Ultimamente está de moda el tema de la virtualización, que permite una reducción de costes importante (menos hardware, menos espacio en el CPD, menos mantenimiento, etc), además de haber cambiado sustancialmente el uso que teníamos de diversos Sistemas Operativos (ahora es común tener varios sistemas operativos con diferentes versiones para test de aplicaciones, analizar malware, configurar un escenario de pruebas, etc.)

Casi siempre que se habla de virtualización, se habla de todas sus virtudes, pero muy pocas veces se piensa en las implicaciones que puede tener pasar de tener un sistema operativo por máquina, a tener pocas máquinas y muchos sistemas operativos.

Pensemos en todo nuestro hardware que tenemos en nuestra red interna: cortafuegos internos, NAC, IDS/IPS, etc. Tenemos todos estos elementos funcionando y protegiendo nuestra red. Pero, ¿y qué ocurre con la comunicación entre máquinas virtuales dentro de un mismo servidor? ¿Están cumpliendo mi política de seguridad?¿Controlo las máquinas virtuales que están corriendo?¿Qué ocurre si una de esas máquinas se infecta con un gusano atacando el servicio RPC, tengo algo que pueda bloquear ese acceso y no infectar al resto? ¿Qué ocurre si tengo una máquina donde tengo diversas máquinas virtuales para mis proveedores?

La verdad que en este escenario tenemos muy difícil el poder analizar con un IDS/IPS el tráfico entre máquinas virtuales, filtrar o controlar el acceso físico a la red, por lo que hasta que los fabricantes vayan evolucionando sus productos para contemplar esta situación (cortafuegos virtuales, NAC virtuales, etc.), tendremos que buscar medidas alternativas. ¿Cuáles conocéis?


David Barroso
S21sec (http://www.s21sec.com) labs

Bueno tienes otra opción, en tu sistema virtualizado le instalas también tu sistema de seguridad, anitivirus, firewall.... de esta forma estarás completamente seguro de que tu sistema virtualizado es seguro.

Saludos

Siguiendo con el tema que comentamos hace unos días, donde hablabamos de los riesgos inherentes a los entornos virtuales que muy poca gente toma a consideración, existen diversos movimientos en el mercado de la seguridad que nos demuestran que no todo el mundo se ha dormido en los laureles.

Sin ir más lejos, Cisco hace casi un año invirtió en VMware varias decenas de millones, además de que su presidente, John Chambers (http://tools.cisco.com/dlls/tln/page/executives/chambers) (que por cierto, es un presentador excelente), fue uno de los conferenciantes en la keynote de VMworld (http://www.vmworld.com/vmworld/home.jspa) 2007. Todos los rumores apuntan a que dentro de poco veremos un switch Cisco virtual corriendo en ESX; está claro que Cisco se ha dado cuenta de la buena oportunidad que tiene.

Buscando en Internet sobre proveedores de productos que puedan ayudarnos a protegernos en entornos virtuales, pude comprobar que existen ya varios productos que intentar cubrir el gap entre entornos reales y físicos: VirtualShield (http://www.bluelane.com/products/virtualshield/) de Blueline, ReflexVSA (http://www.reflexsecurity.com/products/reflexvsa.php) de Reflex, ...


http://img508.imageshack.us/img508/82/reflexvsadeploykw0.png

Pero no sólo hay empresas que se preocupan por el tema, la propia VMware, el verano pasado adquirió la empresa Determina (http://www.determina.com/), que tenia varios productos como Memory Firewall, o LiveShield orientados a protección entre máquinas virtuales.

Así que en breve nos tocará modificar nuestras políticas de seguridad, procedimientos, formación y como no, nuestros presupuestos: ya no contentos sólo con todos nuestros dispositivos de seguridad, tendremos que fijarnos en dispositivos virtuales, pero eso sí, al menos no ocupan sitio en nuestros racks.


David Barroso
S21sec labs