La seguridad es una consideración primordial para las organizaciones actuales que utilizan soluciones tecnológicas para servicios críticos para el negocio. La mayoría de las empresas hoy en día están ejecutando la mayoría, si no toda, su infraestructura de producción dentro de entornos virtuales. A pesar del aumento de las soluciones basadas en contenedores, las máquinas virtuales siguen siendo el método principal de consumo de recursos para los entornos de producción actuales.
VMware vSphere sigue siendo la plataforma de virtualización líder de la empresa que ejecuta la mayoría de las máquinas virtuales empresariales de la actualidad. Con el lanzamiento de VMware vSphere 6.7, VMware continúa impulsando la innovación de la virtualización empresarial. Con VMware vSphere 6.7, existen nuevas tecnologías relacionadas con la seguridad de la virtualización en el ámbito de la máquina virtual VMware.
Echemos un vistazo a la protección de las mejores prácticas de máquinas virtuales de VMware vSphere 6.7 y veamos qué acciones recomendadas deben tomarse para garantizar la seguridad en la propia máquina virtual.
Asegurar las mejores prácticas de máquinas virtuales de VMware vSphere 6.7
Cuando se trata de un hipervisor, se trata de ejecutar máquinas virtuales. En términos generales, la máquina virtual desempeña el papel principal de brindar servicios y datos de producción. Estos pueden incluir la entrega de archivos, bases de datos, servicios de correo electrónico o aplicaciones. Además de proteger el propio hipervisor, VMware vSphere 6.7 debe tener en cuenta las consideraciones de seguridad de la máquina virtual que deben tenerse en cuenta e implementarse para garantizar que la propia máquina virtual esté bien protegida.
Veamos los siguientes puntos para considerar con la seguridad de la máquina virtual en VMware vSphere 6.7.
Protección general de máquinas virtuales
Implementar máquinas virtuales utilizando plantillas
Asegurando la Consola VM en vSphere
Limitar el uso de recursos de VM
Deshabilitar funciones de VM innecesarias
Utilice la seguridad basada en la virtualización y vTPM 2.0
Examinemos cada uno de estos con mayor profundidad para comprender cómo permiten una mejor seguridad a nivel de máquina virtual.
Protección general de máquinas virtuales
Cuando pensamos en una máquina virtual, puede haber un concepto erróneo en la percepción de que una máquina virtual es una entidad totalmente diferente a un servidor físico. Sin embargo, este no suele ser el caso cuando se trata de las mejores prácticas generales dentro del sistema operativo invitado. Esto incluye asegurarse de que lo siguiente esté en su lugar:
Aplicación de parches al sistema operativo invitado: el sistema operativo invitado que se ejecuta dentro de una máquina virtual, como un servidor físico, debe parcharse regularmente con los parches del sistema operativo invitado de Windows o Linux. La aplicación de parches del sistema operativo es una de las mejores protecciones contra muchas vulnerabilidades que tienden a comprometer las vulnerabilidades conocidas que estos parches resuelven. Mantener el ritmo de los datos garantiza la mejor seguridad dentro de la máquina virtual invitada desde la perspectiva del sistema operativo
Software antimalware: las máquinas virtuales, como los nodos físicos, generalmente necesitan tener algún tipo de software antimalware para garantizar el escaneo y la remediación de cualquier malware que pueda encontrarse en el sistema operativo invitado. Asegurarse de que el software antimalware esté actualizado y el escaneo correcto también es una prioridad cuando se piensa en seguridad
Control del acceso al puerto serie: los puertos serie permiten la conexión de dispositivos físicos a máquinas virtuales y se pueden conectar pasando estos dispositivos del host a la máquina virtual. La conexión de puerto serie puede permitir el acceso de bajo nivel a una máquina virtual que puede ser relevante desde un punto de vista de seguridad. La limitación de las máquinas virtuales que tienen acceso a puertos serie y las que tienen acceso para conectar estos dispositivos a las máquinas virtuales es una buena práctica desde el punto de vista de la seguridad.
Implementar máquinas virtuales utilizando plantillas
Al pensar en la seguridad de las máquinas virtuales, la implementación de máquinas virtuales a través de plantillas puede no ocupar un lugar destacado en la lista de objetivos de seguridad. Sin embargo, usar plantillas para implementar máquinas virtuales es una buena práctica de seguridad.
¿Por qué? Cada vez que un sistema operativo se carga manualmente y las aplicaciones se instalan de esta manera, existe el riesgo de que algo se pierda en cada sistema subsiguiente que se aprovisione. Al utilizar una plantilla de máquina virtual, está creando una imagen generalizada "maestra" de una máquina virtual y luego implementando cada máquina virtual subsiguiente desde esa imagen maestra. Siempre que la imagen maestra se verifique desde el punto de vista de la instalación y la seguridad, puede estar seguro de que cada máquina virtual aprovisionada de la máquina virtual maestra contendrá el mismo software instalado, aplicaciones, parches de seguridad y otra configuración que permita verificar la máquina virtual resultante. Está configurado correctamente y asegurado.
Asegurando la Consola VM en vSphere
La VM Console es un mecanismo poderoso para administrar una máquina virtual dentro de VMware vSphere. La VM Console es equivalente a tener un monitor conectado a un servidor. En el entorno de VMware vSphere, los usuarios con acceso a la consola también tienen acceso a la administración de energía, así como a la capacidad de conectar y desconectar dispositivos, medios, etc. Por lo tanto, puede ser realmente un vehículo peligroso para la administración en las manos equivocadas. .
¿Qué se recomienda desde el punto de vista de las mejores prácticas de seguridad?
Use el software de administración remota para acceder a los sistemas operativos invitados que se ejecutan dentro de una máquina virtual. Estos pueden incluir Microsoft Remote Desktop para máquinas virtuales de Windows o SSH para máquinas virtuales que ejecutan Linux
Conceda el acceso a la VM Console solo cuando sea necesario y limite el acceso a la VM Console a solo 1 conexión según la recomendación de mejores prácticas de configuración de seguridad
Procedimiento para limitar el número de conexiones de la Consola VM:
Encuentre la máquina virtual en el inventario de vSphere Web Client.
Para encontrar una máquina virtual, seleccione un centro de datos, carpeta, clúster, grupo de recursos o host
Haga clic en la pestaña Objetos relacionados y haga clic en Máquinas virtuales
Haga clic derecho en la máquina virtual y haga clic en Editar configuración
Seleccione las opciones de VM
Haga clic en Avanzado y haga clic en Editar configuración
Agregue o edite el parámetro RemoteDisplay.maxConnections y establezca el valor en 1
Haga clic en Aceptar
Limitar el uso de recursos de VM
De forma predeterminada, en VMware vSphere, una máquina virtual puede tomar tantos recursos como sea necesario al usar el hardware configurado que se encuentra en la máquina virtual. Todas las máquinas virtuales comparten recursos por igual. Si una máquina virtual en particular puede consumir tantos recursos que otras máquinas virtuales en el host tienen un rendimiento reducido o ya no pueden funcionar, podría ocurrir un ataque de denegación de servicio utilizando una máquina virtual.
Para evitar esto como una posibilidad, los recursos compartidos y los grupos de recursos se pueden usar para evitar un ataque de denegación de servicio que podría permitir que una máquina virtual consumiera todos los recursos disponibles. Para hacer esto:
Máquinas virtuales del tamaño adecuado con solo los recursos necesarios en el entorno de vSphere
Utilice los recursos compartidos para garantizar recursos a máquinas virtuales críticas
Agrupe máquinas virtuales con requisitos de recursos similares en grupos de recursos
Dentro de cada grupo de recursos, deje los recursos compartidos en el valor predeterminado para asegurarse de que cada VM tenga la misma prioridad de recursos
Esto garantizará que una sola VM no pueda monopolizar el uso de recursos en el host vSphere ESXi
Deshabilitar funciones de VM innecesarias
En el contexto de la seguridad, deshabilitar funciones de VM innecesarias tiene un propósito significativo. Cuando se mira una máquina virtual en comparación con un servidor físico, una de las diferencias es que una máquina virtual generalmente no requiere tantas funciones o servicios como un servidor físico. Eliminar todo lo que no es necesario dentro de una máquina virtual reduce la superficie de ataque y las vulnerabilidades de seguridad que pueden estar asociadas a esas funciones innecesarias.
¿Qué se puede incluir en las funciones innecesarias?
Servicios no utilizados: los servicios comunes, como los servicios de archivos o los servicios web, no deben ejecutarse dentro de una máquina virtual a menos que sean necesarios
Dispositivos físicos no utilizados: las unidades de CD / DVD, disquetes, USB, puerto serie y otros puertos conectados deben desconectarse o retirarse a menos que se estén utilizando / necesiten
Funcionalidad no utilizada: las carpetas compartidas de VMware y las operaciones de copiar / pegar se deben desactivar a menos que sea necesario
Salvapantallas - Deshabilitar salvapantallas
No ejecute X Windows sobre Linux si no es necesario: esto crea vulnerabilidades de seguridad a menos que sea necesario
Al disminuir la superficie de ataque y eliminar funciones innecesarias, la postura de seguridad de la máquina virtual aumenta considerablemente.
Utilice la seguridad basada en la virtualización y vTPM 2.0
La novedad de vSphere 6.7 es la capacidad de utilizar la seguridad basada en la virtualización que permite que las máquinas virtuales de vSphere sean compatibles con la nueva seguridad VBS de Microsoft en Windows 10 y Windows Server 2016 y superior. Esto permite un espacio protegido por hipervisor donde se almacenan las credenciales y otra información sensible, lo que hace que sea más difícil para un atacante robar las credenciales.
El TPM virtual ahora es posible con las máquinas virtuales vSphere 6.7, que permite mejorar en gran medida las características de seguridad de una máquina virtual invitada. La funcionalidad vTPM permite agregar un módulo virtualizado compatible con TPM 2.0 a una máquina virtual que se ejecuta dentro de vSphere 6.7. El sistema operativo invitado utiliza el módulo vTPM para almacenar información confidencial, proporcionar operaciones criptográficas y certificar la integridad de la plataforma VM.
Conclusiones
La seguridad es uno de los elementos clave de la infraestructura actual y debe considerarse en cada capa de los sistemas críticos para el negocio de hoy. VMware vSphere 6.7 proporciona nuevas características de seguridad clave que permiten llevar la seguridad de la infraestructura de hoy al siguiente nivel. Al considerar la protección de las mejores prácticas de máquinas virtuales de VMware vSphere 6.7, hay muchas maneras excelentes de garantizar la máxima posición de seguridad de las máquinas virtuales vSphere que ejecutan cargas de trabajo de producción. Muchas de estas mejores prácticas de seguridad se alinean con la seguridad física tradicional y la seguridad del sistema operativo invitado. Sin embargo, hay nuevas características en vSphere 6.7 como la seguridad basada en virtualización y Virtual TPM 2.0 que permiten aprovechar la nueva tecnología de seguridad para mejorar la seguridad en todo el panorama de las máquinas virtuales que se ejecutan en producción.
Traducido al español del blog de Vembu
Publicado por Brandon lee
Domotes es distribuidor mayorista en Colombia de VEMBU, solución de Backup y recuperación para ambientes virtuales. Si aun no conoce los beneficios que ofrece Vembu a su organización. Le invitamos a que nos visite y solicite una demostración sin compromisos en el formulario que aparece al pie de nuestra pagina. www.domotes.com