Post on 08-Jul-2020
Virtualizando de forma segura
www.isaca.org.uy
Julio César Ardita, CISMjardita@cybsec.com
Agenda
- Evolución de la virtualización
- Seguridad en virtualización de Servidores
- Seguridad en virtualización de la red
www.isaca.org.uy
- Seguridad en virtualización de la red
- Conclusiones
Evolución de la virtualización
Cuando hablamos de virtualización, la visión de IT incluye:- Reducción de costos- Gestión y administración simplificada de infraestructura- Mejora de los niveles de servicio- Facilidad de disponer de entornos de desarrollo/testing
www.isaca.org.uy
- Facilidad de disponer de entornos de desarrollo/testing
La visión de seguridad incluye:- “Sensación” de mejor y mayor control- Por FIN vamos a poder hacer el BCP!!!- Nuevos riesgos y amenazas
Formas de Virtualización
Evolución de la virtualización
www.isaca.org.uy
Uso actuala nivel deServidoresy Desktops
Cuidadocon el usolocal !!!
Modelo sin virtualización
Seguridad:Problemáticas
Seguridad en virtualización de Servidores
www.isaca.org.uy
Problemáticas de seguridadconocidas.
Virtualización y Consolidación de Servidores
Seguridad en virtualización de Servidores
www.isaca.org.uy
Virtualización total de Servidores
Seguridad en virtualización de Servidores
www.isaca.org.uy
Virtualización total de Servidores Datacenter
Seguridad en virtualización de Servidores
www.isaca.org.uy
Riesgos existentes:- “Aprender” la seguridad de una nueva tecnología
- Seguridad del Server HOST o del Storage (Permisos de acceso a las maquinas virtuales)
Seguridad en virtualización de Servidores
www.isaca.org.uy
acceso a las maquinas virtuales)
SAN
Riesgos existentes:- Diseño de la seguridad de la virtualización
Mail/Win DC/Win AS/Linux
Seguridad en virtualización de Servidores
www.isaca.org.uy
Internet LAN
DMZ Red Lan Interna
Riesgos existentes:- Diseño de la seguridad de la virtualización
Mail/Win DC/Win AS/Linux
FW
Seguridad en virtualización de Servidores
www.isaca.org.uy
Internet LAN
DMZ Red Lan Interna
Físico
Riesgos existentes:- Administración segura del Hypervisor. El acceso se
debe realizar a través de la red de management. En lo posible el Hypervisor no debe tener una IP propia asignada en el segmento LAN.Si posee una dirección IP, debe DC/W2k AS/Linux
Seguridad en virtualización de Servidores
www.isaca.org.uy
Si posee una dirección IP, debeestar filtrada solo a los usuariosautorizados.
LAN
DC/W2k AS/Linux
Management
Riesgos existentes:- Seguridad del Hypervisor o Sistema Operativo Host
- Vulnerabilidades del Hypervisor
Seguridad en virtualización de Servidores
www.isaca.org.uy
- Aplicación de patches de seguridad a nivel de Hypervisor.
Riesgos existentes:- Seguridad del Hypervisor o Sistema Operativo Host
- Vulnerabilidades del Hypervisor
Seguridad en virtualización de Servidores
www.isaca.org.uy
- Aplicación de patches de seguridad a nivel de Hypervisor.
Riesgos existentes:- Seguridad del Hypervisor o Sistema Operativo Host
- Vulnerabilidades del Hypervisor
Seguridad en virtualización de Servidores
www.isaca.org.uy
- Aplicación de patches de seguridad a nivel de Hypervisor.
Riesgos existentes:- Gestión de roles de administraciónSe deben definir los roles de administracióndel Hypervisor incluyendo creación, apagado,encendido, clonación, movimiento, etc. de las
Seguridad en virtualización de Servidores
www.isaca.org.uy
encendido, clonación, movimiento, etc. de las máquinas virtuales existentes.
Admin (sobre) AuditoríaAdmin full (no puede admin roles) Admin red virtualAdmin Hypervisor Seguridad InformáticaAdmin VM
Riesgos existentes:- Monitoreo de logs del HypervisorCentralización de logs del hypervisor y monitoreo de losmismos para detección de anomalías.
Seguridad en virtualización de Servidores
www.isaca.org.uy
VEEAM – Administración, backup, centralización de LOGS.
Modelo de redestándar
Seguridad en virtualización de la red
www.isaca.org.uy
Host (Hypervisor)
Grupo de Grupo de
MV0 MV1 MV2 MV3
Máquina virtual (MV)
Máquina virtual (MV)
NIC virtual (vnic)
NIC virtual (vnic)
Consola de servidor (puerto de gestión)Consola de servidor (puerto de gestión)
Vmkernel(puerto para IP
Storage y VMotion)
Vmkernel(puerto para IP
Storage y VMotion)
Anatomía de la red virtual
ADM vmkernel
Seguridad en virtualización de la red
www.isaca.org.uy
Switch virtual(vSwitch)
Switch virtual(vSwitch)
vSwitch
Grupo de puertos
Grupo de puertos
NIC física (vmnic o pnic)
NIC física (vmnic o pnic)
Switch físicoSwitch físico
LAN
Primera etapa de virtualización
Seguridad en virtualización de la red
www.isaca.org.uy
Y si tengo muchas zonas de seguridad.
Consola de servidor
MV0 MV1
vmkernel
vSwitch
Consola de servidor
MV0 MV1
vmkernel
Consola de servidor
MV0 MV1
vmkernel
vSwitch
Consola de servidor
MV0 MV1
vmkernel
vSwitch
Consola de servidor
MV0 MV1
vmkernel
Seguridad en virtualización de la red
www.isaca.org.uy
¿Cómo aprovecho latecnología de virtualización?
vSwitch
Consola de servidor
MV0 MV1
vmkernel
vSwitch
vSwitch
Consola de servidor
MV0 MV1
vmkernel
vSwitch
MV0 MV1 MV2 MV3 MV0 MV1
Entidades
MV2 MV3
Segunda etapa de virtualización
Seguridad en virtualización de la red
www.isaca.org.uy
DMZ1 DMZ2 Proveedores EntidadesExternas
LAN
DMZ 1
MV0 MV1 MV2 MV3 MV2 MV3 MV2 MV3
DMZ 2 Proveedores Ent. Externas
ADM- Utilización de rolespara segregar las tareas
Consideraciones:
Firewalls virtuales
www.isaca.org.uy
Internet
LAN
LAN ADM
para segregar las tareasde administración.
- Documentaradecuadamente.
- Implementarmonitoreo de logs.
Conclusiones
El proceso y diseño de virtualización se debe llevar a caboteniendo en cuenta la seguridad.
Los riesgos existentes son elevados, ya que se puede
www.isaca.org.uy
Los riesgos existentes son elevados, ya que se puedeponer en riesgo la continuidad de la operación y el accesono autorizado a información confidencial.
Se debe trabajar en conjunto con el área de IT y Auditoríapara coordinar la gestión y el monitoreo de los Hypervisors.
¿Preguntas?
www.isaca.org.uy
Muchas Gracias
Julio César Ardita, CISMjardita@cybsec.com