1. ¿Es segura la virtualización?
Este artículo ha sido desarrollado por Willy Sehringer, quien está certificado como VMware Professional Partner y puede ser encontrado en su empresa y sitio web.
¿Es segura la virtualización?
Esta es una pregunta muy común, especialmente si la organización planea virtualizar aplicaciones críticas. El primer paso para entender esta pregunta es observar las diferencias entre las infraestructura virtual (IV) y la infraestructura física (IF).
En la IV tenemos:
Rápido aprovisionamiento de nuevos servidores.
Muchas configuraciones de red se "mueven" al host, ahora se configuran en el host.
Multiples servidores ejecutándose en unos pocos hosts físicos.
Entender estas diferencias lo ayudara a conocer como cambia en un entorno virtual la administración de la seguridad. A continuación se plantean algunas preguntas y respuestas respecto a estos nuevos desafíos.
¿Porque el rápido aprovisionamiento de servidores nuevos puede ser un problema de seguridad?
A menudo se ven ambientes virtuales que crecen rápidamente, en forma desordenada, sin una planificación suficiente, la forma de desplegar los hosts y clusters puede impactar significativamente en la seguridad de la IV porque en un entorno virtual las configuraciones pueden modificarse con mayor facilidad que en un entorno físico.
¿Que es mas fácil, desconectar un servidor físico para lo cual debemos ingresar al datacenter y desconectar el cable de red o desconectar un servidor virtual, lo cuál podemos hacer desde una estación de trabajo con un par de "clicks"? La respuesta parece obvia. Esta temática nos lleva al refuerzo de nuestro control del sistema de administración de la IV y del control de cambios.
Las redes de la IV es el punto que más preocupa desde la óptica de la seguridad informática, porque en muchos casos el equipo de redes deja de manejar el 100% del networking pasando a manos del equipo de virtualización. Las estadísticas dicen que la mayor problemática en este nivel son los riesgos asociados a las malas configuraciones por parte de los administradores.
Desde el punto de vista de las máquinas virtuales, las mismas están encapsuladas, generalmente en un almacenamiento compartido. Esto ¿es bueno o es malo? Por un lado permite capacidades avanzadas y de alta disponibilidad pero por otro permite robar un servidor sólo copiando una carpeta con archivos.
Las máquinas virtuales hacen que la administración de las configuraciones sea desafiante y totalmente dinámica, las máquinas virtuales "se mueven". En un entorno físico se sabe en que rack está alojado un servidor y cual es su funcionalidad pero en el ambiente virtual, para saber sobre qué equipo está corriendo una máquina virtual especifica se deberá acceder a la consola de administración de la IV y revisar esa propiedad.
¿Por qué la consolidación se convierte en un problema de seguridad?
El problema no es la consolidación, ni el entorno virtual, el problema son las configuraciones erróneas. Esto es debido a que las configuraciones son muy simples de realizar: un check mal seleccionado puede abrir un agujero de seguridad por lo que se vuelve imprescindible mantener siempre la atención sobre la administración de configuraciones y el control de cambios.
¿El hipervisor es una debilidad en la seguridad?
Hasta el momento no se ha visto un exploit in-the-wild que permita que una máquina virtual "salte" de su contenedor, es decir que un atacante desde una máquina virtual pueda salirse de ella y tener acceso al Hipervisor. Aquí resulta sumamente importante la exigencia de cada fabricante respecto a los estándares de desarrollo y seguridad de sus productos.
Mientras la virtualización no es una nueva tecnología, para muchos profesionales puede ser intimidante: "cuando se virtualizan los servidores se pierde completamente la visibilidad de los mismos" porque ya no ven cables y eso puede "desesperar" al administrador.
La realidad dice que los entornos virtuales tienen una historia muy sólida y de sistemas muy seguros, con muchas instalaciones con datos sensibles y en posiciones hostiles.
Entonces ¿existen amenazas en el mundo virtual?
La realidad es que todo es muy similar al mundo físico:
Acceso inapropiado a las redes seguras, especialmente a las de Management.
Configuraciones defectuosas o incorrectas.
Sistemas sin actualización.
Privilegios excesivos.
Muchos de estos problemas son simples de resolver con planificación, administración y monitoreo apropiado.
Respecto a la seguridad en ambientes virtualizados la mayoría de los temas también hacen referencia a lo mismo citado anteriormente:
Los sistemas físicos deben protegerse.
Los sistemas operativos de las máquinas virtuales deben parchearse y protegerse de cualquier tipo de código dañino.
La seguridad perimetral es básicamente la misma.
Se debe seguir administrando las configuraciones y haciendo control de cambios.
La mayor parte de los cambios tienen que ver con la IV en sí mismo y como se administra:
Nuevos puntos de Managemet que permita administrar la seguridad del entorno virtual.
Considerar los canales de comunicación entre los sistemas virtuales y los hosts.
Parcheo del hipervisor.
Los roles y responsabilidades comienzan a desdibujarse, especialmente con los equipos de networking y storage.
Finalmente hay muchos temas a tener en cuenta en la seguridad del entorno virtual, pero al menos son esenciales realizar las siguientes acciones:
Usar una gestión de configuración sólida.
Utilizar procesos de control de cambios... los cambios pequeños no planificados por lo general tienen grandes (y malas) consecuencias.
Revisar los archivos de log para detectar actividad inusual.
Revisar los permisos de las máquinas virtuales especificas y comprobar que tengan los permisos apropiados para las tareas que tienen asignadas.
¡Gracias Willy!
2. Administración de Identidades y Single Sign-on
La Administración de Identidades permite integrar políticas y procesos organizacionales para facilitar y controlar el acceso a los sistemas de información y a las instalaciones. Actualmente se utiliza para administrar autenticación de usuarios, derechos y restricciones de acceso, perfiles de cuentas, contraseñas y otros atributos necesarios para la administración de perfiles de usuario y con el objetivo de controlar dichos accesos.
Single sign-on (SSO) es un procedimiento de autenticación que habilita al usuario para acceder a varios sistemas heterogéneos con una sola instancia de identificación. Su traducción literal sería algo como "sistema centralizado de autenticación y autorización" y se refiere al acceso a múltiples recursos por medio de un único proceso de ingreso.
Algunos autores creen que el SSO es imposible de aplicar en casos de uso reales y aumenta el impacto negativo en el caso de que las credenciales queden disponibles para personas ajenas a la organización. Por lo tanto, el SSO requiere una mayor atención en la protección de las credenciales de usuario, e idealmente debe ser combinada con métodos de autenticación fuerte, como las tarjetas inteligentes, acceso biométricos, tokens y certificados digitales.
En una arquitectura SSO, todos los mecanismos de seguridad se encuentran concentrados y el sistema se transforma en un punto único de fallo y hace que los sistemas de autenticación sean muy críticos porque una pérdida de disponibilidad puede resultar en la denegación de acceso a todos los sistemas unificados bajo el SSO.
Existen diferentes tipos de arquitecturas de SSO y cada una de ellas posee características apropiadas para distintos tipos de organización:
Password vault: es la configuración más básica para implementar SSO y la arquitectura se encuentra ubicada en el cliente, desde donde se accede a las aplicaciones. Previamente se deben almacenar las credenciales correspondientes, para que puedan ser suministradas a las aplicaciones cuando sea necesario. Si bien los recursos necesarios son bajos, sus funciones administrativas son limitadas y no es posible actualizar los clientes de manera masiva en toda la organización.
Enterprise single sign-on (ESSO), también llamado Legacy Single Sign-on, funciona para una autenticación primaria, interceptando los requerimientos de login presentados por las aplicaciones secundarias para completar los mismos con el usuario y contraseña. Los sistemas ESSO permiten interactuar con sistemas que pueden deshabilitar la presentación de la pantalla de login.
Web Single Sign-on (Web-SSO), también llamado Web access management (Web-AM) trabaja sólo con aplicaciones y recursos accedidos vía web. Los accesos son interceptados por un componente instalado en el servidor web destino. Los usuarios no autenticados que tratan de acceder son redirigidos a un servidor de autenticación y regresan solo después de haber logrado un acceso exitoso. Por ejemplo, durante el acceso a un escritorio remoto los usuarios pueden iniciar programas que forman parte de la misma conexión sin brindar más credenciales que la inicial
Kerberos: es un protocolo de autenticación de redes y es un método popular de externalizar la autenticación de los usuarios (proceso que recibe el nombre de "Kerberizar"). Los usuarios se registran en el servidor Kerberos y reciben un "ticket" que presentan para obtener acceso. Es un modelo de cliente-servidor, y brinda autenticación mutua: tanto cliente como servidor verifican la identidad uno del otro.
Los mensajes de autenticación se basan en criptografía de clave simétrica y utilizan un tercero de confianza ("centro de distribución de claves" o KDC, por sus siglas en inglés: Key Distribution Center), y están protegidos para evitar eavesdropping y ataques de replay.
Identidad federada (Federated Identity Management): habilita que las aplicaciones puedan identificar los clientes sin necesidad de autenticación redundante y permite la gestión de identidad interdependiente entre compañías. Mediante soluciones de Identidad Federada los individuos pueden emplear la misma identificación personal para identificarse en diferentes redes, aplicaciones o empresas. De este modo distintas aplicaciones pueden compartir información incluso cuando no comparten tecnologías de directorio, seguridad y autenticación. Para su funcionamiento es necesaria la utilización de estándares que definan mecanismos que permiten a las aplicaciones compartir información entre dominios e identificar a un determinado usuario en una comunidad determinada con acceso a servicios específicos.
OpenID: estándar de identificación digital descentralizado, con el que un usuario puede identificarse en una página web a través de una URL (o XRI) y puede ser verificado por cualquier servidor que soporte el protocolo. En los sitios que soporten OpenID, los usuarios no tienen que crearse una nueva cuenta de usuario para obtener acceso. En su lugar, solo necesitan disponer de un identificador creado en un servidor que verifique OpenID, llamado proveedor de identidad o IdP, y quien es el encargado de confirmar la identificación del usuario.
XRI (Extensible Resource Identifier) es un nuevo sistema de identificación en Internet, diseñado específicamente para manejo de identidades digitales en diversos dominios. En este caso la seguridad de una conexión OpenID depende de la confianza que tenga el cliente OpenID en el proveedor de identidad, por lo que no es un sistema adecuado para servicios críticos o de transacciones electrónicas.
Actualmente se utilizan metadirectorios (estos productos también pueden usarse para otras aplicaciones) como Administradores de Identidad para permitir la gestión de usuarios, claves y permisos. Los metadirectorios se utilizan para replicar datos entre diferentes fuentes a través de conectores de bases de datos de diferentes orígenes y fabricantes. Son muy utilizados en grandes redes corporativas donde suelen confluir aplicaciones de diferentes fabricantes y que usan información de diferentes bases de datos LDAP, Active Directory, Oracle, etc.
La ventaja de desplegar soluciones de SSO permite al usuario final no tener que recordar ni conocer identificadores ni contraseñas para acceder a las diferentes aplicaciones que utiliza y sólo tiene que recordar un identificador y una contraseña inicial. El usuario tendrá acceso a las aplicaciones según su rol en la organización y se pueden establecer de políticas de seguridad de acceso de forma rápida y auditables, incluso sin que el usuario conozca de mismas. Las soluciones de este tipo también permiten que el usuario final ya no se tenga que ocupar de recordar ni de cambiar las contraseñas porque los sistemas lo harán por él y las mismas serán tan seguras como las aplicaciones clientes lo permitan, hasta el punto que respondan a algoritmos aleatorios difíciles de crackear.
Algunas soluciones que actualmente se pueden encontrar en el mercado son:
CAS (Central Authentication Service) y Spring Security [1]: aplicaciones web que permiten implementar SSO entre distintas aplicaciones web, dominios o servidores.
SPNEGO permite realizar SSO para los clientes web en entorno Windows, una vez realizado el login en Windows.
Sun Identity Management: soluciones de autenticación, autorización, provisionamiento de identidades y auditoria.
ActivIdentity: ofrece un amplio abanico de soluciones que pueden probarse por tiempo y cantidad y usuarios limitado.
Passlogix (ahora Oracle Enterprise Single Sign-On): proporciona inicio de sesión unificado y autenticación a través de todos los recursos de la empresa, incluyendo equipos de escritorio, cliente-servidor y mainframe.
Quest: proporcionar a los empleados el derecho de acceso a la información crítica de negocio.
IBM Security Access Manager for Enterprise Single Sign-On: ofrece las mismas alternativas de sus competidores y hace hincapié en el compliance.
PasswordBank: PasswordBank es una arquitectura abierta de SOA, basada en servicios web y que permite una fácil integración con una amplia gama de plataformas, lenguajes y aplicaciones.
[1] Introducción a CAS (Central Authentication Service)
http://www.adictosaltrabajo.com/tutoriales/tutoriales.php?pagina=Introdu...
http://www.jasig.org/cas/download
http://static.springsource.org/spring-security/site/tutorial.html
