Vous êtes sur la page 1sur 25

Virtualizando de forma segura

Julio Csar Ardita, CISM


jardita@cybsec.com

www.isaca.org.uy

Agenda
- Evolucin de la virtualizacin
- Seguridad en virtualizacin de Servidores
- Seguridad en virtualizacin de la red
- Conclusiones

www.isaca.org.uy

Evolucin de la virtualizacin
Cuando hablamos de virtualizacin, la visin de IT incluye:
- Reduccin de costos
- Gestin y administracin simplificada de infraestructura
- Mejora de los niveles de servicio
- Facilidad de disponer de entornos de desarrollo/testing
La visin de seguridad incluye:
- Sensacin de mejor y mayor control
- Por FIN vamos a poder hacer el BCP!!!
- Nuevos riesgos y amenazas

www.isaca.org.uy

Evolucin de la virtualizacin
Formas de Virtualizacin

Uso actual
a nivel de
Servidores
y Desktops
www.isaca.org.uy

Cuidado
con el uso
local !!!

Seguridad en virtualizacin de Servidores


Modelo sin virtualizacin

Seguridad:
Problemticas
de seguridad
conocidas.

www.isaca.org.uy

Seguridad en virtualizacin de Servidores


Virtualizacin y Consolidacin de Servidores

www.isaca.org.uy

Seguridad en virtualizacin de Servidores


Virtualizacin total de Servidores

www.isaca.org.uy

Seguridad en virtualizacin de Servidores


Virtualizacin total de Servidores

www.isaca.org.uy

Datacenter

Seguridad en virtualizacin de Servidores


Riesgos existentes:
- Aprender la seguridad de una nueva tecnologa
- Seguridad del Server HOST o del Storage (Permisos de
acceso a las maquinas virtuales)
SAN

www.isaca.org.uy

Seguridad en virtualizacin de Servidores


Riesgos existentes:
- Diseo de la seguridad de la virtualizacin
Mail/Win

DC/Win

AS/Linux

Internet

LAN
DMZ

www.isaca.org.uy

Red Lan Interna

Seguridad en virtualizacin de Servidores


Riesgos existentes:
- Diseo de la seguridad de la virtualizacin
Mail/Win

DC/Win

AS/Linux

FW
Fsico
Internet

LAN
DMZ

www.isaca.org.uy

Red Lan Interna

Seguridad en virtualizacin de Servidores


Riesgos existentes:
- Administracin segura del Hypervisor. El acceso se
debe realizar a travs de la red de management.
En lo posible el Hypervisor no debe tener una IP propia
asignada en el segmento LAN.
DC/W2k
AS/Linux
Si posee una direccin IP, debe
estar filtrada solo a los usuarios
autorizados.
LAN
Management

www.isaca.org.uy

Seguridad en virtualizacin de Servidores


Riesgos existentes:
- Seguridad del Hypervisor o Sistema Operativo Host
- Vulnerabilidades del Hypervisor
- Aplicacin de patches de
seguridad a nivel de
Hypervisor.

www.isaca.org.uy

Seguridad en virtualizacin de Servidores


Riesgos existentes:
- Seguridad del Hypervisor o Sistema Operativo Host
- Vulnerabilidades del Hypervisor
- Aplicacin de patches de
seguridad a nivel de
Hypervisor.

www.isaca.org.uy

Seguridad en virtualizacin de Servidores


Riesgos existentes:
- Seguridad del Hypervisor o Sistema Operativo Host
- Vulnerabilidades del Hypervisor
- Aplicacin de patches de
seguridad a nivel de
Hypervisor.

www.isaca.org.uy

Seguridad en virtualizacin de Servidores


Riesgos existentes:
- Gestin de roles de administracin
Se deben definir los roles de administracin
del Hypervisor incluyendo creacin, apagado,
encendido, clonacin, movimiento, etc. de las
mquinas virtuales existentes.
Admin (sobre)
Admin full (no puede admin roles)
Admin Hypervisor
Admin VM

www.isaca.org.uy

Auditora
Admin red virtual
Seguridad Informtica

Seguridad en virtualizacin de Servidores


Riesgos existentes:
- Monitoreo de logs del Hypervisor
Centralizacin de logs del hypervisor y monitoreo de los
mismos para deteccin de anomalas.
VEEAM Administracin, backup,
centralizacin de LOGS.

www.isaca.org.uy

Seguridad en virtualizacin de la red

Modelo de red
estndar

www.isaca.org.uy

Seguridad en virtualizacin de la red


Anatoma de la red virtual
Consola
Consola de
de servidor
servidor
(puerto
(puerto de
de gestin)
gestin)

Host (Hypervisor)
MV0

MV1

MV2

MV3

Mquina
Mquina
virtual
virtual (MV)
(MV)

ADM

vmkernel

NIC
NIC virtual
virtual
(vnic)
(vnic)
Grupo
Grupo de
de
puertos
puertos

vSwitch

Switch
Switch virtual
virtual
(vSwitch)
(vSwitch)

NIC
NIC fsica
fsica
(vmnic
(vmnic oo pnic)
pnic)

Switch
Switch fsico
fsico

LAN
www.isaca.org.uy

Vmkernel
Vmkernel
(puerto
(puerto para
para IP
IP
Storage
y
VMotion)
Storage y VMotion)

Seguridad en virtualizacin de la red


Primera etapa de virtualizacin

www.isaca.org.uy

Seguridad en virtualizacin de la red

Y si tengo muchas
zonas de seguridad.
Cmo aprovecho la
tecnologa de
virtualizacin?

www.isaca.org.uy

Seguridad en virtualizacin de la red


Segunda etapa de virtualizacin
MV
0

MV
1

DMZ1

MV
2

MV
3

DMZ2

MV
0

MV
1

MV
2

Entidades
Externas

Proveedores

LAN

www.isaca.org.uy

MV
3

MV
0

MV
1

MV
2

MV
3

MV
2

MV
3

MV
2

MV
3

Firewalls virtuales
DMZ 1

DMZ 2

Proveedores

Ent. Externas

Consideraciones:
- Utilizacin de roles
para segregar las tareas
de administracin.
- Documentar
adecuadamente.

ADM
ADM

Internet

ADM

LAN

- Implementar
monitoreo de logs.
LAN

www.isaca.org.uy

Conclusiones
El proceso y diseo de virtualizacin se debe llevar a cabo
teniendo en cuenta la seguridad.
Los riesgos existentes son elevados, ya que se puede
poner en riesgo la continuidad de la operacin y el acceso
no autorizado a informacin confidencial.
Se debe trabajar en conjunto con el rea de IT y Auditora
para coordinar la gestin y el monitoreo de los Hypervisors.

www.isaca.org.uy

Preguntas?
Muchas Gracias
Julio Csar Ardita, CISM
jardita@cybsec.com

www.isaca.org.uy