Alex - stock.adobe.com
Siga esta lista de verificación para la seguridad de virtualización
Los clústeres de conmutación por error, el cifrado y las prácticas de aplicación de parches pueden ayudar a los administradores a reforzar sus máquinas virtuales frente a las amenazas de seguridad en línea procedentes de fuentes como el malware y los malos actores.
Cada fallo de seguridad de software importante es otro recordatorio de que la seguridad debe ser la máxima prioridad de los ecosistemas de TI, independientemente de su disposición o diseño. Un entorno virtual inseguro expone a una organización a una serie de puntos de ataque potenciales, tanto si se trata de unas pocas máquinas virtuales como de un despliegue de contenedores a gran escala, por lo que el personal de TI debe mantener ciertas cosas bajo control.
Esta lista de comprobación de la seguridad de la virtualización incluye 10 pasos que puede seguir para ayudar a mantener segura la infraestructura de virtualización.
1. Minimizar la huella de la partición principal
Una de las acciones más importantes para garantizar la seguridad de un entorno virtualizado es minimizar la huella de la partición principal.
Hyper-V, por ejemplo, se instala como un rol de Windows Server. Minimizar la huella significa que no deben instalarse otros roles en ese servidor anfitrión. Además, el sistema operativo anfitrión debe ejecutar una configuración de núcleo de servidor, y no debe haber ningún software adicional instalado en la partición padre, aparte de los controladores y agentes necesarios para las copias de seguridad, la protección contra el malware o funciones de seguridad similares.
2. Utilizar el clustering de conmutación por error
La agrupación en clústeres de conmutación por error suele considerarse una función de alta disponibilidad que tiene poco que ver con la seguridad. Aun así, la agrupación en clústeres de su entorno virtualizado tiene ventajas de seguridad.
La principal ventaja es que la agrupación en clústeres de conmutación por error permite la aplicación de parches de forma rotatoria. Esto simplifica el proceso de gestión de parches y hace menos probable que los administradores pospongan la aplicación de parches de seguridad. La aplicación de parches de forma rotatoria le permite migrar en vivo las máquinas virtuales fuera del host que está siendo parchado, lo que permite que el host se reinicie sin interrupción. Una vez que ese host ha sido parchado, las máquinas virtuales vuelven al host y el proceso de parchado comienza en el siguiente host del clúster.
3. Crear segmentos de red dedicados
Utilice segmentos físicos de red dedicados para manejar ciertas tareas relacionadas con la infraestructura, como la gestión de datos de red y el almacenamiento. Las mejores prácticas varían de un hipervisor a otro, pero, como regla general, utilice segmentos físicos de red dedicados para soportar el tráfico de gestión y almacenamiento, así como la comunicación entre hosts, tal como el tráfico de migración.
4. Utilizar máquinas virtuales blindadas
Una VM blindada está encriptada a nivel del disco duro virtual para evitar su manipulación. Y lo que es más importante, debido a dónde se almacenan las claves de cifrado, una VM blindada solo puede iniciarse en un host autorizado. Esto previene que un administrador deshonesto copie una VM para examinar su contenido o ejecutarla en un host no autorizado.
5. Utilizar el control de acceso basado en roles
Aproveche el RBAC, que limita el número de permisos que se asignan a cualquier administrador de TI. En las grandes organizaciones, la mayoría de los administradores de virtualización suelen necesitar crear y gestionar máquinas virtuales y realizar tareas relacionadas. No necesitan realizar operaciones de bajo nivel en el host de virtualización. RBAC concede a los administradores de virtualización los permisos que necesitan para hacer su trabajo sin conceder permisos excesivos que puedan suponer un riesgo para la seguridad.
6. Vetar los discos duros virtuales antes de su uso en producción
Muchos proveedores ofrecen ciertos tipos de productos como dispositivos virtuales, incluyendo vCenter Server y Amazon Elastic Compute Cloud. Los dispositivos virtuales suelen consistir en un disco duro virtual que ya ha sido preparado para su uso. El administrador solo necesita asociarlo a una VM, iniciar la VM y realizar algunas tareas básicas de configuración.
Aunque los dispositivos virtuales son útiles, también pueden suponer una amenaza para la seguridad si no se conoce la configuración completa del disco duro, así como los datos almacenados. Compruebe todos los discos duros virtuales en un entorno de laboratorio antes de utilizarlos en entornos de producción.
7. Utilizar el arranque seguro siempre que sea posible
Siempre que sea posible, active el arranque seguro para sus máquinas virtuales. El arranque seguro protege la integridad del proceso de arranque y evita que el malware se introduzca en la secuencia de arranque. No todas las máquinas virtuales son compatibles con el arranque seguro, pero la mayoría sí. En un entorno Hyper-V, por ejemplo, las máquinas virtuales de segunda generación que ejecutan Windows o Linux en un sistema operativo invitado pueden utilizar el arranque seguro.
8. Utilizar solo versiones de SO compatibles
Una vez que un sistema operativo llega a su fecha de fin de vida, deja de recibir parches de seguridad. Las medidas de seguridad desfasadas lo hacen susceptible a cualquier vulnerabilidad que se descubra posteriormente. Esta directriz es válida tanto para el host de virtualización como para el SO invitado.
9. Instalar un sistema para desplegar parches rápidamente
Asegúrese de que su organización adopta una estrategia formalizada de gestión de parches. Cuando se publiquen nuevos parches, ya sea para el hipervisor o para las propias máquinas virtuales, éstos deben probarse y aplicarse lo antes posible.
El proceso de comprobación es importante porque de vez en cuando se publican parches con errores, que pueden causar problemas. Al mismo tiempo, los parches abordan vulnerabilidades de seguridad conocidas; un sistema sin parches es más susceptible de ser atacado. Las organizaciones deben encontrar un equilibrio entre dedicar el tiempo suficiente a probar los parches e instalarlos lo antes posible.
10. Cifre todo lo que pueda
Los datos deben permanecer seguros en todas las etapas –en movimiento y en reposo–, pero su equipo de TI debe cifrar los dispositivos de almacenamiento para proteger también las máquinas virtuales. Consulte las mejores prácticas para el hipervisor específico que utiliza su organización, pero debe cifrar la gestión, el almacenamiento y el tráfico relacionado con la migración. Asimismo, cifre los dispositivos de almacenamiento que contienen los archivos del disco duro virtual.