Estrategias para la protección de servidores y escritorios virtuales Equilibrio entre la protección y el rendimiento Jonathan Tait, director de marketing de productos
Situación actual de las tecnologías de virtualización Durante los últimos años, las tecnologías de virtualización han transformado los centros de datos. La virtualización de servidores permite ejecutar varios servidores virtuales desde un único servidor físico y el reconocido ahorro en los costes que eso supone ha provocado una amplia adopción de estas tecnologías. Hoy en día, las grandes empresas se plantean cómo extender estas ventajas a los escritorios virtuales. A pesar de encontrarse en sus fases iniciales, la
disponibilidad y la fiabilidad de los sistemas son también
virtualización de escritorios se presenta como una idea
muy importantes, suponiendo ahorros de entre el 50 y el
prometedora tanto para la transformación de las empresas
70% de los costes informáticos totales.
como para el ahorro en los costes operativos. La virtualización de servidores ha tenido tanto éxito que, En este monográfico, analizaremos los retos para la
según la firma de análisis de mercado IDC, más del 50%
seguridad que plantean las tecnologías de virtualización,
de las licencias vendidas hoy en día son de servidores
las estrategias que existen en la actualidad para la
virtuales, en lugar de físicos.
protección de entornos virtuales y las nuevas técnicas que están surgiendo para conseguir una protección aún más
Ahora, las empresas quieren virtualizar también los
avanzada. En general, queremos orientarle sobre cómo
escritorios y, aunque la adopción sigue siendo baja (con
conseguir la protección y el rendimiento que necesita.
sólo un 1% de escritorios virtualizados), las ventajas empiezan a ser claras y el mercado está aumentando con rapidez. Gartner prevé una tasa de crecimiento
Ventajas de las tecnologías de virtualización
anual compuesta del 84% y un aumento del mercado
La virtualización permite conseguir más resultados con
de virtualización de escritorios de 38 a 795 millones de
menos recursos, lo que supone un gran ahorro de tiempo
dólares entre 2008 y 2013.
y dinero. La principal ventaja de la virtualización de escritorios es Gracias a esta tecnología, los grupos de servidores
la cantidad de posibilidades que ofrece a las empresas.
pueden configurarse como conjuntos reutilizables. En un
Hoy en día, los empleados necesitan más flexibilidad y
principio, esto supuso grandes ventajas para la reducción
movilidad, y la posibilidad de acceder a sus escritorios
de los costes de hardware, pero la tecnología ha seguido
desde cualquier dispositivo (portátiles, cibercafés, iPad
evolucionando y, hoy en día, los beneficios para la
o teléfonos inteligentes) supone grandes mejoras para la productividad.
Estrategias para la protección de servidores y escritorios virtuales: equilibrio entre la protección y el rendimiento
1
Estrategias para la protección de servidores y escritorios virtuales Equilibrio entre la protección y el rendimiento
Mediante la virtualización de escritorios, todos
• En un primer momento, la seguridad no suele
los programas, aplicaciones, procesos y datos del
involucrarse en los proyectos de virtualización
escritorio del usuario se conservan y ejecutan de forma
(alrededor de un 40% de las empresas
centralizada, lo que mejora la seguridad de los datos.
encuestadas no incluyó profesionales de
Además, desde el punto de vista del departamento
seguridad en sus proyectos).
informático, la implementación de estándares corporativos resulta también más fácil.
• Los ataques a la capa de virtualización (también conocidos como ataques de hipervisor) podrían
Sin embargo, para virtualizar los escritorios, es
poner en peligro todas las cargas de trabajo
necesario realizar inversiones en nuevas infraestructuras
alojadas.
y gestionar los cambios, actualizar los servidores del centro de datos y los dispositivos de hardware de
• Las cargas de trabajo con diferentes niveles de
clientes ligeros, formar a los usuarios y aplicar nuevas
confianza se consolidan en un único servidor
políticas de uso, por lo que la rentabilidad y los ahorros
físico sin separación suficiente.
en los costes pueden tardar más en hacerse efectivos que en el caso de los servidores virtuales.
• Los controles del acceso administrativo al hipervisor (monitor de equipo virtual) y a las herramientas administrativas no son adecuados.
Retos para la seguridad de los entornos virtuales Las tecnologías de virtualización ofrecen en sí mismas
Es importante señalar que, aunque existe la posibilidad
ciertas ventajas específicas para la seguridad. Por
de que la virtualización introduzca nuevos riesgos
ejemplo, es más fácil disponer de servidores dedicados
(como los ataques de hipervisor), los proveedores de
a la ejecución de las aplicaciones de software más
seguridad siguen estudiando la situación y, por ahora,
importantes para la empresa. También hay quienes
no se han identificado amenazas específicas en el
opinan que los entornos virtuales son más seguros
campo, por lo que las amenazas, hasta el momento,
porque los datos de los diferentes departamentos
son sólo teóricas.
pueden aislarse. Por ejemplo, es posible contar con un servidor dedicado para el departamento de finanzas
A pesar de la promoción exagerada que se ha hecho
y otro distinto para el departamento de recursos
de estas amenazas y de los nuevos métodos para la
humanos.
protección de los entornos virtuales, en la práctica, debería tenerse presente el planteamiento fundamental,
Sin embargo, según un estudio de Neil MacDonald,
es decir, aplicar los métodos de seguridad existentes
analista de Gartner, "el 60% de los servidores virtuales
para los entornos físicos a los equipos virtuales.
será menos seguro que los servidores físicos a los que sustituyen hasta 2015, momento en que la cifra
Sin embargo, existen restricciones en torno al
se reducirá a un 30%". En un informe realizado en
rendimiento que deben solucionarse. Muchas empresas
enero de 2010 sobre los riesgos de seguridad de los
se han lanzado a la virtualización de los sistemas para
proyectos de virtualización de los centros de datos ,
conseguir reducciones en los costes pero, para poder
Neil cita algunos de los riesgos de seguridad más
obtener el mejor rendimiento, es necesario plantearse la
habituales, entre los que se incluyen:
seguridad con sumo cuidado.
1
Estrategias para la protección de servidores y escritorios virtuales: equilibrio entre la protección y el rendimiento
2
Estrategias para la protección de servidores y escritorios virtuales Equilibrio entre la protección y el rendimiento
Elementos esenciales para la seguridad de los equipos virtuales
Actualizaciones
Para obtener la máxima seguridad en toda la empresa,
desde la implementación de las actualizaciones
es necesario proteger los equipos virtuales del mismo
periódicas de las firmas a las actualizaciones
modo que protege los equipos físicos, no sólo con un
mensuales del software:
El proceso de actualización abarca diferentes aspectos,
programa antivirus básico. Y, puesto que el ahorro en los costes es fundamental, también lo será la facilidad de gestión e implementación.
• La primera hora del lunes suele ser un momento problemático, cuando todos los equipos virtuales intentan obtener actualizaciones al mismo
En los equipos físicos, la proporción es de 1:1: cada
tiempo y el rendimiento de la red disminuye.
equipo físico se actualiza con su propia copia del programa antivirus. Sin embargo, en los entornos
• El uso de la memoria es otro de los problemas
virtuales, aparecen nuevas restricciones: un mismo
que ocasionan las actualizaciones. Al contar
host físico aloja diez equipos virtuales o más, que
con copias locales de datos de virus en todos
comparten la misma CPU, el mismo sistema operativo
los equipos virtuales, cada host físico debe
y la misma memoria.
almacenar más datos de los necesarios en la memoria.
El embotellamiento que se produce puede ser aún más evidente en la virtualización de escritorios, que
• El tercero de los problemas es el procesamiento
da lugar a más equipos virtuales por servidor. Como
de las actualizaciones. Las diferentes
resultado, los problemas en el rendimiento se hacen
actualizaciones utilizan gran cantidad de
más evidentes para los usuarios.
recursos del sistema y provocan aún más repercusiones que las actualizaciones de los
Dos de los elementos fundamentales para la protección
datos de virus.
de estaciones, las actualizaciones y los escaneados, se ven especialmente afectados por estas restricciones de los sistemas de virtualización:
Estrategias para la protección de servidores y escritorios virtuales: equilibrio entre la protección y el rendimiento
3
Estrategias para la protección de servidores y escritorios virtuales Equilibrio entre la protección y el rendimiento
Escaneados
Las tecnologías de virtualización son cada vez más
Los problemas que ocasionan los escaneados en
importantes en las redes de las empresas. Por eso, es
demanda en los entornos virtuales son de dos tipos:
fundamental proteger las inversiones en este tipo de infraestructuras sin poner en peligro el rendimiento.
• En primer lugar, no siempre es posible realizar todos los escaneados en un determinado período
Sin nuevos avances en las tecnologías de virtualización,
de tiempo. En los casos en los que es necesario
los proveedores de seguridad no pueden ofrecer
completar cierto número de escaneados en un
a sus clientes un equilibrio entre la protección y
período definido de tiempo, los escaneados
el rendimiento, pero las mejoras llevadas a cabo
pueden realizarse por fases, pero siempre llegará
recientemente tanto por proveedores de seguridad
el momento en el que el tiempo necesario para
como de tecnologías de virtualización se centran
realizar las actualizaciones semanales de cientos
precisamente en el rendimiento, con la intención de
de equipos no sea suficiente.
permitir que las empresas puedan ejecutar más equipos virtuales por cada equipo físico, aún a expensas de la
• En segundo lugar, la realización de varios
seguridad de las estaciones.
escaneados simultáneos puede afectar al rendimiento de los usuarios. El uso de un único
Actualmente, puede parecer necesario tener que elegir
grupo de recursos informáticos físicos por parte
entre el rendimiento o la protección. Ambas rutas tienen
de multitud de equipos virtuales al mismo
ventajas y desventajas; a continuación se describen
tiempo entorpece el rendimiento de los equipos
algunas estrategias para encontrar un equilibrio entre
de los usuarios, por lo que se recomienda llevar
ambas. En lo relativo a la virtualización, también es
a cabo las labores administrativas por fases.
necesario pensar a largo plazo, puesto que las nuevas
Sin embargo, cuando se producen brechas de
tecnologías harán posibles soluciones de seguridad
programas maliciosos, es necesario realizar
mucho mejores.
escaneados completos que, dados los recursos necesarios, no siempre son posibles.
Equilibrio entre la protección y el rendimiento
Estrategias actuales para la protección de entornos virtuales Hoy en día, existen diferentes estrategias para proteger los servidores y escritorios virtuales, y conseguir el
Protection
máximo rendimiento. Cuando se trata de servidores, las posibilidades son más amplias. Existen soluciones antivirus optimizadas para plataformas virtuales, a las que se puede añadir protección para servidores con otras herramientas. Performance
Sophos le ofrece tanto protección como rendimiento
Estrategias para la protección de servidores y escritorios virtuales: equilibrio entre la protección y el rendimiento
4
Estrategias para la protección de servidores y escritorios virtuales Equilibrio entre la protección y el rendimiento
Sin embargo, en el caso de los escritorios, es muy
• Implementación de soluciones con menos
importante no poner en peligro la seguridad. Para ello,
requisitos de memoria: el espacio siempre es
existen funciones de protección fundamentales que
muy valioso, por lo que, para obtener el máximo
se deben tener muy en cuenta, como la restricción de
número de equipos virtuales por equipo físico,
aplicaciones, el control de dispositivos, los sistemas
es aconsejable evitar productos que utilicen más
de prevención contra intrusiones en el host (HIPS) y
memoria de la necesaria. Busque productos
antivirus, y el filtrado de direcciones web.
de seguridad que utilicen poca memoria, sobre todo, para llevar a cabo tareas que
Para sacar el máximo partido de los equipos virtuales
puedan resultar intensas, como los escaneados
sin afectar al rendimiento, la repercusión del escaneado
programados o actualizaciones.
de varios equipos virtuales al mismo tiempo debe ser mínima, al igual que el impacto de las actualizaciones en la red y en el almacenamiento en los hosts físicos.
• Protección de las imágenes sin conexión: el rendimiento y las experiencias de los usuarios pueden mejorar de forma considerable mediante
Para obtener una protección y rendimiento máximos,
la protección de las imágenes virtuales sin
haga uso de estas prácticas recomendadas cuanto
conexión. Las repercusiones en los sistemas
antes:
y los usuarios pueden reducirse mediante el escaneado de las imágenes sin conexión
• Optimización del escaneado y las
(en lugar de cuando vuelven a conectarse)
actualizaciones: implemente un producto que
o mediante un escaneado centralizado que
le permita programar escaneados y realizar las
mantenga el escáner actualizado.
actualizaciones por fases, de forma que las repercusiones para los usuarios sean mínimas.
• Nuevos métodos de escaneado: el rendimiento puede mejorar enormemente si se reduce el
• Reducción de los costes de gestión: elija una
número de archivos que necesitan escanearse.
solución que sea fácil de administrar junto con
Al crear escritorios virtuales a partir de una
la seguridad existente para los equipos físicos.
plantilla maestra, una vez que haya escaneado
Los costes operativos pueden aumentar incluso
la imagen, no será necesario escanear todas
cuando los costes de hardware se reducen,
las instancias de esa misma imagen. Reduzca
por lo que es aconsejable asegurarse de que la
los requisitos de escaneado a aquellos archivos
protección, tanto de los equipos físicos como
de los escritorios virtuales que no existen en la
virtuales, puede administrarse y actualizarse de
plantilla maestra.
forma conjunta. Asegúrese de no agotar tiempo y recursos innecesarios con la gestión de la seguridad del entorno virtual.
Estrategias para la protección de servidores y escritorios virtuales: equilibrio entre la protección y el rendimiento
5
Estrategias para la protección de servidores y escritorios virtuales Equilibrio entre la protección y el rendimiento
Evolución de la seguridad para plataformas virtuales
Hoy en día, los proveedores de seguridad colaboran con los proveedores de tecnologías de virtualización para mejorarlas de forma que, mediante el escaneado
Los avances que experimentarán las tecnologías de
centralizado, los proveedores de seguridad puedan
virtualización en el futuro facilitarán la labor de los
ofrecer más funciones de protección fundamentales
proveedores de seguridad, que podrán ofrecer más
para las estaciones, como HIPS, filtrado de direcciones
funciones sin afectar al rendimiento, de forma que
web, protección contra fugas de datos DLP, restricción
todo sean ventajas. La mayor parte de las empresas
de aplicaciones y control de dispositivos.
que tienen intención de invertir en tecnologías de escritorios virtuales todavía se encuentran en las fases
En definitiva, nuestra estrategia es que cuente con
de planificación. Los planes a largo plazo y el estudio
la misma seguridad en los equipos virtuales que en
de las tecnologías de seguridad, tanto actuales como
los equipos físicos y nuestro objetivo es conseguirlo
emergentes, permitirán utilizar más equipos virtuales y
sin poner en peligro en rendimiento, para que pueda
obtener mejor protección.
ejecutar el máximo número posible de equipos virtuales por host.
En la actualidad, los proveedores de tecnologías de virtualización están colaborando con los proveedores
Nuestras estrategias de seguridad actuales están
de seguridad para minimizar las repercusiones de
dirigidas a la obtención del mejor equilibrio entre la
la seguridad en los sistemas y obtener el máximo
protección y el rendimiento. Y seguimos trabajando en
rendimiento. Pero, como ya hemos mencionado
nuestras soluciones de seguridad de forma paralela a
anteriormente, la solución elegida hasta el momento ha
la evolución de las tecnologías de virtualización para
sido la eliminación de ciertas funciones de protección
ofrecerle la mejor protección para sus equipos, tanto
fundamentales, lo que puede provocar ciertos
virtuales como físicos.
problemas para la seguridad de los escritorios virtuales. El escaneado centralizado actual ofrece ventajas para el rendimiento pero limita la protección.
Para obtener más consejos, consulte la guía práctica de Sophos para proteger los centros de datos en
Es importante plantearse la seguridad de los escritorios
hhtp://esp.sophos.com/security/topic/keep-your-
virtuales más allá de una simple protección antivirus.
virtual-data-center-safe.html
1. Gartner: "Addressing the Most Common Security Risks in Data Center Virtualization Projects”, por Neil MacDonald. 25 de enero de 2010 http://www.gartner.com/DisplayDocument?ref=clientFriendlyUrl&id=1288115
Boston (EE.UU.) | Oxford (Reino Unido) © Copyright 2010. Sophos Plc. Todos los derechos reservados. Todas las marcas registradas pertenecen a sus respectivos propietarios.