Tema: Esquema de seguridad en un medio de virtualización para los centros de datos.
Alumno: Octavio Alejandro Espinoza Torres
Matricula: al126049
Materia: Ambientes Seguros de Información
Profesor: Marco Siller
Octubre de 2013
Contenido Presentación ..................................................................................................................................... 4 1.
Descripción y Alcance.............................................................................................................. 5
2.
Justificación ............................................................................................................................... 5
3.
Introducción ............................................................................................................................... 5
4.
Escenario actual ....................................................................................................................... 6
5.
Desarrollo / implementación / plan de implementación ...................................................... 8
6.
Ventajas / Obstáculos ............................................................................................................ 11
7.
Métrica ...................................................................................................................................... 12
8.
Resultados obtenidos / Resultados planeados.................................................................. 16
9.
Conclusiones ........................................................................................................................... 18
10.
Bibliografía. .......................................................................................................................... 19
Presentación El Servicio de Información Agroalimentaria y Pesquera (SIAP), órgano desconcentrado de la SAGARPA es el encargado de diseñar y coordinar la operación del Sistema Nacional de Información del Sector Agroalimentario y Pesquero, así como promover la concurrencia y coordinación para la implementación del Sistema Nacional de Información para el Desarrollo Rural sustentable.
Cada uno de nosotros, día con día realiza un gran esfuerzo para lograr un mejor desempeño en el manejo de la seguridad de la información, el manejo de los recursos tecnológicos, inventarios y esquemas de respaldo entre otros, permitirá impulsar una estabilidad del negocio es las acciones y funciones que llevarán una alineación de los objetivos del negocio.
Para alcanzar estos objetivos es fundamental distinguirnos como un área capaz de reflejar en nuestras actividades y en nuestra relación con los demás en la protección de la información, la transparencia y la responsabilidad.
Este documento es producto de la necesidad de contar con un esquema de seguridad de la información que ofrezca un esquema tecnológico de seguridad del centro de datos, donde los servicio son virtualizado en diferentes host y requieren de una conformación virtual de un solo centro de datos ofreciendo un esquema de continuidad para los usuarios finales.
1.
Descripción y Alcance
Contar con un documento que estructure la arquitectura lógica de un centro de cómputo virtualizado y actualizado, capaz de monitorear las peticiones de la red para llevar un control estricto de las peticiones de servicios.
Este documento será base en las normas establecidos por la Dirección de Tecnologías de la Información (DTI) del SIAP; que regulará los requerimientos y necesidades de cada área conforme a un procedimiento de seguridad de la información para la continuidad del negocio.
2.
Justificación
En complemento a estas políticas de la DTI, en los rubros o aspectos que lo requieran, se establecerán las normas, procedimientos y estándares, para incorporar un esquema de seguridad lógica para el centro de datos de la Institución.
Se presenta este documento como parte de la estructura de seguridad dentro de las políticas de establecidas en el entorno de seguridad de la información ya implementadas, sobre la arquitectura de un centro de cómputo, el cual permita ofrecer un ambiente seguro y constante monitoreo de las peticiones a los servicios actuales dando puntual seguimiento a las consulta internas y externas.
3.
Introducción
El SIAP requiere de un esquema de coordinación y continuidad del negocio que oriente de manera clara y homogénea la entrega de servicios de TI bajo una visión, misión, objetivos y proyectos enfocados al sector a fin de ponerla a disposición del público en general y que le sirva para la toma de sus decisiones.
Los procesos de negocio que compilan, generan, procesan, almacenan y transmiten información, así como los sistemas que los soportan, demandan la protección y resguardo de dicha información. La necesidad de proteger un activo tan valioso es evidente, descuidar la información
es exponerse a grandes impactos o pérdidas, lo que implica un costo muy alto comprobándose que la prevención es más rentable que la recuperación de daños.
Un concepto que se extrae de otros ámbitos para llevarlo al terreno de la seguridad de la información es el denominado “defensa en profundidad” o “defensa en capas”, en el que en lugar de colocar una línea única muy fuerte de defensa, se colocan varias líneas o capas consecutivas. Una de las ventajas de esta estrategia es que la presión inicial de un ataque o intruso se va diluyendo al tener que superar las distintas barreras para intentar llegar al punto medular o central: la información.
Por otra parte la estrategia permite, en caso necesario, reorganizar la defensa para fortalecer el punto más débil, disminuyendo los riesgos. Así, bajo este modelo tenemos el siguiente esquema conceptual para la seguridad de los sistemas y redes de información en general.
Con este enfoque, e incorporando otros factores clave para el adecuado manejo de los riesgos, se da a conocer el esquema de infraestructura de centro de cómputo.
4.
Escenario actual
Actualmente el esquema de trabajo está dividido en: Agricultura; sección con información estadística sobre producción de la agricultura mexicana en forma anualizada para más de 550 productos y avance mensual de siembras y cosechas para 50 productos estratégicos.
Ambas series de datos le presentan cifras sobre superficie sembrada, superficie cosechada, rendimiento obtenido y producción obtenida.
Esta información está disponible para los cultivos perennes y los dos ciclos agrícolas: otoño invierno y primavera-verano, para las modalidades de riego y temporal.
Ganadería; en esta sección encontraremos información de la producción ganadera nacional y su comercio exterior para los productos de carne de bovino, porcino, ovino, caprino, ave, guajolote y leche de: bovino, caprino así como otros productos: huevo para plato, miel, cera en greña y lana sucia.
Economía y mercados; encontramos una serie de indicadores y estudios sobre el comportamiento del sector agropecuario a nivel nacional e internacional, proporcionando información especializada del sector.
Geografía; aquí se ofrece seis sistemas de consulta geográfica y un módulo de solicitud de imágenes satelitales.
Toda esta información está alojada en un esquema físico que a continuación se detalla:
Contamos con tres centros de datos, los cuales en busca de un servicio de redundancia entre ellos genera un esquema robusto físico de control de servicios.
Para poder ofrecer un esquema mejor, se busca concentrar toda la información de manera lógica y no física, obteniendo un mayor nivel de servicios dentro del centro de datos y un centro de datos como backup para la redundancia de los datos sin la necesidad de replicar todo a todos, quedando de la siguiente manera:
5.
Desarrollo / implementación / plan de implementación
La virtualización permite la creación de versiones virtuales de dispositivos y equipos. Esto se consigue utilizando una capa de abstracción de los recursos hardware del equipo físico en el que se llevará a cabo la virtualización (anfitrión). Sobre esta capa, se pueden crear todo tipo de dispositivos y sistemas como medios de almacenamiento, redes, unidades de CD-ROM o, incluso, ordenadores completos con características hardware (CPU, RAM...) configurables y restringibles en los que se puede instalar cualquier sistema operativo. Esto permite, por ejemplo, crear múltiples máquinas virtuales sobre un único equipo físico siendo todas ellas independientes entre sí y del anfitrión.
Algunos de los entornos de virtualización permiten, incluso, crear redes virtuales con hardware específico de red como switches o firewalls que pueden comunicarse y compartir características con los dispositivos de red reales facilitando, de este modo, la administración de toda la red corporativa (tanto física como virtual).
En caso particular del SIAP, se contempla una estructura lógica de un host para los cuatro servidores virtuales con los que contamos, por lo que el esquema de virtualización de servidores quedará de la siguiente forma:
El plan de implementación de la virtualización y actualización quedará de la siguiente manera: Actividades 1
Entrega de Documentación
2
Firma de Contrato
3
Entrega de Licencias de Software Confirmación de Ventana
4
de Soporte Para Implementación
5
6 7
Instalación de Vmware en Host Nuevos Instalación/Configuración de Vcenter Server Configuración de Hosts
Semanas 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29
Nuevos (Red) 8 9
Configuración de Hosts Nuevos (Storage) Configuración del sniffer Migración de Máquinas
10 Virtuales a Hosts Nuevos (Requiere Apagado De Mv) 11
12
13
14
Revisión de Máquinas Virtuales Migradas Upgrade de Servidor a la Versión 5.1 U1 Configuración de sniffer físico Balanceo de Cargas de sniffer
15 Balanceo de Cargas de host 16 Pruebas de sniffer 17
18
19
Pruebas de disponibilidad de maquinas virtuales Validación de Infraestructura Documentación MAAGTICSI
Total de semanas: 14
Total de actividades: 19
Actividades críticas: 1, 2, 3 y 10
Durante la implementación contaremos con varias actividades que traslapan, por lo que los tiempos de implementación pueden tener un desfase no mayor a 5 días. Como podemos observar, mientras no se cuente con la actividad 3 concretada, la actualización por parte del personal de TI se detendrá.
6.
Ventajas / Obstáculos
Actualmente el centro de datos uno que se encuentra en las instalaciones del SIAP será el que albergue el centro de datos principal, los centros de datos de Cuauhtémoc y Municipio Libre serán utilizados como unidades de respaldo que permitirán ofrecer una continuidad del negocio no solo para los servicios de aplicaciones, también para el servicio de Internet y telefonía.
Ventajas:
Proporcionar nuevos servicios en menos tiempo.
Asignar de forma dinámica recursos dedicados a un servicio determinado en función de las necesidades.
Reducir los costes de IT mediante la optimización de los consumos, la flexibilidad de la infraestructura y la disponibilidad.
Alta Disponibilidad y Gestión de Recursos Flexible.
Aumentar independencia del Hardware.
Balanceo dinámico de los recursos entre los pools de recursos.
Asignación inteligente de recursos basada en reglas predefinidas.
Re-arrancar automáticamente las máquinas virtuales ante el fallo del servidor en el que se alojan.
Reducción de la complejidad de administración.
Alta Disponibilidad y Gestión de Recursos Flexible.
Obstáculos:
Instalar el sistema operativo, los drivers específicos del hardware y la(s) aplicación(es).
Probar antes de entrar en producción.
Como los presupuestos se preparan durante el último trimestre, hay siempre que estimar las necesidades futuras no previstas para evitar no tener presupuesto para hardware.
Disponer de un entorno de preproducción similar al de producción es muy caro.
Replicar el mismo esquema en licenciamiento dado las necesidades de backup que demande.
7.
Métrica
A continuación detallamos los cuatro bloques con los que se medirán los entregables para dar un seguimiento puntual en las actividades y necesidades de la migración e implementación de seguridad del centro de datos.
Bloque 1 Actividad Métricas
Entrega de
Firma de Contrato
Documentación
Entrega de Licencias
Confirmación de
de Software
Ventana de Soporte Para Implementación
1
Recepción de
Autorización del área
Liberación de pagos
Autorización de
documentación
legal
por parte DTI
ventana de mantenimiento DTI
2
Validación de
Autorización del área
Liberación de pago por
Aviso al personal de la
documentación
administrativa
parte del área
institución
administrativa 3
Liberación de DTI
Impresión de contrato
Recepción de licencias físicas
4
Generar una copia
Firma de apoderados
Generar una copia de
Generar una copia de
de la
legales
la documentación para
la documentación para
MAAGTIC-SI
MAAGTIC-SI
documentación para MAAGTIC-SI 5
Generar una copia de la documentación para MAAGTIC-SI
Bloque 2 Actividad Métricas
Instalación de
Instalación/Configuración
Configuración
Configuración
Configuración
Vmware en
de Vcenter Server
de Hosts
de Hosts Nuevos
del sniffer
Nuevos (Red)
(Storage)
Host Nuevos 1
Montase de
Instalación de
Configuración
Configuración
Instalación de
hipervisor en
administrador de
de switch
de switch virtual
maquina física
servidores
equipos virtuales
virtual
Integración de HW
Configuración
Configuración
Configuración
de switch físico
de switch físico
de maquina
físicos 2
Actualización de hipervisor
fisica 3
Configuración
Configuración de HW
de red
Generar una
Configuración
pruebas de
copia de la
de
maquina física
documentación
almacenamiento
para MAAGTICSI 4
Puesta en
Configuración de FW
Pruebas de
Generar una
marcha del SO
tiempo de
copia de la
anfitrión
almacena
documentación
miento
para MAAGTICSI
5
Generar una
Generar una copia de la
Generar una
copia de la
documentación para
copia de la
documentación
MAAGTIC-SI
documentación
para MAAGTIC-
para MAAGTIC-
SI
SI
Bloque 3 Actividad Métricas
Migración de
Revisión de
Upgrade de
Configuración de
Máquinas Virtuales a
Máquinas
Servidor a la
sniffer físico
Hosts Nuevos
Virtuales
Versión 5.1 U1
(Requiere Apagado
Migradas
De Mv) 1
2
Integración de
Alta en el vcenter
Actualización de SO
Arranque de sniffer
máquinas virtuales
de equipos
anfitrión
en producción
al nuevo esquema
migrados
Actualización de
Pruebas de
Generar una copia
Almacenamiento
equipos
servicios
de la
correcto de los
documentación
datos por 20 días
para MAAGTIC-SI 3
Apagado de equipo
Generar una
Administración locla
copia de la
por parte de la DTI
documentación para MAAGTIC-SI 4
Encendido de
Generar una copia
equipos
de la documentación para MAAGTIC-SI
5
Generar una copia de la documentación para MAAGTIC-SI
Bloque 4 Actividad Métricas
Balanceo de
Balanceo de
Pruebas de
Pruebas de
Validación de
Documentación
Cargas de
Cargas de host
sniffer
disponibilidad
Infraestructura
MAAGTIC-SI
sniffer
de máquinas virtuales
1
Configuración
Integración del
Administración
Respaldo de
Esquema de
Integración de
de prioridades
vcenter con
del
todas las
red
todas las copias
en el sniffer
todos los
almacenamiento
maquinas
de las
virtuales
actividades
equipos 2
3
4
Administración
Generar una
de cada uno de
Control de flujo
Apagado de
Generar una
copia de la
cada una de las
copia de la
los puertos y
documentación
maquinas
documentación
servicios de la
para MAAGTIC-
para MAAGTIC-
red
SI
SI
Generar una
Generar una
encendido de
copia de la
copia de la
cada una de las
documentación
documentación
maquinas
para MAAGTIC-
para MAAGTIC-
SI
SI Generar una copia de la documentación para MAAGTICSI
En cada uno de los bloques encontramos una serie de actividades a desarrollar que deben de ser documentadas y entregadas al área de TI, esto con el significado de entregar una serie de acciones y documentaciones que nos lleven a la conformación del expediente, el cual podrá ser utilizado como guía para siguientes implementaciones y sobre todo para poder tener bases ante cualquier auditoria.
8.
Resultados obtenidos / Resultados planeados
Para analizar el problema de la seguridad de la infraestructura virtual realizamos un modelo donde la dividimos en 4 capas independientes, no importa el esquema de infraestructura virtual que se posea, siempre puede dividirla en estas 4 capas:
Capa Física: en esta capa tenemos los switches, tanto de la red de datos como de la red de Storage (que podría ser una red Fiber Channel).
Capa del Host Físico: en este nivel la máxima problemática es la configuración de las placas de conectividad, se separa tráfico de red por diferentes interfaces físicas, tenemos el tráfico de Management utilizado para la administración de la infraestructura virtual, tráfico de máquinas virtuales, tráfico de SAN.
Contenedor de máquinas virtuales: es donde se almacenan las máquinas virtuales mediante la encapsulación del sistema operativo y las aplicaciones.
Capa de virtualización: donde encontramos los diferentes esquemas (servidores) de producción sin importar las características de HW, podemos contar con diferentes SO los cuales darán el servicio a todos los usuarios, así es, usuarios específicos y generales.
Siguiendo a detalle los cuatro puntos anteriores detallamos a continuación el esquema de trabajo final quedará de la siguiente, manera:
DMZ (zona desmilitarizada); que contempla un host o pull de servidores físicos que alojan todos los servidores virtuales y sobre todo las necesidades actuales que la dependencia requiera.
Cabe mencionar que las acciones para separar y proteger la información (storage) del esquema virtual permitirá garantizar un esquema de seguridad de la información, esto conlleva a tener
sobre todo protegida la información de bases de datos y aplicativos, que de fallar un equipo virtual, los discos duros estarán intactos.
Implementación de sniffer local dentro de la red WAN, logrando un control del flujo de información dentro de la organización clasificando los paquetes en:
Telefónicos
Datos
Ejecutables
Imágenes
DRP
lógico,
derivado
a
la
implementación de un host virtual en el site principal, la replicación de esta estructura quedará implementado en un segundo proyecto para un segundo site,
el
cual
podrá
replicar
la
información de los servidores virtuales, storage en tiempo real formando una copia espejo con la configuración necesaria de DNS y alta de IP con el carrier de Internet para la activación del mismo en caso de una falla en el centro de datos principal.
Durante la configuración y puesta en marcha del equipo dedicado físico del sniffer se visualizaron las siguientes áreas de oportunidad para la DTI:
Se debe diseñar y utilizar un estándar para el cifrado de la información con previa evaluación y autorización del Comité de Seguridad del SIAP.
La información reservada o confidencial que sea enviada a través de una red pública, deberá ser cifrada con un método aprobado por la DTI y el Comité de Seguridad del SIAP.
La información reservada o confidencial transportada en medios portables (cd, medios magnéticos, usb, etc.), debe cifrarse de acuerdo con los procedimientos definidos por la DTI y el Comité de Seguridad del SIAP.
La información reservada o confidencial almacenada por largos periodos debe estar cifrada ya almacenada por la DTI.
La información reservada o confidencial almacenada en el disco duro de los equipos, debe estar cifrada o protegida por contraseña y debe de cambiar cada mes.
9.
Conclusiones
Los principales logros obtenidos: 1. La administración de los servicios actuales de TI se basan en un esquema lógico al cual podemos entrar desde cualquier equipo con las credenciales permitidas 2. La administración de los servidores puede ser remota y con aplicaciones que permiten dar un seguimiento puntal a los cambios. 3. Programación de los respaldos de manera automática 4. Automatización de los servicios críticos y en su caso un DRP programado en caso de una falla de equipo físico. 5. Actualización, migración y clonación en vivo durante la etapa de producción de un servidor.
Durante la puesta en marcha de esta infraestructura y seguridad perimetral se pudo detectar que no se cuenta con lineamientos detallado por parte del SIAP y de la Secretaria para regular al interior los servicios de TI y entre los que podemos nombra:
Seguridad de la información
Administración de riesgos
Roles y responsabilidades
Clasificación de la información
Monitoreo de seguridad
Protección de redes locales (LAN)
Respaldo y borrado de información
Protección contra virus y código malicioso
Protección de redes de área amplia (WAN)
Cifrado de datos
Protección a bases de datos
Administración de la continuidad
Filtrado Web
Administración de Bitácoras e Información de Seguridad
Como esquema de estandarización, se deberá de contemplar el trabajo de procedimientos regulados por las normas federales para lograr un esquema de políticas de seguridad de TI aplicables a todo el sector y que determinen de manera documental con el MAAGTIC-SI un esquema documental que garantice el uso de los servicios de TI.
El área de TI debe estar siempre a la vanguardia de las necesidades de la empresa u organización, pero económicamente esto depende de los criterios presupuestales y del Director General. Por lo que la ejecución de los recursos y la implementación se realiza de manera directa del personal de la Dependencia con sus aciertos y contratiempos para sacar en forma las actividades y acciones planteadas para la seguridad.
10. Bibliografía.
http://www.segu-info.com.ar/boletin/boletin-193-130825.htm
http://blog.s21sec.com/2010/04/seguridad-en-entornos-virtualizados.html
http://www.vmware.com/mx/products/vsphere/features-scale-security
http://www.youtube.com/watch?v=iSvjBc-JwPs
http://www.informationweek.com.mx/analysis/como-controlar-la-seguridad-de-lavirtualizacion/