Entradas con la etiqueta ‘virtualizacion’

Aspectos de seguridad a tener en cuenta en un entorno virtualizado

El proceso de securizar nuestra infraestructura de virtualización requiere un esfuerzo serio por parte del departamento IT de una empresa. Durante el proceso de implementación de la infraestructura virtual, los responsables de seguridad deben tener en cuenta y ejecutar una serie de tareas críticas: protección de hypervisores, endurecer la seguridad de los sistemas operativos que se ejecutan en las máquinas virtuales alojadas y evaluar los controles de seguridad actuales para comprobar si son aplicables en el nuevo entorno.

Una vez que hemos terminado de desarrollar nuestro entorno de virtualización, aparecen un conjunto de nuevas amenazas que deberemos tener en cuenta. Estas amenazas suelen ir apareciendo conforme nuestra infraestructura va madurando: proliferación sin control de máquinas virtuales (VM sprawl), imágenes de máquinas virtuales latentes (mothballed) y desafíos en lo que se refiere al mantenimiento y administración del inventario de activos e imágenes existentes.

Expansión de imágenes virtuales

Dependiendo de como hayamos establecido los permisos en nuestra infraestructura, es posible que tengamos usuarios que sean capaces de crear clones o imágenes (snapshots) de máquinas virtuales sobre las que llevan la administración. Si no tenemos un cierto control, podemos encontrarnos con un crecimiento desmedido de estos elementos. Por ejemplo puede ocurrir que una determinada imagen de una máquina virtual sea clonado e importado en otra ubicación sin tener nosotros el control.

Pero no sólo debemos tener en cuenta el crecimiento de clones o imágenes. Pensemos en que existen diferentes tipos de virtualización: de servidores, de aplicaciones, VDI, de almacenamiento, etc. Por lo tanto podemos encontrarnos que nuestra infraestructura está compuesta por elementos de diferentes fabricantes que a su vez tengan diferentes perfiles de seguridad.

Monitorizar administradores y el crecimiento de máquinas virtuales

La profileración de máquinas virtuales debe ser una preocupación continua. Por lo tanto deberemos utilizar herramientas que nos permitan controlar nuestro entorno conforme crece y estar alertas antes situaciones de VM sprawl.

Debemos tener un inventario de los accesos con permisos de administración existentes y utilizar herramientas que nos permitan monitorizar la proliferación de credenciales administrativas. De igual modo que en un entorno IT tradicional, el control de credenciales administrativas es algo imperativo en un entorno virtual. Nos deberemos asegurar que los derechos de administración existentes son razonables y apropiados.

También deberemos estar atentos a situaciones en las cuales la reubicación de máquinas virtuales puede romper nuestro modelo de seguridad. Por ejemplo pensemos el caso de una máquina virtual que presta servicios al departamento de contabilidad y sea migrada (por ejemplo con vMotion en un entorno VMware) a una máquina física propiedad de otro departamento, por ejemplo el de calidad. Tambien nos podemos encontrar con situaciones en que un usuario que tenga acceso a imágenes de máquinas virtuales, puede importarlas a servicios cloud como Amazon EC2.

Share

Beneficios derivados de utilizar distintos hypervisores

En el actualidad, el 90% de las empresas de 100 empleados o más, han adoptado algún tipo de solución de virtualización. Pero en realidad, la mayoría ligeramente se ha beneficiado de todo el potencial que les puede aportar. Según un informe reciente de Gartner, la utilización de los servidores en los centros de datos es sólo del 18%, prácticamente el mismo porcentaje que hace cuatro años.

La virtualización no sólo permite ahorrar costes, también permite a las empresas obtener plataformas IT más ágiles, más fácilmente replicables y adaptables a las necesidades de los usuarios. Pero para que las empresas puedan obtener esos beneficios, deben superar desafíos como: el hecho de tener centros de datos más heterogéneos, falta de herramientas de gestión centralizadas, etc. Otra barrera al despliegue de la virtualización es utilizar  tecnología de un único fabricante de virtualización, lo cual puede producir ineficiencias o perde oportunidades de crecimiento por no desplegar la tecnología de hypervisor más adecuada a nuestra infraestructura.

Un modo de optimizar e incrementar el despliegue de la infraestructura de virtualización, es utilizar más de un hypervisor. Si somos capaces de centralizar la administración de múltiples hypervisores podemos obtener beneficios en lo que se refiere a reducción de costes de licencias, evita que dependamos de un único fabricante, incrementa el nivel de consolidación, facilita la construcción de una solución cloud o permite una integración más eficiente de todas nuestras aplicaciones. Para ello es fundamental disponer de una infraestructura de gestión que soporte soluciones de virtualización y de hardware heterogéneas. De este modo seremos capaces de manejar nuestra infraestructura de virtualización desde una única plataforma.

Share

¿Qué tecnología de almacenamiento elijo? Fibre Channel, iSCSI o NAS

Una de las decisiones más importantes y críticas a la hora de diseñar una infraestructura de virtualización es la tecnología de almacenamiento a utilizar. Cada entorno es diferente, por lo tanto no hay una solución única que se adapte a cualquier tipo de infraestructura.

Durante años, la solución más utilizada ha sido la tecnología Fibre Channel (FC) pero en los últimos años otros sistemas como NAS o iSCSI se han convertido en alternativas para entornos de virtualización. Estos últimos ofrecen un ratio de rendimiento/precio.

A continuación vamos a analizar cada una de las tecnologías de almacenamiento y sus ventajas y desventajas:

Fibre Channel (FC)

FC presenta un grado alto de rendimiento y fiabilidad pero implican realizar una inversión económica mayor e introducen complejidad en la configuración del centro de datos. FC es la solución más utilizada para entornos de virtualización de gran dimensión o máquinas virtuales con IOPS (número de E/S de acceso a disco) alto gracias a los anchos de banda que se alcanzan (8 Gpbs e incluso 16 Gbps).

Adicionalmente, las redes de almacenamiento basadas en FC en principio son más seguras que las basadas en Ethernet ya que el tráfico está aislado del tráfico normal. Pero por otro lado es más complicado implementar sistemas de autenticación y encriptación.

Sin embargo, la necesidad de disponer de hardware propio para la tecnología (HBAs y switches FC), hacen la solución más cara y compleja de administrar e implementar. Puede darse el caso de que la empresa no disponga de personal con conocimientos en entornos FC, por lo tanto se puede incurrir en costes adicionales de formación o consultoría externa.

iSCSI Storage

iSCSI es un sistema de almacenamiento basado en bloques como FC, pero a diferencia de éste utiliza componentes de una red Ethernet tradicional para realizar la conexión entre los hosts y el sistema de almacenamiento. Al utilizar componentes Ethernet, iSCSI es más barato de implementar.

iSCSI utiliza los llamados iniciadores (initiator) para enviar comando iSCSI a los dispositivios de almacenamiento. Estos iniciadores pueden ser basados en software o hardware. En la mayoría de situaciones, los iniciadores software pueden ser suficientes, una solución hardware ofrece un mejor rendimiento en E/S utilizando menos recursos del host. Hay que tener en cuenta que una solución software introduce un overhead de CPU en el host que se conecta a la red de almacenamiento.

iSCSI da un buen rendimiento en redes de 1Gbps (más si utilizamos multipathing), pero actualmente se pueden construir redes iSCSI de 10 Gbps que ofrecen un rendimiento parecido e incluso mejor que FC. El problema de las redes de 10 Gbps es que son tan caras de implementar como una red FC.

En cuanto a seguridad, a diferencia de FC, iSCSI implementa sistemas de autenticación (CHAP) y encriptación.

NAS

La principal diferencia entre iSCSI y NAS es el tipo de protocolo utilizado. Mientras que iSCSI está basado en bloques de discos, NAS es un sistema de compartición de archivos. De este modo, se descarga al dispositivo de almacenamiento de la responsabilidad de escribir datos a disco. NAS utiliza un software cliente que se comunica al servidor NFS mediante red Ethernet.

La mayor parte de las plataformas de virtualización soporta NAS. Debido a que NAS es un protocolo muy utilizado, existen diferentes opciones para utilizar un almacenamiento NAS con tus máquinas virtuales: desde un servidor físico convertido en servidor NAS o un dispositivo de almacenamiento dedicado basado en NAS. El coste y rendimiento de cada solución puede variar grandemente siendo los dispositivos dedicados los que ofrecen mayor rendimiento pero a un coste más alto.

En la mayoría de los casos, NAS no ofrece el mismo rendimiento que una red SAN FC pero una arquitectura de red bien configurada puede ofrecer un rendimiento adaptado a tus necesidades. De manera similar a iSCSI, NAS utiliza tarjetas de red para comunicarse con los dispositivos de almacenamiento, por lo tanto tenemos un límite de 1 Gpbs. A diferencia de iSCSI no permite multipathing ofreciendo un rendimiento inferior.

Entre las desventajas de NAS, no es posible arrancar un servidor directamente desde un dispositivo NAS. Adicionalmente, ciertos fabricantes no recomiendan NAS para ciertas aplicaciones sensibles a latencias.

Conclusiones

Los principales aspectos a tener en cuenta a la hora de elegir una tecnología u otra son: presupuesto disponible, rendimiento y capacidad. Adicionalmente, ciertos fabricantes de cabinas de almacenamiento ya incluyen una integración directa con infraestructuras de virtualización lo cual puede ser otro factor a considerar.

Aunque FC es una plataforma de almacenamiento bien conocida, no hay que descartar soluciones iSCSI o NAS como alternativas. Existe una gran variedad de dispositivos iSCSI o NAS en el mercado, tendremos que considerar sus capacidades y escalabilidad para asegurarnos que cumplen nuestros requisitos. El almacenamiento es quizás la decisión más crítica a la hora de diseñar nuestra infraestructura de virtualización.

Share

Como crear un plan de recuperación ante desastres en tu plataforma de virtualización

En cualquier infraestructura informática es necesario disponer de un plan de recuperación ante desastres (DR). Una infraestructura virtualizada no se salva de esta necesidad. Disponer de un plan de recuperación ante desastres sólido es crítico para proteger tus datos en caso de pérdidas de servicio u otro tipos de desastres (incencio, robo, etc.).

¿Cómo debo empezar a la hora de crear un plan de recuperación ante desastres?

Lo primero y más importante es identificar los objetivos de tu plan. En ocasiones las decisiones empresariales son más complejas que los componentes técnicos necesarios para construir una infraestructura DR.

En primer lugar deberemos determinar qué máquinas virtuales (VM) son las más críticas a la hora de establecer un Recovery Point Objetive (RPO). Éste definirá el orden en que las máquinas virtuales serán puestas en funcionamiento después de solucionar la incidencia que provocó la situación de desastre.

También deberemos definir con qué frecuencia será necesario realizar copias de nuestra infraestructura al sitio alternativo (DR site). De esta manera podremos establecer el Recovery Time Objetive (RTO).

¿Qué factores debería considerar a la hora de construir un sitio alternativo (DR site)?

Un sitio establecido en una ubicación alternativa protege nuestros datos y asegura que nuestra empresa seguirá en funcionamiento en caso de desastre. El siguiente paso será establecer un inventario de nuestra infraestructura actual, definiendo claramente el RTO y RPO y tomar decisiones basándonos en el presupuesto disponible.

Plan DR en una infraestructura VMware

VMware dispone de la solución Site Recovery Manager (SRM). De este modo, los administradores puede planificar y recuperar una infraestructura VMware en caso de desastre. SRM permite reducir el tiempo de recuperación, priorizar la recuperación de cargas de trabajo críticas e incluso realizar pruebas de nuestro plan DR.

Sin embargo, SRM puede no ajustarse a ciertas infraestructuras de virtualización, en especial por la complejidad que introduce en la administración de la infraestructura y su precio. Por ejemplo, muchas pequeñas empresas no disponen de un especialista en entornos VMware.

En el caso de este tipo de empresas, soluciones alternativas como como un plan sólido de backup puede ser suficiente. Adicionalmente existen herramientas DR para entornos VMware como Veeam Backup, Quest Software vReplicator o Replication and Zerto’s BC/DR que pueden adaptarse a las necesidades de la empresa y a un precio más accesible. De este modo es posible copiar máquinas virtuales entre distintos dispositivos de almacenamiento (independientemente del fabricante o protocolo utilizado), rompiendo así las barreras a la hora de establecer un plan DR. Por ejemplo, gracias a estas soluciones se puede utilizar hardware más económico en el sitio alternativo.

Share

El modelo ITaaS, el futuro de los departamentos IT de las empresas

En los últimos años, la implantación de sistemas como ITIL han cambiado la mentalidad con la que las empresas ven a sus departamentos de informática (IT). De este modo ya los ven como un proveedor interno de servicio, o lo que es lo mismo IT-as-a-Service (ITaaS).

Con el desarrollo de modelos de gestión y tecnologías como la virtualización y el cloud computing, los departamentos IT se centran más en las operaciones y en prestar servicios flexibles y ágiles, que en el desarrollo de aplicaciones o infraestructuras informáticas.

El actual entorno obliga a que el IT respondan a las necesidades del negocio de manera más rápida que antes. Ahora IT no sólo debe ser capaz de suministrar servidores a la empresa, debe proveer aplicaciones, infraestructura y operaciones que permitan mejorar la competividad, los ingresos y productividad de la empresa.

Las empresas están cambiando las razones para realizar inversiones en IT, de tal modo que éstas les permitan mejorar sus procesos de negocio. En la siguiente imagen se puede ver las principales justificaciones para realizar inversiones en nuevas tecnologías.

Como se puede ver el foco del departamento IT, alimentado por la situación de incertidumbre macroeconómica, está huyendo de aspectos como la optimización de costes teniendo en cuenta otros aspectos. IT está buscando transformar sus modelos operativos y de infraestructurara a entornos similares a los de proveedores cloud. De este modo se está alimentando la implantación de un modelo ITaaS en las empresas.

Impacto del Cloud Computing en la estrategia IT

Según una encuesta realizada por Enterprise Strategy Group responsables IT (CIO) , los servicios de nube pública tendrán un impacto significativo en las estrategias IT. Por lo tanto, no sólo los centros de datos y departamentos IT se están transformando, también el modo de trabajo de los CIOs. Éstos gradualmente se están convirtiendo en brokers de servicios IT, con una mentalidad centrada en el negocio que garantice que un servicio es prestado de la mejora manera posible. Dependiendo de las necesidades del cliente, estos servicios serán prestados internamente (cloud privada) o mediante un proveedor cloud externo.

Un aspecto clave es la agilidad y, más específicamente, la habilidad para proveer el servicio que requiere la empresa, cuando la empresa lo requiera.

A continuación mostramos una imagen con los resultados de la encuesta sobre el impacto de los servicios cloud en la estrategia IT.

La mayoría de las empresas reconocen que en el futuro, ITaaS será un modelo basado en el concepto de cloud híbrida. Es decir, una cloud privada interna con una mezcla de servicios cloud públicos.

La transformación del departamento IT a un modelo ITaaS, requiere que la empresa implante sistemas que permitan proveer bajo demanda recursos en un modelo compartido, de auto-servicio basado en un catálogo de servicios estandarizado.

Capacidades que da el modelo ITaaS a las empresas

Por último indicamos alguna de las capacidades que da el modelo ITaaS a las empreas, que en último lugar se transformarán en beneficios:

  • Velocidad y agilidad
  • Unificación y convergencia de la infraestructura IT
  • Escalabilidad
  • Simplicidad
  • Automatización
Share

Bienvenido a Virtualizamos

Virtualizamos es un proyecto de la empresa nerion que nace con el objetivo de convertirse en un portal de referencia en el mundo de la virtualización y el cloud computing.
Suscripción a Virtualizamos
Entradas antiguas por mes
Twitter
nerion - Registro Dominios, Hosting y Housing Profesional