"Es más fácil engañar a la gente que convencerlos que fueron engañados"
[ Mark Twain - Escritor y humorista estadounidense - 1835-1910 ]


193 - Seguridad en ambientes VMware - 25/08/2013


En este Boletín, continuando con lo iniciado en el Boletín 184, analizamos la seguridad en entornos virtualizados con VMware, describiendo cada una de las capas que deben asegurarse.

Además, nos introducimos en un tema de máxima repercusión corporativa: la administración y seguridad de los dispositivos móviles y smartphones dentro de las organizaciones, a través de políticas de MDM (Mobile Device Management).

1. Seguridad en ambientes VMware
2. BYOD - Desmitificando MDM (Mobile Device Management)
3. Segu-Info busca autores
4. Apoya a Segu-Kids, Juntos en la Red
5. Desafío de la semana


1. Seguridad en ambientes VMware

Este artículo ha sido desarrollado por Willy Sehringer, quien está certificado como VMware Professional Partner y puede ser encontrado en su empresa y sitio web.

En el Boletín 185 de Segu-Info "¿Es segura la virtualización?" se hizo una introducción a entornos virtualizados, se mencionaron sus ventajas y se mencionaron algunas amenazas en el mundo real. En este Boletín se analizan los mismos en entornos VMware.

La virtualización es una estrategia de TI que ya se ha incorporado a las empresas, como todos sabemos trae grandes beneficios y hay abundante documentación que habla sobre ellos, hoy vamos a tratar un tema sobre algo que se habla poco, ¿cual es el impacto de esta nueva estrategia respecto de la seguridad informática?.

Muchas empresas luego de virtualizar manejan la seguridad del mismo modo que lo hacían en un entorno físico, vamos a analizar porque esto es un error ya que cuando consolidamos, consolidamos también diferentes zonas de seguridad en el mismo host, por lo cual la seguridad se vuelve aun más importante.

Para analizar el problema de la seguridad de la infraestructura virtual realizamos un modelo donde la dividimos en 4 capas independientes, no importa el esquema de infraestructura virtual que se posea, siempre puede dividirla en estas 4 capas y se necesita proteger cada una de ellas, a saber:

  • Capa Física: en esta capa tenemos los switches, tanto de la red de datos como de la red de Storage (que podría ser una red iSCSI o Fiber Channel), en un esquema físico si un atacante consigue acceso a un switch y a través de él a un servidor, podría acceder solo a las aplicaciones alojadas en ese servidor, en un esquema virtual, si un atacante accede a un host VMware esta accediendo a un conjunto de aplicaciones/servicios de nuestra infraestructura. Es como que en una infraestructura virtual tiene todo más al alcance de la mano lo cual podría ser catastrófico ya que esto se transforma en único punto de fallo. Es por ello que la seguridad en esta capa es fundamental.
  • Capa del Host Físico: en este nivel la máxima problemática es la configuración de las placas de conectividad, se separa tráfico de red por diferentes interfaces físicas, tenemos el tráfico de Management utilizado para la administración de la infraestructura virtual, tráfico de máquinas virtuales, tráfico de vMotion, tráfico de SVMotion, tráfico de SAN. Hay Placas de red, Storage Controllers, HBAs, etc. Hay que tener en cuenta que puede suceder si un atacante accede a la configuración y cambia la ruta del tráfico, o si accede a la lectura del tráfico, o lo modifica o lo roba. La estrategia en este nivel es proteger cada tipo de tráfico.
  • Capa de virtualización: es la duda mas grande de todas, ¿es seguro el hipervisor? Es la pregunta del millón.
  • Contenedor de máquinas virtuales: es donde se almacenan las máquinas virtuales mediante la encapsulación del sistema operativo y las aplicaciones.

Otro elemento a proteger es el vCenter, la herramienta de Management de VMware. Imagine la catástrofe si un atacante accede al vCenter, el mismo podría realizar cualquiera de las siguientes acciones sobre una máquina virtual: apagarla, encenderla, cambiar configuraciones, quitar accesos, mover una máquina virtual a una red insegura, etc.

En los próximos boletines analizaremos las estrategias de securización de cada una de las capas.

¡Gracias Willy!

2. BYOD - Desmitificando MDM (Mobile Device Management)

Este artículo ha sido originalmente publicado por Bill Police [1] en inglés y ha sido traducido de forma exclusiva para Segu-Info por Ing. Mauro Gioino.

Gartner, en su Glosario IT, define MDM (Mobile Device Management): "la Gestión de Dispositivos Móviles incluye el software que proporciona las funciones siguientes: distribución de software, gestión de políticas, gestión de inventario, gestión de la seguridad y la gestión de servicios para smartphones y tablets".

MDM permite a los administradores supervisar el funcionamiento de dispositivos inalámbricos a través de software descargado para el dispositivo Over-The-Air (OTA). Esto significa que los proveedores de MDM pueden asegurar su software OTA desde una aplicación que se descarga en el dispositivo. El software puede agregar ciertos softwares permitidos y luego proporciona información en el dispositivo.

Se puede acceder al documento completo en formato PDF desde nuestra sección Artículos de Terceros.

¡Gracias Mauro!

[1] Demystifying Mobile Device Management – Part 1: What Does MDM Do? y Part2: What MDM is NOT

3. Segu-Info busca autores

Segu-Info siempre está abierto a la publicación de documentos de interés desarrollados por la comunidad por lo que;

  • si te interesan la Seguridad de la Información,
  • si conoces de Legislación en Seguridad,
  • o, si la Seguridad de la Información es uno de tus temas de lectura/búsqueda preferidos...

Esta propuesta es para tí.

Segu-Info busca autores/escritores/redactores independientes que deseen compartir sus escritos/pensamientos/experiencias con la comunidad.

Para que Segu-Info siga siendo un lugar en donde la información es de todos y para todos, te invitamos a que seas parte. Si quieres compartir tus creaciones, contáctate con nosotros.

4. Apoya a Segu-Kids, Juntos en la Red

Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.

Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.

5. Desafío de la semana

Solución al desafío del Boletín anterior

Teniendo la serie original: 1, 10, 3, 9, 5, 8, 7, 7, 9, 6, ??, ??

Los próximos números de la serie son 11, 5, 13, 4,15, 3, 17, 2...

Son dos series: las posiciones impares, se incrementan en 2 y las pares se decrementan en 1.

Respondieron correctamente: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected],

Una mención especial para [email protected] quien ha desarrollado un algoritmo en C para resolver la serie.

Desafío de esta semana:

Dado el siguiente mensaje (número), ¿qué esconde? "47030773856052047"

Pista: quizás convenga pensar en dos y siete.

Con más de 19 años de experiencia compartiendo la mejor información de Seguridad

Contacto