Proyector
Jun 10 2016
Entornos virtuales: ¿Por qué la microsegmentación es importante para la seguridad de los sistemas?

Los ambientes puramente físicos están en retirada. Tal vez por eso, la posibilidad de virtualizar las redes permite poner en práctica esquemas de seguridad más efectivos, que trascienden a la tradicional vigilancia perimetral de la red. Con la red virtualizada, la seguridad está embebida en el mismo hipervisor, de modo que —literalmente— está adherida a cada máquina virtual dinámicamente en un esquema que tiene mucho más sentido que el tradicional. Hablamos con Octavio Duré, gerente de Ingeniería de Software para el Sur de América Latina de VMware para entender cómo funciona esta arquitectura y los beneficios que aporta a la red.

Hubo un tiempo en que los servidores eran cajas físicas, bien delimitadas. Luego, siguiendo una senda que ya habían abierto los mainframes, las máquinas se volvieron entidades virtuales dentro de los servidores físicos, y esa virtualidad permitió no sólo consolidar los equipos, sino que aportó una gran flexibilidad en el centro de datos, redujo drásticamente los tiempos de aprovisionamiento de ambientes, y habilitó el autoservicio. En última instancia, multiplicó la eficiencia y los ahorros. “Sin embargo, a la hora de configurar recursos complementarios para estos ambientes virtuales, tales como almacenamiento o servicios de red, nos hemos encontrado con un cuello de botella que ha impedido dotar de la misma agilidad al proceso completo para la generación de ambientes en los cuales ejecutar cargas de trabajo”, sostiene Octavio Duré, gerente de Ingeniería de Software VMware para SOLA, en un documento denominado “Virtualizando las redes para ganar Agilidad”.

Esto es particularmente cierto en la creación de servicios de Ruteo, Conmutación, Balanceo de Carga y definición de Reglas de Firewall, por involucrar la configuración de dispositivos físicos. “Demandan tiempo y recursos de especialistas en seguridad o expertos en redes que preferiríamos utilizar en tareas de mayor valor agregado, tales como la definición de arquitecturas de red eficientes y flexibles, que en la actualización de tablas de ruteo en un dispositivo de red”, explica Duré, y define: “SDN (Software Defined Networking) es la tecnología que ataca esta problemática. VMware NSX, nuestro producto estrella, nos permite utilizar los mismos conceptos exitosamente adoptados en la virtualzación de recursos de cómputo (CPU y memoria) para virtualizar ahora recursos de red”.

LA CUESTIÓN DE LA SEGURIDAD EN ENTORNOS VIRTUALES

Consultado por ITSitio.com, Duré explicó que la arquitectura de la seguridad tradicional se basa en la protección perimetral. En este esquema las organizaciones montan un firewall en el perímetro de la red, y a lo sumo una segunda protección que delimita una DMZ (zona desmilitarizada) para proteger al atacante de ataques externos. “Lo cierto es que, en este esquema, un ataque que vulnere el perímetro podrá luego desplazarse lateralmente de servidor en servidor, propagándose y exponiendo de este modo a todo el centro de datos”, puntualiza Duré.

El experto aclara que es conveniente que los equipos de Seguridad asuman que, más allá de las medidas que se tomen en cuanto a software y tecnologías de detección de intrusión, antivirus, detección de ataques, etc., en algún momento la seguridad será vulnerada. Se debe entonces tomar las medidas adecuadas para que el impacto sea el mínimo. “Evitar ese desplazamiento lateral ante un ataque que penetra nuestro perímetro, entonces, se transforma en una necesidad crítica”.

“La idea de montar un firewall al lado de cada servidor para protegerlos individualmente, si bien a priori puede parecer posible, es económica y operativamente inviable”, señala Duré, y agrega: “Pensemos en las dificultades adicionales cuando contamos con entornos virtualizados, en los cuales las máquinas virtuales (VMs) se mueven de un servidor a otro dinámicamente según las necesidades de recursos o situaciones de falla”.

Es aquí cuando la idea de virtualizar la red, llevando la funcionalidad básica (switching, routing, balanceo de carga y seguridad) a una capa de software (el hipervisor) comienza a tener mucho sentido. Imaginemos laarquitectura en la cual las reglas del firewall residen en el mismo hipervisor (en el kernel) sobre el cual se ejecutan las máquinas virtuales. E imaginemos la escalabilidad cuando el mismo hipervisor, se encarga del cumplimiento (enforcement) de dichas reglas. Entones, es como tener un firewall al lado de cada máquina virtual. Esto es la micro-segmentación.

Entre las múltiples ventajas de esta arquitectura podemos mencionar algunas de las más importantes:

Se impide la propagación lateral de aun ataque dentro del centro de datos.

En el momento de hacer el deployment de una VM, ésta ya va acompañada de sus reglas de seguridad.

Al retirar una VM, retiro también las reglas, evitando la proliferación de reglas olvidadas en un firewall como ocurre con frecuencia.

Es posible nomenclar reglas para que sean aplicadas automáticamente a todas las máquinas virtuales de cierto tipo (por ejemplo, web servers, o VMs para una unidad financiera, VMs para Bases de Datos, etc.)

Como le ejecución de reglas es distribuida, logro esquemas sumamente escalares, a mayor cantidad de hosts, mayor capacidad de procesamiento para seguridad.

Protejo celosamente escritorios virtuales, en los que los riesgos pueden ser mayores.

Es posible crear túneles seguros desde dispositivos móviles hasta la VM puntual con la cual se conecta (no ya a toda la red).

“Todas estas cuestiones hacen de la Virtualización de Redes la tecnología más disruptiva de la última década, aun cuando mencionamos en estos párrafos sólo las ventajas relacionadas con la seguridad, y no hemos hecho foco en otras ventajas como rapidez en el aprovisionamiento de ambientes completos (que incluyen servicios de red), independencia del hardware de red subyacente, y disminución del tráfico este-oeste (en un 70% estadísticamente)”, resume Duré.

Fuente: IT Sitio junio 2016