workshop seguridad en entornos...
TRANSCRIPT
WorkshopWorkshop
Seguridad en entornos virtualesSeguridad en entornos virtuales
12 de Marzo de 2013
Buenos Aires - Argentina
Iván Daniel [email protected]
La La La La virtualizaciónvirtualizaciónvirtualizaciónvirtualización no es solo un cambio de no es solo un cambio de no es solo un cambio de no es solo un cambio de
tecnologíatecnologíatecnologíatecnología
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
2222
tecnologíatecnologíatecnologíatecnología
AgendaAgendaAgendaAgenda
• Tipos de virtualización
• Principales Riesgos
• Etapas
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
• Consideraciones de seguridad
• Roles
Tipos de
virtualizaciónvirtualización
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
Tipos de Tipos de Tipos de Tipos de virtualizaciónvirtualizaciónvirtualizaciónvirtualización
VirtualizaciónVirtualizaciónVirtualizaciónVirtualización de plataformasde plataformasde plataformasde plataformas
Se trata de simular una máquina real (servidor o pc) con
todos sus componentes.
En general hay un software anfitrión que es el que se
encarga de controlar las diferentes capacidades de las
5555
encarga de controlar las diferentes capacidades de las
distintas máquinas virtuales.
La capacidad de virtualización siempre estará dada por el
hardware del equipo físico.
VirtualizaciónVirtualizaciónVirtualizaciónVirtualización de dispositivosde dispositivosde dispositivosde dispositivos
Se busca simular un dispositivo real (switch o firewall) a
través de un software anfitrión alojado en un hardware real.
En si, es exactamente igual a la virtualización de plataformas,
ya que lo que se esta virtualizando en este caso es el
Tipos de Tipos de Tipos de Tipos de virtualizaciónvirtualizaciónvirtualizaciónvirtualización
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
6666
ya que lo que se esta virtualizando en este caso es el
sistema operativo del dispositivo en cuestión.
VirtualizaciónVirtualizaciónVirtualizaciónVirtualización de recursosde recursosde recursosde recursos
Este tipo de virtualización nos permite agrupar varios
dispositivos físicos para que sean vistos como uno solo, al
contrario de las virtualizaciones mencionadas previamente
donde se buscaba dividir un recurso en varios independientes.
Tipos de Tipos de Tipos de Tipos de virtualizaciónvirtualizaciónvirtualizaciónvirtualización
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
7777
Principales
riesgosriesgos
Principales riesgosPrincipales riesgosPrincipales riesgosPrincipales riesgos
• Problemas de disponibilidad causados por errores en el
dimensionamiento de recursos de Hardware.
• Ataques de red por falta de controles de seguridad en el
entorno virtual (Switch, FW, IPS)
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
9999
• Ataques contra los servicios de la plataforma de
virtualización debido a la implementación de una topología
de red insegura.
• Errores de configuración que pueden impactar en la
seguridad, ya que la tecnología de virtualización es
compleja.
EtapasEtapas
EtapasEtapasEtapasEtapas
El camino hacia la El camino hacia la El camino hacia la El camino hacia la virtualizaciónvirtualizaciónvirtualizaciónvirtualización segurasegurasegurasegura
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
11111111
Planificación Migración Gestión
Seguridad en
servidoresservidores
Seguridad en servidoresSeguridad en servidoresSeguridad en servidoresSeguridad en servidores
Configuración del BIOSConfiguración del BIOSConfiguración del BIOSConfiguración del BIOS
El bios debe estar configurado adecuadamente, y el booteo
debe estar definido desde la unidad que contenga el sistema
operativo principal.
Se recomienda que esta configuración este protegida por una
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
13131313
Se recomienda que esta configuración este protegida por una
contraseña, la cual se deberá resguardar bajo el concepto de
sobre cerrado.
Seguridad en servidoresSeguridad en servidoresSeguridad en servidoresSeguridad en servidores
Actualizaciones del sistemaActualizaciones del sistemaActualizaciones del sistemaActualizaciones del sistema
El fabricante del sistema operativo normalmente publica
periódicamente actualizaciones las cuales solucionan
vulnerabilidades, problemas de seguridad o de funcionamiento.
Por este motivo se recomienda que el sistema operativo, esté
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
14141414
Por este motivo se recomienda que el sistema operativo, esté
actualizado al día.
Seguridad en servidoresSeguridad en servidoresSeguridad en servidoresSeguridad en servidores
UsuariosUsuariosUsuariosUsuarios
El manejo de los usuarios debe estar centralizado, mas que
nada porque facilita el control de dichas cuentas y a su vez,
en caso de existir, les podrían aplicar las políticas globales de
la compañía y mantendrían la seguridad que ya se encuentre
implementada a nivel de dominio.
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
15151515
implementada a nivel de dominio.
Es considerada una buena práctica de seguridad que el
entorno este integrado a un servicio de directorio como por
ejemplo Active Directory.
Seguridad en servidoresSeguridad en servidoresSeguridad en servidoresSeguridad en servidores
Conexiones de administraciónConexiones de administraciónConexiones de administraciónConexiones de administración
Para una administración controlada de los diversos host, se
recomienda utilizar un solo camino de conexión, es decir,
cerrar métodos alternativos de administración como por
ejemplo SSH.
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
16161616
Seguridad en servidoresSeguridad en servidoresSeguridad en servidoresSeguridad en servidores
Conexiones de administraciónConexiones de administraciónConexiones de administraciónConexiones de administración
Si se cuenta con la solución de vCenter de VMWare se
recomienda configurar el Lockdown mode sobre cada host.
Este modo cierra todos los caminos de comunicación directas
hacia los host y nos obliga a administrar todo a través de
vCenter Server.
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
17171717
vCenter Server.
Seguridad en servidoresSeguridad en servidoresSeguridad en servidoresSeguridad en servidores
Conexiones de administraciónConexiones de administraciónConexiones de administraciónConexiones de administración
Adicionalmente se recomienda configurar un tiempo de vida
de la sesión, para que ante un eventual olvido de la consola
la misma se pueda cerrar sola luego de un cierto periodo de
tiempo.
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
18181818
tiempo.
Seguridad en servidoresSeguridad en servidoresSeguridad en servidoresSeguridad en servidores
Consideraciones sobre las Máquinas VirtualesConsideraciones sobre las Máquinas VirtualesConsideraciones sobre las Máquinas VirtualesConsideraciones sobre las Máquinas Virtuales
A cada máquina virtual principalmente se la debe tratar como
tradicionalmente se trataba a los servidores físicos, es decir,
aplicarle los estándares de seguridad para cada plataforma.
Se recomienda que el hardware virtual asignado sea el que
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
19191919
Se recomienda que el hardware virtual asignado sea el que
necesite para cumplir sus funciones y no hayan dispositivos
agregados de más y que los discos estén configurados con
su capacidad de almacenamiento fijo.
RolesRoles
RolesRolesRolesRoles
Administración del entorno virtualAdministración del entorno virtualAdministración del entorno virtualAdministración del entorno virtual
Al entorno virtual para poder administrarlo adecuadamente
hay que verlo como si fuese un centro de cómputos, es decir,
un lugar donde se encuentran servidores, cableados,
dispositivos de red, storage y recursos humanos.
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
21212121
Para poder administrarlo no solo es necesario el especialista
en la solución de virtualización, sino que es necesario todo un
equipo de trabajo que incluya especialistas en las distintas
áreas tal como existen tradicionalmente en el medio físico.
RolesRolesRolesRoles
RolesRolesRolesRoles
• Administrador de Hypervisor
• Administrador de Máquinas Virtuales
• Administrador de Red
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
22222222
• Administrador de Red
• Auditoria
• Seguridad Informática
Administrador de Administrador de Administrador de Administrador de HypervisorHypervisorHypervisorHypervisor
Tiene la responsabilidad de realizar cambios en la plataforma,
como el Alta Baja y Modificación de maquinas virtuales. No
deberá tener la capacidad de apagar ni encender máquinas
virtuales como tampoco realizar configuraciones de red.
RolesRolesRolesRoles
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
23232323
Administrador de Máquinas VirtualesAdministrador de Máquinas VirtualesAdministrador de Máquinas VirtualesAdministrador de Máquinas Virtuales
Tienen la capacidad de administrar las máquinas virtuales,
pueden cambiar el estado de ejecución de las mismas,
encenderlas, apagarlas y tomar snapshots.
RolesRolesRolesRoles
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
24242424
Administrador de RedAdministrador de RedAdministrador de RedAdministrador de Red
Tiene la responsabilidad de administrar los componentes de
red, como los switches virtuales, los adaptadores de red, las
VLANs, etc.
RolesRolesRolesRoles
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
25252525
AuditoriaAuditoriaAuditoriaAuditoria
Este rol tiene privilegios de acceso de solo lectura para poder
visualizar las distintas configuraciones del host.
RolesRolesRolesRoles
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
26262626
Seguridad InformáticaSeguridad InformáticaSeguridad InformáticaSeguridad Informática
Este rol tiene la funcionalidad de gestionar los roles para los
diversos usuarios.
RolesRolesRolesRoles
Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales
27272727