servidores
Riesgos existentes - Aprender la seguridad de
una nueva tecnología - Seguridad del Server HOST
o del Storage (Permisos de acceso a las maquinas
virtuales)
SAN
10Seguridad en virtualización de Servidores
Riesgos existentes - Diseño de la seguridad de
la virtualización
DC/Win
AS/Linux
Mail/Win
Internet
LAN
DMZ
Red Lan Interna
11Seguridad en virtualización de Servidores
Riesgos existentes - Diseño de la seguridad de
la virtualización
Mail/Win
DC/Win
AS/Linux
FW Físico
Internet
LAN
DMZ
Red Lan Interna
12Seguridad en virtualización de Servidores
Riesgos existentes - Administración segura del
Hypervisor. El acceso se debe realizar a través
de la red de management. En lo posible el
Hypervisor no debe tener una IP propia asignada
en el segmento LAN. Si posee una dirección IP,
debe estar filtrada solo a los usuarios
autorizados.
DC/W2k
AS/Linux
LAN
Management
13Seguridad en virtualización de Servidores
Riesgos existentes - Seguridad del Hypervisor o
Sistema Operativo Host - Vulnerabilidades del
Hypervisor - Aplicación de patches de
seguridad a nivel de Hypervisor.
14Seguridad en virtualización de Servidores
Riesgos existentes - Seguridad del Hypervisor o
Sistema Operativo Host - Vulnerabilidades del
Hypervisor - Aplicación de patches de
seguridad a nivel de Hypervisor.
15Seguridad en virtualización de Servidores
Riesgos existentes - Seguridad del Hypervisor o
Sistema Operativo Host - Vulnerabilidades del
Hypervisor - Aplicación de patches de
seguridad a nivel de Hypervisor.
16Seguridad en virtualización de Servidores
Riesgos existentes - Gestión de roles de
administración Se deben definir los roles de
administración del Hypervisor incluyendo
creación, apagado, encendido, clonación,
movimiento, etc. de las máquinas virtuales
existentes.
Admin (sobre) Auditoría Admin full (no puede
admin roles) Admin red virtual Admin
Hypervisor Seguridad Informática Admin VM
17Seguridad en virtualización de Servidores
Riesgos existentes - Monitoreo de logs del
Hypervisor Centralización de logs del hypervisor
y monitoreo de los mismos para detección de
anomalías. VEEAM Administración, backup,
centralización de LOGS.
18Seguridad en virtualización de la red
Modelo de red estándar
19Seguridad en virtualización de la red
Anatomía de la red virtual
Consola de servidor (puerto de gestión)
Host (Hypervisor)
MV0
MV1
MV2
MV3
Máquina virtual (MV)
Vmkernel (puerto para IP Storage y VMotion)
vmkernel
ADM
NIC virtual (vnic)
20Seguridad en virtualización de la red
Primera etapa de virtualización
21Seguridad en virtualización de la red
Y si tengo muchas zonas de seguridad. Cómo
aprovecho la tecnología de virtualización?
22Seguridad en virtualización de la red
Segunda etapa de virtualización
MV0
MV1
MV2
MV3
MV0
MV1
MV2
MV3
Entidades Externas
DMZ1
DMZ2
Proveedores
LAN
23MV0
MV1
MV2
MV3
MV2
MV3
MV2
MV3
Firewalls virtuales
Ent. Externas
DMZ 2
Proveedores
DMZ 1
Consideraciones
- Utilización de roles para segregar las
tareas de administración.
- Documentar adecuadamente.
Internet
LAN
- Implementar monitoreo de logs.
LAN
24Conclusiones
El proceso y diseño de virtualización se debe
llevar a cabo teniendo en cuenta la
seguridad. Los riesgos existentes son elevados,
ya que se puede poner en riesgo la continuidad de
la operación y el acceso no autorizado a
información confidencial. Se debe trabajar en
conjunto con el área de IT y Auditoría para
coordinar la gestión y el monitoreo de los
Hypervisors.
25- Preguntas?
- Muchas Gracias
- Julio César Ardita, CISM
- jardita_at_cybsec.com