|
Al desplegar una computación en la nube de infraestructura como servicio (IaaS) local, debe haber una consideración amplia de seguridad, lo que significa que la organización debe considerar no solo cumplir con las mejores prácticas de seguridad, sino también cumplir con los requisitos regulatorios. En este artículo, hablaremos de cómo controlar instancias de máquinas virtuales, plataformas de gestión y la infraestructura de red y almacenamiento que soporta las implementaciones de IaaS. Instancias de máquinas virtuales Primero, el sistema operativo y las aplicaciones de la máquina virtual (VM) deben estar bloqueados y configurados correctamente usando las reglas existentes, como las directrices de configuración del Internet Security Center (CIS). Una gestión adecuada de las máquinas virtuales también da lugar a medidas de gestión de configuración más robustas y consistentes. La clave para crear y gestionar configuraciones de seguridad en instancias de máquinas virtuales es el uso de plantillas. Es recomendable que los administradores creen una "imagen dorada" para inicializar todas las máquinas virtuales en la computación en la nube. Debe establecer esta plantilla de referencia e implementar controles estrictos de revisión para garantizar que todos los parches y otras actualizaciones se apliquen de manera oportuna. Muchas plataformas de virtualización proporcionan controles específicos para garantizar la seguridad de las máquinas virtuales; Los usuarios empresariales deberían aprovechar al máximo estas funciones. Por ejemplo, la configuración de la máquina virtual de VMware restringe específicamente las operaciones de copiar y pegar entre la máquina virtual y el hipervisor subyacente, lo que puede ayudar a evitar que datos sensibles se copien a la memoria y al portapapeles del hipervisor. Los productos de Microsoft Corporation y la plataforma Citrix System ofrecen funcionalidades limitadas similares de copiar y pegar. Otras plataformas también ofrecen funciones para ayudar a las empresas a desactivar dispositivos innecesarios, establecer parámetros de registro y más. Además, al asegurar instancias de máquinas virtuales, asegúrate de aislar las máquinas virtuales que se ejecutan en diferentes regiones de computación en la nube según los principios estándar de clasificación de datos. Debido a que las máquinas virtuales comparten recursos de hardware, ejecutarlas en la misma región de computación en la nube puede provocar colisiones de datos en la memoria, aunque la probabilidad de tales conflictos es hoy en día extremadamente baja. Plataforma de gestión La segunda clave para asegurar un entorno virtual es asegurar la plataforma de gestión que interactúa con la máquina virtual y configura y monitoriza el sistema de hipervisores subyacente en uso. Estas plataformas, como vCenter de VMware, System Center Virtual Machine Manager (SCVMM) de Microsoft y XenCenter de Citrix, cuentan con sus propios controles de seguridad locales que pueden implementarse. Por ejemplo, Vcenter suele instalarse en Windows y hereda el rol de administrador local con privilegios del sistema, a menos que los roles y permisos relevantes se modifiquen durante el proceso de instalación. En lo que respecta a las herramientas de gestión, garantizar la seguridad de la base de datos de gestión es fundamental, pero muchos productos no cuentan con seguridad integrada por defecto. Lo más importante es que los roles y permisos deben asignarse a diferentes roles operativos dentro de la plataforma de gestión. Aunque muchas organizaciones cuentan con un equipo de virtualización que gestiona las operaciones de las máquinas virtuales dentro de la nube IaaS, no conceder demasiados permisos dentro de la consola de gestión es clave. Recomiendo conceder permisos a los equipos de almacenamiento, redes, administración de sistemas y otros, igual que se haría en un entorno tradicional de centro de datos. Para herramientas de gestión en la nube como vCloud Director y OpenStack, los roles y permisos deben asignarse cuidadosamente, y deben incluirse diferentes usuarios finales de máquinas virtuales en la nube. Por ejemplo, el equipo de desarrollo debería disponer de máquinas virtuales para sus tareas laborales que deberían estar aisladas de las máquinas virtuales utilizadas por el equipo financiero. Todas las herramientas de gestión deberían estar aisladas en un segmento de red separado, y es recomendable requerir acceso a estos sistemas a través de un "jump box" o una plataforma proxy segura dedicada como HyTrust, donde se pueda establecer una autenticación fuerte y una monitorización centralizada de usuarios. Infraestructura de red y almacenamiento Aunque asegurar la red y el almacenamiento que impulsan la computación en la nube IaaS es una tarea amplia, existen algunas buenas prácticas generales que deberían implementarse. Para entornos de almacenamiento, recuerda que, como cualquier otro archivo sensible, debes proteger tu máquina virtual. Algunos archivos almacenan memoria válida o instantáneas de memoria (que pueden ser las más sensibles, como las que pueden contener credenciales de usuario y otros datos sensibles), mientras que otros representan el disco duro completo del sistema. En ambos casos, el archivo contiene datos sensibles. Es fundamental que los números de unidades lógicas (LUNs) y las zonas/dominios separados en un entorno de almacenamiento puedan aislar sistemas con diferentes sensibilidades. Si existe cifrado a nivel de red de área de almacenamiento (SAN), considera si es aplicable. En el lado de la red, es importante asegurarse de que los segmentos CIDR individuales estén aislados y bajo el control de redes de área local virtual (VLANs) y controles de acceso. Si los controles de seguridad de gran grado son imprescindibles en un entorno virtual, las empresas pueden considerar el uso de cortafuegos virtuales y dispositivos de detección de intrusiones virtuales. La plataforma vCloud de VMware está integrada con su sistema de seguridad virtual vShield, mientras que otros productos de proveedores tradicionales de red también están disponibles. Además, deberías considerar segmentos de red donde datos sensibles de máquinas virtuales pueden transmitirse en texto plano, como las redes vMotion. En este entorno VMware, los datos de memoria en texto plano se transfieren de un hipervisor a otro, haciendo que los datos sensibles sean vulnerables a fugas. conclusión Cuando se trata de proteger entornos virtuales o computación privada en la nube IaaS, los controles en estas tres áreas son solo la punta del iceberg. Para más información, VMware dispone de una serie de guías prácticas detalladas de endurecimiento para evaluar controles específicos, y OpenStack ofrece una guía de seguridad en su página web. Siguiendo algunas prácticas básicas, las empresas pueden crear su propia computación en la nube IaaS interna y asegurarse de cumplir con sus propios estándares y todos los demás requisitos necesarios del sector.
| 
Publicado en 20/10/2014 10:49:09
|
|
|
