Cinco consejos para mejorar la seguridad en un sistema virtualizado

Las nuevas tecnologías de virtualización adolecen de los mismos riesgos de seguridad que los entornos físicos, aunque desde una perspectiva diferente, y es algo que debe ser prioritario en este tipo de migraciones.

Las amenazas potenciales en un sistema virtual o hipervisor suponen una amenaza para múltiples aplicaciones del entorno virtualizado. Por tanto, los riesgos son demasiado grandes como para que las empresas no se tomen en serio la puesta en marcha de medidas de seguridad sólidas y consistentes. Las tecnologías de virtualización están cada vez más presentes en los centros de datos, por lo que será mejor que tengas en cuenta estos consejos si quieres salir airoso de las amenazas que rodean a tu empresa:

1. Incluye la seguridad en los cálculos de costes totales de propiedad. Algo muy importante a la hora de pensar en entornos virtuales es el ahorro de costes que se consigue por la mejor utilización del servidor y su consolidación en el centro de datos (ahorros basados en reducciones de hardware y consumo energético del centro de datos). La seguridad necesita ser incluida en estos cálculos para poder tener una idea real de lo que nos estamos gastando. Por ejemplo, los dispositivos virtuales que realizan la monitorización, la detección de intrusos, la validación de rutas, el seguimiento y otros servicios de seguridad puede que necesiten ser instalados en cada plataforma física. Esto puede reducir el número de servidores virtuales que se alojan en cada puesto físico, lo que influye en el retorno de la inversión.

2. Hacer de la seguridad una prioridad en la fase del diseño de la virtualización. Las empresas necesitan monitorizar las métricas de seguridad así como su rendimiento dentro del mundo virtual –requiere que se tomen decisiones inteligentes a la hora de aislar las aplicaciones y sistemas-. Por ejemplo, aislar la información de la tarjeta de crédito a un único entorno virtual puede reducir enormemente el consumo eléctrico para la industria de las tarjetas de pago que realizan operaciones de comercio electrónico. Sin embargo, colocar el servidor Web en Internet para que tome la información de la tarjeta de crédito en el mismo equipo físico que el servidor que hace los inventarios y gestiona el seguimiento de las órdenes incrementa el peligro de acceso a datos comprometidos.

3. Monitorizar la red invisible. Mientras un entorno de servidor físico pasa los datos a través de una red física que puede ser monitorizada, un servidor se conecta a una red virtual, lo que hace que sea muy difícil la monitorización y la protección de los datos en tránsito. Las soluciones probadas para este problema en el mundo físico, como detección de intrusos y rastreadores, empiezan a ser adaptadas a los entornos virtuales. Otras soluciones que se barajan ya también son el aumento de la monitorización a nivel del hipervisor, gestión de rutas virtuales y herramientas para conducir las investigaciones de seguridad en sistemas virtualizados.

4. Controlar el almacenamiento portátil. El control del uso de dispositivos de almacenamiento personal nunca ha sido más importante que en el mundo virtual. La virtualización es una excelente tecnología para mejorar la recuperación, dada la naturaleza portátil y el tamaño de las imágenes del servidor virtual. Las empresas pueden comprar sus imágenes del sistema en un disco duro, llevarlas a un sitio de recuperación, conectarlas a los datos replicados y situarse muy por delante de los tiempos de recuperación habitual. Sin embargo, las unidades flash USB, las tarjetas digitales seguras y los iPods pueden proporcionar gigabytes de información portátil a cualquier usuario (suficiente para copiar unas cuantas imágenes de servidor y salir por la puerta). Por eso se hace necesario tener una solución de gestión para estos dispositivos, que proteja la información privada, confidencial y propia del negocio.

5. Mantenerse al día de los avances en seguridad para virtualización. En la conferencia DEFCON 2008, un empresa líder de seguridad mostró múltiples formas de poner en peligro hipervisores, que a su vez comprometieron los equipos de alojamiento virtual, expusieron los activos de la compañía como la información de las tarjetas de crédito, salarios y beneficios, y las estrategias e investigaciones propiedad de la empresa. Las organizaciones necesitan estar al corriente de lo que ocurre para desplegar las medidas apropiadas y, en algunos casos, poner en marcha otros mecanismos de control que puedan anticiparse a problemas para los que ahora no hay solución.

Estos cinco pasos reflejan una idea estratégica de que la protección de la información debe ser integral a las fases de evaluación, diseño e implantación de los entornos virtualizados si queremos proteger nuestros activos y responder a las exigencias de control. Con todas las empresas que ahora se decantan por la virtualización de sus sistemas, es necesario también examinar los riesgos fundamentales que existen antes de que sea demasiado tarde (es decir, hay que mirar la seguridad desde el principio).