Workshop Seguridad en entornos...

WorkshopWorkshop

Seguridad en entornos virtualesSeguridad en entornos virtuales

12 de Marzo de 2013

Buenos Aires - Argentina

Iván Daniel [email protected]

La La La La virtualizaciónvirtualizaciónvirtualizaciónvirtualización no es solo un cambio de no es solo un cambio de no es solo un cambio de no es solo un cambio de

tecnologíatecnologíatecnologíatecnología

Seguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtualesSeguridad en entornos virtuales

2222

tecnologíatecnologíatecnologíatecnología

AgendaAgendaAgendaAgenda

• Tipos de virtualización

• Principales Riesgos

• Etapas


• Consideraciones de seguridad

• Roles

Tipos de

virtualizaciónvirtualización


Tipos de Tipos de Tipos de Tipos de virtualizaciónvirtualizaciónvirtualizaciónvirtualización

VirtualizaciónVirtualizaciónVirtualizaciónVirtualización de plataformasde plataformasde plataformasde plataformas

Se trata de simular una máquina real (servidor o pc) con

todos sus componentes.

En general hay un software anfitrión que es el que se

encarga de controlar las diferentes capacidades de las

5555

encarga de controlar las diferentes capacidades de las

distintas máquinas virtuales.

La capacidad de virtualización siempre estará dada por el

hardware del equipo físico.

VirtualizaciónVirtualizaciónVirtualizaciónVirtualización de dispositivosde dispositivosde dispositivosde dispositivos

Se busca simular un dispositivo real (switch o firewall) a

través de un software anfitrión alojado en un hardware real.

En si, es exactamente igual a la virtualización de plataformas,

ya que lo que se esta virtualizando en este caso es el



6666

ya que lo que se esta virtualizando en este caso es el

sistema operativo del dispositivo en cuestión.

VirtualizaciónVirtualizaciónVirtualizaciónVirtualización de recursosde recursosde recursosde recursos

Este tipo de virtualización nos permite agrupar varios

dispositivos físicos para que sean vistos como uno solo, al

contrario de las virtualizaciones mencionadas previamente

donde se buscaba dividir un recurso en varios independientes.



7777

Principales

riesgosriesgos

Principales riesgosPrincipales riesgosPrincipales riesgosPrincipales riesgos

• Problemas de disponibilidad causados por errores en el

dimensionamiento de recursos de Hardware.

• Ataques de red por falta de controles de seguridad en el

entorno virtual (Switch, FW, IPS)


9999

• Ataques contra los servicios de la plataforma de

virtualización debido a la implementación de una topología

de red insegura.

• Errores de configuración que pueden impactar en la

seguridad, ya que la tecnología de virtualización es

compleja.

EtapasEtapas

EtapasEtapasEtapasEtapas

El camino hacia la El camino hacia la El camino hacia la El camino hacia la virtualizaciónvirtualizaciónvirtualizaciónvirtualización segurasegurasegurasegura


11111111

Planificación Migración Gestión

Seguridad en

servidoresservidores

Seguridad en servidoresSeguridad en servidoresSeguridad en servidoresSeguridad en servidores

Configuración del BIOSConfiguración del BIOSConfiguración del BIOSConfiguración del BIOS

El bios debe estar configurado adecuadamente, y el booteo

debe estar definido desde la unidad que contenga el sistema

operativo principal.

Se recomienda que esta configuración este protegida por una


13131313

Se recomienda que esta configuración este protegida por una

contraseña, la cual se deberá resguardar bajo el concepto de

sobre cerrado.


Actualizaciones del sistemaActualizaciones del sistemaActualizaciones del sistemaActualizaciones del sistema

El fabricante del sistema operativo normalmente publica

periódicamente actualizaciones las cuales solucionan

vulnerabilidades, problemas de seguridad o de funcionamiento.

Por este motivo se recomienda que el sistema operativo, esté


14141414

Por este motivo se recomienda que el sistema operativo, esté

actualizado al día.


UsuariosUsuariosUsuariosUsuarios

El manejo de los usuarios debe estar centralizado, mas que

nada porque facilita el control de dichas cuentas y a su vez,

en caso de existir, les podrían aplicar las políticas globales de

la compañía y mantendrían la seguridad que ya se encuentre

implementada a nivel de dominio.


15151515

implementada a nivel de dominio.

Es considerada una buena práctica de seguridad que el

entorno este integrado a un servicio de directorio como por

ejemplo Active Directory.


Conexiones de administraciónConexiones de administraciónConexiones de administraciónConexiones de administración

Para una administración controlada de los diversos host, se

recomienda utilizar un solo camino de conexión, es decir,

cerrar métodos alternativos de administración como por

ejemplo SSH.


16161616



Si se cuenta con la solución de vCenter de VMWare se

recomienda configurar el Lockdown mode sobre cada host.

Este modo cierra todos los caminos de comunicación directas

hacia los host y nos obliga a administrar todo a través de

vCenter Server.


17171717

vCenter Server.



Adicionalmente se recomienda configurar un tiempo de vida

de la sesión, para que ante un eventual olvido de la consola

la misma se pueda cerrar sola luego de un cierto periodo de

tiempo.


18181818

tiempo.


Consideraciones sobre las Máquinas VirtualesConsideraciones sobre las Máquinas VirtualesConsideraciones sobre las Máquinas VirtualesConsideraciones sobre las Máquinas Virtuales

A cada máquina virtual principalmente se la debe tratar como

tradicionalmente se trataba a los servidores físicos, es decir,

aplicarle los estándares de seguridad para cada plataforma.

Se recomienda que el hardware virtual asignado sea el que


19191919

Se recomienda que el hardware virtual asignado sea el que

necesite para cumplir sus funciones y no hayan dispositivos

agregados de más y que los discos estén configurados con

su capacidad de almacenamiento fijo.

RolesRoles

RolesRolesRolesRoles

Administración del entorno virtualAdministración del entorno virtualAdministración del entorno virtualAdministración del entorno virtual

Al entorno virtual para poder administrarlo adecuadamente

hay que verlo como si fuese un centro de cómputos, es decir,

un lugar donde se encuentran servidores, cableados,

dispositivos de red, storage y recursos humanos.


21212121

Para poder administrarlo no solo es necesario el especialista

en la solución de virtualización, sino que es necesario todo un

equipo de trabajo que incluya especialistas en las distintas

áreas tal como existen tradicionalmente en el medio físico.



• Administrador de Hypervisor

• Administrador de Máquinas Virtuales

• Administrador de Red


22222222

• Administrador de Red

• Auditoria

• Seguridad Informática

Administrador de Administrador de Administrador de Administrador de HypervisorHypervisorHypervisorHypervisor

Tiene la responsabilidad de realizar cambios en la plataforma,

como el Alta Baja y Modificación de maquinas virtuales. No

deberá tener la capacidad de apagar ni encender máquinas

virtuales como tampoco realizar configuraciones de red.



23232323

Administrador de Máquinas VirtualesAdministrador de Máquinas VirtualesAdministrador de Máquinas VirtualesAdministrador de Máquinas Virtuales

Tienen la capacidad de administrar las máquinas virtuales,

pueden cambiar el estado de ejecución de las mismas,

encenderlas, apagarlas y tomar snapshots.



24242424

Administrador de RedAdministrador de RedAdministrador de RedAdministrador de Red

Tiene la responsabilidad de administrar los componentes de

red, como los switches virtuales, los adaptadores de red, las

VLANs, etc.



25252525

AuditoriaAuditoriaAuditoriaAuditoria

Este rol tiene privilegios de acceso de solo lectura para poder

visualizar las distintas configuraciones del host.



26262626

Seguridad InformáticaSeguridad InformáticaSeguridad InformáticaSeguridad Informática

Este rol tiene la funcionalidad de gestionar los roles para los

diversos usuarios.



27272727

Muchas GraciasMuchas Gracias

[email protected]

Iván Daniel Fiedoruk

Workshop Seguridad en entornos...

Documents

Transcript of Workshop Seguridad en entornos...