Mayo 13, 2014
Tres maneras para proteger las máquinas virtuales
Proteger o no proteger las máquinas virtuales, esa era la cuestión que muchos se preguntaban. Y la respuesta era siempre y solo una: proteger.
La pregunta aún más importante es cómo proteger las máquinas virtuales.
Ya en este blog hablé de los antivirus sin agentes para VMare. Pero las tecnologías nunca paran, siempre siguen avanzando. Con el desarrollo de la virtualización y las empresas que ahora ven sus evidentes ventajas, están apareciendo cada vez más aplicaciones de diferentes tipos, y aumenta así también la demanda de protecciones más específicas.
Claramente ya existe una metodología de seguridad específica para escritorios virtuales, otra para bases de datos, otra más para páginas web etc. De todas formas, un antivirus sin agentes no es la única forma de garantizar protección, y tampoco VMware es la única plataforma de virtualización, aunque sí la más popular.
¿Entonces cuáles son las alternativas para la seguridad de las máquinas virtuales?
Sin agentes
Pues en el pasado hemos entrado mucho en detalle sobre el tema, “en los capítulos anteriores del blog de EK…”.
La metodología sin agentes necesita una máquina virtual dedicada con un motor antivirus. Esta máquina ejecuta el análisis de malware en el resto de las infraestructuras virtuales conectándose con las máquinas virtuales a través de la tecnología VMware vShield. Esta tecnología interacciona también con el sistema de gestión del antivirus, así sabe cuáles son las configuraciones y las políticas aplicadas, cuándo activar o desactivar la protección, cuándo optimizar etc.
Security Virtual Appliance protege todas las otras máquinas virtuales
Parece la panacea de todos los males, pero el concepto sin agentes tiene una deficiencia característica en particular: la interfaz de vShield permite solo el análisis básico de los archivos o sea una funcionalidad limitada del antivirus. En particular, el usuario no tiene a disposición los siguientes sistemas de protección: Control de aplicaciones, System Watcher, listas blancas, heurística, control de dispositivos y de la Red. Como resultado, el análisis de los archivos está muy restringido: ninguna cuarentena para los archivos sospechosos, ni acceso a la memoria o a los procesos del ordenador.
Pero vShield no ha sido diseñado para tener una interfaz completa con todas las funciones de protección. Se puede utilizar (de esto hablaremos más adelante), pero hay otra forma para aplicar las diferentes funciones de protección…
… y aquí entra en acción Light Agent
Un light agent (o sea ligero y pequeño) se instala en cada máquina virtual protegida. Este agente sustituye vShield y conecta la máquina virtual con el motor antivirus que reside en la Security Virtual Appliance.
Hemos eliminado las limitaciones de la interfaz VMware añadiendo nuestro entero arsenal de tecnologías de defensa. Al mismo tiempo, mantenemos las ventajas de la metodología sin agentes: consumo reducido de recursos, capacidad de gestión y estabilidad contra las “tormentas” (cuellos de botella causados por la actualización simultánea de las bases de datos de los antivirus o del análisis de malware en varias máquinas al mismo tiempo).
Security Virtual Appliance protege todas las otras máquinas virtuales (como en el caso de sin agentes)
+
Una aplicación pequeña y “ligera” en cada máquina virtual que da acceso completo a todas las tecnologías de seguridad
No obstante su nombre, el Light Agent siempre “pesará” más de la solución sin agentes, ya que necesita una parte de la memoria de cada máquina virtual, parte de la potencia del procesador y otros recursos. De todas formas, con los mega-caballos de vapor de los ordenadores de hoy, el Light Agent influye de una manera mínima en las prestaciones del equipo. Hay otro aspecto positivo: algunas operaciones estándares del antivirus se ejecutarán más rápidamente con respecto a la solución sin agentes. Pero la cosa más importante es que Light Agent puede ser una alternativa muy válida a las soluciones de calidad de los normales productos antivirus que ofrecen cada vez más opciones a sus usuarios.
¿Pero qué pasa si el usuario quiere proteger sus datos en máquinas virtuales que no son Windows y aprovechar de todas las tecnologías de protección, incluso la criptografía? En este caso se necesita…
… la protección para endpoints tradicional.
Es verdad, puede resultar complicado configurar toda una infraestructura virtual, sin hablar del mantenimiento y los costes de una solución de este tipo que necesita más personas que se hagan cargo de ella, pero a veces hay situaciones en las que esta solución es la más apropiada.
Cada máquina virtual tiene instalada su protección para endopoint
Bien, basta ahora con la teoría, tenemos que poner esta tecnología en práctica…
(Al mismo tiempo, con modestia voy a promocionar la nueva versión de nuestro producto para entornos virtuales).
Hace poco hemos publicado el nuevo KSV 3.0 y tenemos mucho por lo que estar contentos felices.
Antes que nada, además de VMware, ahora suportamos Citrix XenServer y Microsoft Hyper-V.
En segundo lugar, aparte de la solución sin agentes para VMware, ¡ahora hay una solución con Light Agent para las tres plataformas!
Además, todos los productos se gestionan y se controlan a través de una sola consola, que es especialmente importante para entornos multi-hipervisores, para no crear confusión.
Entonces, ¿cuáles de las tres metodologías es la más adecuada?
En general, para elegir se deberían tener en cuentas estas indicaciones.
Con sistema operativo Windows, para la máxima protección y las mejores prestaciones, se necesita el light agent. Para otros sistemas operativos (Linux, OS X), es mejor un producto para endpoints; desafortunadamente, esta teoría depende también de la productividad y de la interacción del antivirus con las funcionalidades del entorno virtual.
Al momento estamos trabajando para que el método light agent se pueda aplicar también a otros sistemas operativos. Mientras tanto, si hay problemas en la productividad, el valor de los datos y los servicios no son altos y el acceso a los datos fuera de la organización es limitada, pues la solución sin agentes es la más adecuada.
Hemos analizado algunas tareas de aplicación típicas que se llevan a cabo a través de la virtualización y hemos obtenido una tabla bastante interesante:
* – Valor de los datos – Depende de los datos personales, financieros, comerciales y otros datos importantes
** – Valor de los servicios – Se tiene en consideración la importancia de los servicios no interrumpidos para el negocio
La tabla que acabamos de proponer no es exhaustiva y no es una presentación clara de cuál de las tres diferentes metodologías a la virtualización sea la más adecuada en diferentes entornos. Puede haber cambios en la organización, en las prioridades, en la configuración TI, en el presupuesto…El propósito de esta tabla es identificar las amenazas y las metodologías para definir tareas y prioridades. Para más detalles, consultar este post e también este enlace.(PDF).