Seguridad

Características a tener en cuenta si estamos considerando actualizar a VMware vSphere 5 (II)

En el primer artículo sobre características a tener en cuenta si estamos considerando actualizar a VMware vSphere 5, presentábamos las mejoras introducidas por la nueva versión a nivel técnico. En el artículo de hoy os presentaremos las novedades en relación a seguridad.

ESXi Firewall

A partir de la versión 5 de vSphere ha dejado de estar disponible el hypervisor ESX. Por lo tanto, VMware se ha asegurado en introducir características de seguridad en ESXi que antes no disponía. Por ejemplo ha añadido un firewall a ESXi (de igual modo que ESX tenía el firewall iptables) ajustado a las aplicaciones específicas que se inician en el Host. A diferencia de la mayoría de firewalls, es un firewall stateless que sólo protege el interfaz VMkernel, no protegiendo la red de máquinas virtuales.

VMware vShield

VMware vShield es un complemento opcional que nos permite asegurar nuestra infraestructura de virtualización. En la versión 5 se han añadido nuevas características:

  • Control de acceso basado en roles
  • Enrutamiento estático
  • Zonas IP Multi-tenant
  • Firewall application-aware
  • Opción de seguridad de datos que comprueban el flujo de datos que se mueve por la infraestructura de virtualización

Mejoras en el registro de eventos

Las claves de la seguridad en vSphere son la autenticación, autorización y registro de eventos. El registro suministra al administrador información de lo que se hace en todo momento y por quién. Entre las mejoras introducidas en la nueva versión, se incluyen más opciones en relación a centralización de registro y recopilación de datos en caso de caída de un servidor.

Ya no es necesario utilizar vSphere Management Assistant en la recogida de datos en ESXi. Ahora se utiliza el mecanismo estándar syslog (de forma similar a un Linux). Por lo tanto, si el administrador tiene una infraestructura de syslog disponible en su red puede revisar los logs de forma sencilla. La versión para Windows de vCenter viene con la opción de instalación de un servidor de syslog.

Mejoras en el auto-despliegue y gestión de perfiles

Para aquellas empresas que necesiten desplegar hosts ESXi en masa, vSphere 5 introduce una modo sencillo de asegurar en bloque los hosts. La nueva característica de auto-despliegue (auto deploy) basada en PXE, permite instalar ESXi basándonos en plantillas.

De este modo mejoramos la seguridad de nuestra infraestructura ya que todos nuestros hosts estarán configurados del mismo modo. Por ejemplo, nos podemos asegurar que SSH está deshabilitado en todos los ESXi o que cierto puerto del firewall está abierto.

Solicitud de password de root durante la instalación

A diferencia de las versiones anteriores, durante la instalación de un Host ESXi se solicita que  el usuario introduzca la contraseña de root. En versiones anteriores, se instalaba el host con una contraseña vacía para root. Una gran parte de administradores, una vez instalado el host, asignaban una contraseña al root del host, pero siempre existía la posibilidad de olvido en la configuración.

Drivers certificados

De forma similar a los famosos blue screen de Windows, ESXi tiene sus purple screen. La mayoría de estos purple screen vienen por errores o incompatilidad en algún driver. En la nueva versión de ESXi se puede configurar aceptar sólo drivers de VMware o certificados por VMware. De este modo nos aseguraremos que nuestro host no contiene drivers de origen malicioso.

http://en.wikipedia.org/wiki/Multitenancy

Share

Como crear un plan de recuperación ante desastres en tu plataforma de virtualización

En cualquier infraestructura informática es necesario disponer de un plan de recuperación ante desastres (DR). Una infraestructura virtualizada no se salva de esta necesidad. Disponer de un plan de recuperación ante desastres sólido es crítico para proteger tus datos en caso de pérdidas de servicio u otro tipos de desastres (incencio, robo, etc.).

¿Cómo debo empezar a la hora de crear un plan de recuperación ante desastres?

Lo primero y más importante es identificar los objetivos de tu plan. En ocasiones las decisiones empresariales son más complejas que los componentes técnicos necesarios para construir una infraestructura DR.

En primer lugar deberemos determinar qué máquinas virtuales (VM) son las más críticas a la hora de establecer un Recovery Point Objetive (RPO). Éste definirá el orden en que las máquinas virtuales serán puestas en funcionamiento después de solucionar la incidencia que provocó la situación de desastre.

También deberemos definir con qué frecuencia será necesario realizar copias de nuestra infraestructura al sitio alternativo (DR site). De esta manera podremos establecer el Recovery Time Objetive (RTO).

¿Qué factores debería considerar a la hora de construir un sitio alternativo (DR site)?

Un sitio establecido en una ubicación alternativa protege nuestros datos y asegura que nuestra empresa seguirá en funcionamiento en caso de desastre. El siguiente paso será establecer un inventario de nuestra infraestructura actual, definiendo claramente el RTO y RPO y tomar decisiones basándonos en el presupuesto disponible.

Plan DR en una infraestructura VMware

VMware dispone de la solución Site Recovery Manager (SRM). De este modo, los administradores puede planificar y recuperar una infraestructura VMware en caso de desastre. SRM permite reducir el tiempo de recuperación, priorizar la recuperación de cargas de trabajo críticas e incluso realizar pruebas de nuestro plan DR.

Sin embargo, SRM puede no ajustarse a ciertas infraestructuras de virtualización, en especial por la complejidad que introduce en la administración de la infraestructura y su precio. Por ejemplo, muchas pequeñas empresas no disponen de un especialista en entornos VMware.

En el caso de este tipo de empresas, soluciones alternativas como como un plan sólido de backup puede ser suficiente. Adicionalmente existen herramientas DR para entornos VMware como Veeam Backup, Quest Software vReplicator o Replication and Zerto’s BC/DR que pueden adaptarse a las necesidades de la empresa y a un precio más accesible. De este modo es posible copiar máquinas virtuales entre distintos dispositivos de almacenamiento (independientemente del fabricante o protocolo utilizado), rompiendo así las barreras a la hora de establecer un plan DR. Por ejemplo, gracias a estas soluciones se puede utilizar hardware más económico en el sitio alternativo.

Share

Heleos facilita la virtualización de servicios de red a los proveedores cloud

Hace unos meses os hablábamos de Vyatta, un sistema operativo de red que da servicios de red y seguridad en entornos cloud y de máquinas virtuales. En nuestro artículo de hoy os presentamos otro producto de seguridad para entornos de virtualización que facilita la vida a los proveedores cloud: Heleos.

 

A día de hoy los proveedores cloud no son capaces de ofrecer servicios de red, de la capa 4 a la 7 de la pila de red, como Load Balancing, Firewalls o VPNs de una manera económica. Los proveedores cloud necesitan dar garantías de rendimiento y calidad de servicio (QoS) a sus clientes. Otro desafío a los que se enfrentan los proveedores de servicios en la nube es, cuando son capaces de ofrecer estos tipos de servicios de red, el alto coste de construir la infraestructura para soportar estos servicios.

Normalmente los proveedores cloud intentan ofrecer este tipo de servicios de red avanzados de dos modos:

  1. Ofreciendo el servicio de red como un componente de la infraestructura y utilizando herramientas que comparten entre todos sus clientes. El modelo de compartir recursos puede no ajustarse a las necesidades de ciertas empresas. Puede darse el caso que empresas requieran instancias dedicadas y no desean compartir recursos con otros clientes.
  2. Instancias dedicadas para cada cliente. En este caso son los clientes los que administran sus instancias de red por sí mismos. Este hecho puede no satisfacer las necesidades del cliente ya que introduce costes de administración que deberían ser suministrados por el proveedor cloud.

Heleos

Heleos es un software, orientado a proveedores de servicios IaaS, que habilita bajo demanda servicios de red virtuales. De este modo, permite a los proveedores cloud ofrecer servicios de virtualización de red para empresas de forma rápida y escalable. Por ejemplo: Load Balancing, Firewalls, VPNs y optimización de virtual WAN.

Heleos es un software que funciona bajo plataforma x86. Permite ofrecer y configurar servicios de red complejos en pocos minutos y de manera económica.

Nota de prensa del lanzamiento de Heleos: http://www.embrane.com/news/press-releases/embrane-unveils-industry%E2%80%99s-first-distributed-software-platform-virtualizing

Share

Amazon lanza AWS Cloud Storage Gateway (SG)

Como en la mayoría de proveedores cloud, los principales clientes de Amazon son pequeñas y medianas empresas. Esto es debido a que la cloud pública de Amazon no cumple los requerimientos en relación a almacenamiento de datos críticos que tienen las grandes empresas.

El objetivo de Amazon es conseguir entrar en el sector de grandes empresas con el lanzamiento de AWS Cloud Storage Gateway (SG) (todavía está en fase beta).

¿Cómo funciona AWS SG?

AWS Storage Gateway es un servicio de almacenamiento basado en la conexión entre una aplicación software cliente y espacio de almacenamiento en la nube. Esta conexión permite integrar las aplicaciones del usuario con la infraestructura de almacenamiento AWS Simple Storage Service (S3) de forma segura y transparente.

Os dejamos un video demostración:


 

Los datos almacenados en tu centro de datos o cloud privada pueden ser respaldados en Amazon S3, dónde son almacenados como snapshots Amazon EBS (Elastic Block Store). Una vez alojados en Amazon S3, en el caso de que el usuario necesite restaurar datos lo puede realizar recuperando snapshots en el hardware del cliente.

Una vez que el software AWS SG es instalado en un host de la red del cliente, es posible montar volúmenes en los servidores como si fueran dispositivos iSCSI. De esta forma, una gran variedad de sistemas y aplicaciones pueden utilizarlos. Los datos almacenados en esos volúmenes son mantenidos en hardware de almacenamiento mientras es guardado de forma asíncrona en AWS.

Os dejamos un enlace al blog de Amazon donde se explica AWS SG.

Usos posibles de AWS SG

Entre lo posibles usos de AWS Cloud Storage Gateway (SG) podemos encontrar:

  • Recuperación ante desastres y continuidad de negocio: la empresa puede reducir la inversión en hardware para recuperación ante desastres utilizando una solución basada en la nube. Se pueden enviar snapshots de los datos de la empresa a la nube de modo periódico. Además se puede utilizar el servicio VM Import de Amazon para mover las imágenes de máquinas virtuales a la nube.
  • Copias de seguridad: es posible realizar un backup de datos locales a la nube sin preocupaciones de quedarse sin espacio.
  • Migración de datos: es posible mover datos de tu centro de datos actual a la nube de forma sencilla.

Según Amazon, todos los datos son almacenados de forma segura en su nube utilizando el estándar AES 256. Además, los datos viajan a través de internet bajo protocolo SSL.

Servicios similares

En el mercado cloud existen servicios similares como StorSimple. Este servicio ofrece diferentes niveles de servicio (TIER) en función de los requerimientos del cliente. Por ejemplo, hardware basado en SSD, controladoras redundantes, data deduplication y data compression. AWS SG sólo ofre data compression y no data deduplication.

 

Share

Cómo funciona y usos del filtro vSCSI de VMware

VMware introdujo en la versión 4 de vSphere el filtro vSCSI, una herramienta de filtrado adjunta al interfaz virtual SCSI. Esta herramienta actúa como una capa de transporte que envía los datos SCSI a las máquinas virtuales.

Entre los distintos tipos de usos de vSCSI está prevenir la pérdida de datos, establecer una capa antimalware y antivirus, así como técnicas de replicación para máquinas virtuales en ejecución. Actualmente existen grupos de trabajo desarrollando otros usos de vSCSI, como por ejemplo la encriptación de datos.

Uno de los aspectos más reseñables del filtro es su gran rendimiento en la lectura y escritura de bloques SCSI, una de las claves en la tecnología de discos virtuales dentro del entorno vSphere.

El primer uso que hizo VMware de la tecnología vSCSI fue en su producto de seguridad vShield Endpoint. Éste detecta y aisla el tráfico de antivirus y antimalware. A continuación, VMware desarrolló vShield App with Data Security, que utiliza el filtro vSCSI para ver qué datos sensibles no pertenecen a una determinada máquina virtual.

Como vemos los primeros usos de vSCSI fueron relacionados con la seguridad, pero nuevos usos han aparecido. Por ejemplo, vSCSI es utilizado en replicaciones en tiempo real de máquinas virtuales, de tal modo que bloques de datos que cambien en una máquina virtual pueden ser escritos en un centro de replicación externo. Un producto que utiliza vSCSI para replicar es Zerto Virtual Replication.

Cómo funciona vSCSI

El filtro vSCSI intercepta los bloques SCSI conforme son leídos y escritos por una máquina virtual, permitiendo enviar comandos personalizados al subsistema SCSI. Por lo tanto, es posible leer un disco virtual sin intervención de una máquina virtual.

http://www.virtualscsi.com/vscsi_files/image001.gif

Vamos a poner un ejemplo de cómo trabaja vSCSI en un proceso de replicación:

  1. Comienza un trabajo de replicación.
  2. El software de replicación envía comandos para leer un disco virtual de forma completa.
  3. La replicación, mediante técnicas de deduplicación, conforme va leyendo datos del disco virtual los envía al centro de replicación.
  4. El sistema de replicación cambia a un mecanismo de interceptación para guardar sólo aquellos bloques escritos por la máquina virtual.

Este tipo de esquema de replicación reduce los tiempos y los costes de ancho de banda asociados, ya que sólo aquellos bloques que han sido modificados serán replicados. Además, el filtro vSCSI es independiente de la máquina virtual por lo que no afecta al rendimiento de la misma.

 

Share

Bienvenido a Virtualizamos

Virtualizamos es un proyecto de la empresa nerion que nace con el objetivo de convertirse en un portal de referencia en el mundo de la virtualización y el cloud computing.
Suscripción a Virtualizamos
Entradas antiguas por mes
Twitter
nerion - Registro Dominios, Hosting y Housing Profesional