Entradas con la etiqueta ‘seguridad’

Seguridad en la nube: responsabilidad compartida entre proveedor y cliente

La seguridad en la nube es una responsabilidad compartida entre el proveedor cloud y el cliente final.

Si nos centramos en el lado del proveedor, éste tiene la responsabilidad de asegurar todo aquello que está en capas inferiores al sistema operativo (red, almacenamiento, infraestructura, hardware, etc).

Desde el lado del cliente es el responsable de securizar su plataforma (sistema operativo), aplicaciones y el acceso a sus datos (siempre y cuando no tenga contratado algún tipo de servicio de mantenimiento/administración global). Por lo tanto, deberá prestar atención en todas aquellas piezas que considera importantes a nivel de seguridad, escogiendo las aplicaciones a instalar, configurando el sistema operativo adecuadamente y monitorizando el acceso a datos de los usuarios.

El proveedor deberá tener un firewall perimetral basado en el tipo de infraestructura que tenga, pero debe dejar disponible en las máquinas virtuales que aloja, la posibilidad de activar un firewall a nivel de sistema operativo. De este modo, es el cliente quien tiene la oportunidad de decidir qué reglas activar y cuáles se adecúan más al servicio que presta.

Si el proveedor cloud da servicios de almacenamiento en nube, es fundamental asegurar la integridad de los datos. Por ejemplo, el proveedor puede utilizar sistemas de firma utilizando hash MD5.

Por último, en los últimos tiempos están apareciendo estándares de seguridad relacionados con la nube: SOC1, SOC2, ISO 27001, FISMA y PCI DSS. En este sentido, el proveedor, en función de su tipo de cliente, debe intentar que sus procesos sigan los procedimientos marcados por estos estándares.

Share

Características a tener en cuenta si estamos considerando actualizar a VMware vSphere 5 (II)

En el primer artículo sobre características a tener en cuenta si estamos considerando actualizar a VMware vSphere 5, presentábamos las mejoras introducidas por la nueva versión a nivel técnico. En el artículo de hoy os presentaremos las novedades en relación a seguridad.

ESXi Firewall

A partir de la versión 5 de vSphere ha dejado de estar disponible el hypervisor ESX. Por lo tanto, VMware se ha asegurado en introducir características de seguridad en ESXi que antes no disponía. Por ejemplo ha añadido un firewall a ESXi (de igual modo que ESX tenía el firewall iptables) ajustado a las aplicaciones específicas que se inician en el Host. A diferencia de la mayoría de firewalls, es un firewall stateless que sólo protege el interfaz VMkernel, no protegiendo la red de máquinas virtuales.

VMware vShield

VMware vShield es un complemento opcional que nos permite asegurar nuestra infraestructura de virtualización. En la versión 5 se han añadido nuevas características:

  • Control de acceso basado en roles
  • Enrutamiento estático
  • Zonas IP Multi-tenant
  • Firewall application-aware
  • Opción de seguridad de datos que comprueban el flujo de datos que se mueve por la infraestructura de virtualización

Mejoras en el registro de eventos

Las claves de la seguridad en vSphere son la autenticación, autorización y registro de eventos. El registro suministra al administrador información de lo que se hace en todo momento y por quién. Entre las mejoras introducidas en la nueva versión, se incluyen más opciones en relación a centralización de registro y recopilación de datos en caso de caída de un servidor.

Ya no es necesario utilizar vSphere Management Assistant en la recogida de datos en ESXi. Ahora se utiliza el mecanismo estándar syslog (de forma similar a un Linux). Por lo tanto, si el administrador tiene una infraestructura de syslog disponible en su red puede revisar los logs de forma sencilla. La versión para Windows de vCenter viene con la opción de instalación de un servidor de syslog.

Mejoras en el auto-despliegue y gestión de perfiles

Para aquellas empresas que necesiten desplegar hosts ESXi en masa, vSphere 5 introduce una modo sencillo de asegurar en bloque los hosts. La nueva característica de auto-despliegue (auto deploy) basada en PXE, permite instalar ESXi basándonos en plantillas.

De este modo mejoramos la seguridad de nuestra infraestructura ya que todos nuestros hosts estarán configurados del mismo modo. Por ejemplo, nos podemos asegurar que SSH está deshabilitado en todos los ESXi o que cierto puerto del firewall está abierto.

Solicitud de password de root durante la instalación

A diferencia de las versiones anteriores, durante la instalación de un Host ESXi se solicita que  el usuario introduzca la contraseña de root. En versiones anteriores, se instalaba el host con una contraseña vacía para root. Una gran parte de administradores, una vez instalado el host, asignaban una contraseña al root del host, pero siempre existía la posibilidad de olvido en la configuración.

Drivers certificados

De forma similar a los famosos blue screen de Windows, ESXi tiene sus purple screen. La mayoría de estos purple screen vienen por errores o incompatilidad en algún driver. En la nueva versión de ESXi se puede configurar aceptar sólo drivers de VMware o certificados por VMware. De este modo nos aseguraremos que nuestro host no contiene drivers de origen malicioso.

http://en.wikipedia.org/wiki/Multitenancy

Share

Heleos facilita la virtualización de servicios de red a los proveedores cloud

Hace unos meses os hablábamos de Vyatta, un sistema operativo de red que da servicios de red y seguridad en entornos cloud y de máquinas virtuales. En nuestro artículo de hoy os presentamos otro producto de seguridad para entornos de virtualización que facilita la vida a los proveedores cloud: Heleos.

 

A día de hoy los proveedores cloud no son capaces de ofrecer servicios de red, de la capa 4 a la 7 de la pila de red, como Load Balancing, Firewalls o VPNs de una manera económica. Los proveedores cloud necesitan dar garantías de rendimiento y calidad de servicio (QoS) a sus clientes. Otro desafío a los que se enfrentan los proveedores de servicios en la nube es, cuando son capaces de ofrecer estos tipos de servicios de red, el alto coste de construir la infraestructura para soportar estos servicios.

Normalmente los proveedores cloud intentan ofrecer este tipo de servicios de red avanzados de dos modos:

  1. Ofreciendo el servicio de red como un componente de la infraestructura y utilizando herramientas que comparten entre todos sus clientes. El modelo de compartir recursos puede no ajustarse a las necesidades de ciertas empresas. Puede darse el caso que empresas requieran instancias dedicadas y no desean compartir recursos con otros clientes.
  2. Instancias dedicadas para cada cliente. En este caso son los clientes los que administran sus instancias de red por sí mismos. Este hecho puede no satisfacer las necesidades del cliente ya que introduce costes de administración que deberían ser suministrados por el proveedor cloud.

Heleos

Heleos es un software, orientado a proveedores de servicios IaaS, que habilita bajo demanda servicios de red virtuales. De este modo, permite a los proveedores cloud ofrecer servicios de virtualización de red para empresas de forma rápida y escalable. Por ejemplo: Load Balancing, Firewalls, VPNs y optimización de virtual WAN.

Heleos es un software que funciona bajo plataforma x86. Permite ofrecer y configurar servicios de red complejos en pocos minutos y de manera económica.

Nota de prensa del lanzamiento de Heleos: http://www.embrane.com/news/press-releases/embrane-unveils-industry%E2%80%99s-first-distributed-software-platform-virtualizing

Share

Cómo funciona y usos del filtro vSCSI de VMware

VMware introdujo en la versión 4 de vSphere el filtro vSCSI, una herramienta de filtrado adjunta al interfaz virtual SCSI. Esta herramienta actúa como una capa de transporte que envía los datos SCSI a las máquinas virtuales.

Entre los distintos tipos de usos de vSCSI está prevenir la pérdida de datos, establecer una capa antimalware y antivirus, así como técnicas de replicación para máquinas virtuales en ejecución. Actualmente existen grupos de trabajo desarrollando otros usos de vSCSI, como por ejemplo la encriptación de datos.

Uno de los aspectos más reseñables del filtro es su gran rendimiento en la lectura y escritura de bloques SCSI, una de las claves en la tecnología de discos virtuales dentro del entorno vSphere.

El primer uso que hizo VMware de la tecnología vSCSI fue en su producto de seguridad vShield Endpoint. Éste detecta y aisla el tráfico de antivirus y antimalware. A continuación, VMware desarrolló vShield App with Data Security, que utiliza el filtro vSCSI para ver qué datos sensibles no pertenecen a una determinada máquina virtual.

Como vemos los primeros usos de vSCSI fueron relacionados con la seguridad, pero nuevos usos han aparecido. Por ejemplo, vSCSI es utilizado en replicaciones en tiempo real de máquinas virtuales, de tal modo que bloques de datos que cambien en una máquina virtual pueden ser escritos en un centro de replicación externo. Un producto que utiliza vSCSI para replicar es Zerto Virtual Replication.

Cómo funciona vSCSI

El filtro vSCSI intercepta los bloques SCSI conforme son leídos y escritos por una máquina virtual, permitiendo enviar comandos personalizados al subsistema SCSI. Por lo tanto, es posible leer un disco virtual sin intervención de una máquina virtual.

http://www.virtualscsi.com/vscsi_files/image001.gif

Vamos a poner un ejemplo de cómo trabaja vSCSI en un proceso de replicación:

  1. Comienza un trabajo de replicación.
  2. El software de replicación envía comandos para leer un disco virtual de forma completa.
  3. La replicación, mediante técnicas de deduplicación, conforme va leyendo datos del disco virtual los envía al centro de replicación.
  4. El sistema de replicación cambia a un mecanismo de interceptación para guardar sólo aquellos bloques escritos por la máquina virtual.

Este tipo de esquema de replicación reduce los tiempos y los costes de ancho de banda asociados, ya que sólo aquellos bloques que han sido modificados serán replicados. Además, el filtro vSCSI es independiente de la máquina virtual por lo que no afecta al rendimiento de la misma.

 

Share

Cumulus4j asegura tus datos en la nube

Son ampliamente conocidos casos de información sensible robada a empresas o multinacionales y vendida a terceros. Por lo tanto, es comprensible que los usuarios estén preocupados en la seguridad de sus datos. En este sentido, muchas empresas se abstienen de transmitir datos relevantes por Internet a un proveedor de servicios en la nube.

La principal barrera, para que la utilización de soluciones SaaS por parte de las empresas sea un éxito, es la falta de seguridad en los datos. Es fundamental que se garantice que nadie pueda obtener y vender sus datos sensibles.

Teniendo en cuenta estas necesidades existentes, están surgiendo productos en el mercado que pretenden securizar las conexiones con servicios en la nube. Un ejemplo es Cumulus4j.

Cumulus4j

Según el fabricante, Cumulus4j logra crear una arquitectura segura y de confianza en el acceso a servicios cloud. Con el objetivo de proveer una gestión de datos segura y de confianza, los datos deben estar almacenados encriptados en la nube.

Aunque esto puede ser logrado mediante soluciones de encriptación de discos, esta solución requiere que un disco duro sea montado en el sistema operativo antes de que cualquier aplicación pueda acceder a sus datos. Al estar montado el disco, un hacker interno con conocimientos puede fácilmente grabar todos los datos mediante el sistema de ficheros.

¿Qué ofrece Cumulus4j?

  • Seguridad: los datos son encriptados/desencriptados en memoria dentro de la ejecución de la aplicación utilizando múltiples claves de seguridad. Esto hace prácticamente imposible que un hacker interno robe datos.
  • Integración sencilla: con el objetivo de facilitar la integración de Cumulus4j con cualquier aplicación, ha sido diseñada como un plugin de DataNucleus (utilizado por SalesForce o VMware). De este modo, APIs como Java Data Objects (JDO) o Java Persistance API (JPA) están disponibles, lo cual facilita una integración transparente de Cumulus4j con un aplicación en la nube.
  • Posibilidad de realizar consultas: aunque los registros son almacenados de forma encriptada, pueden ser consultados mediante JDOQL o JPQL.
  • Portabilidad: puede ser utilizado con la mayor parte de sistemas de bases de datos conocidos: MySQL, MongoDB, HBase, etc.

 

Share

Bienvenido a Virtualizamos

Virtualizamos es un proyecto de la empresa nerion que nace con el objetivo de convertirse en un portal de referencia en el mundo de la virtualización y el cloud computing.
Suscripción a Virtualizamos
Entradas antiguas por mes
Twitter
nerion - Registro Dominios, Hosting y Housing Profesional