El 80 % una base sólida para cloud con red Hat EntErprisE linux. El caso de la seguridad En cloud. SimilitudeS de la Seguridad de cloud

Transcripción

1 una base sólida para cloud con red Hat EntErprisE linux descripción de la tecnología El 80 % de las principales clouds públicas funcionan con Linux Para la mayoría de las organizaciones del mundo entero, el paso a cloud computing no es una cuestión de oportunidad, sino de encontrar el momento adecuado. Muchas ventajas decisivas índices de adopción. A decir verdad, en general se espera que la tecnología de cloud computing se convierta en la próxima década en el modelo dominante para la prestación de servicios de TI. Para muchos cargos responsables de la toma de decisiones, no obstante, pesan las dudas relativas al mantenimiento de la adecuada seguridad, privacidad y conformidad con las Las empresas y los proveedores de servicios de cloud pueden contribuir a disipar las dudas relativas a la seguridad mediante el uso de Red Hat Enterprise Linux como sistema operativo guest para sus cargas de trabajo de cloud y como plataforma subyacente para su infraestructura innovadoras características de seguridad que ayudan a ofrecer y a mantener una plataforma de servidor de código abierto excepcionalmente segura. El resultado es una base de cloud necesitan para avanzar en la creación y prestación de servicios empresariales esenciales de TI. El caso de la seguridad En cloud Tal y como han revelado en los últimos años incontables encuestas, garantizar una seguridad adecuada y ser capaz de demostrar la conformidad con las normativas y estándares aplicables (la Ley de portabilidad y responsabilidad en seguros sanitarios [HIPAA], la Ley federal de gestión de seguridad de la información [FISMA] y la Norma de seguridad de datos del sector de tarjetas de pago [PCI DSS]) son las principales preocupaciones de las organizaciones que evalúan el potencial de las soluciones de cloud computing. No es sorprendente que estos resultados sean los mismos independientemente del tipo de servicio (infraestructura como servicio [IaaS], plataforma como servicio [PaaS] y software como servicio [SaaS]) y de los modelos de implantación (público, privado e híbrido) de los que se trate. Para los responsables de la toma de decisiones de TI, es importante tener en cuenta que los detalles de los requisitos desde el punto de vista de la seguridad para cloud computing son al mismo tiempo parecidos y distintos a los que requiere la informática tradicional y las arquitecturas de centros de datos. SimilitudeS de la Seguridad de cloud Muchos aspectos de la estrategia en materia de seguridad de la información de una organización no varían para cloud computing. Las similitudes son: Preocupaciones de alto nivel. Las principales preocupaciones sobre seguridad en cloud de sufrir ciberataques e interrupciones de la disponibilidad) también pueden aplicarse a los entornos informáticos convencionales. estrategias de seguridad de alto nivel. Los principios rectores y las prácticas recomendadas (como privilegios mínimos, separación de funciones y defensa en profundidad) siguen siendo los mismos independientemente de la naturaleza del modelo informático. linkedin.com/company/red-hat 1 "Linux Adoption Trends 2012: A Survey of Enterprise End Users" (Tendencias en la adopción de Linux de 2012: una encuesta a usuarios finales empresariales) Linux Foundation, enero de 2013

2 Los controles de seguridad en cloud computing no se diferencian, en su mayoría, de los controles de seguridad de cualquier entorno de TI. componentes fundamentales. Aunque permite utilizarlos de distintas maneras, la tecnología de cloud computing en realidad no elimina los servidores, redes y dispositivos de almacenamiento físicos; ni tampoco la necesidad de protegerlos. Además, dado que las instancias virtuales normalmente se asemejan a sus equivalentes físicos, esto permite que muchos de los controles y técnicas de seguridad (si no opciones de implementación) se puedan conservar en el entorno virtual. control y responsabilidad compartida. Las opciones de implementación pública o híbrida introducen centros de datos y personal de terceros en la ecuación, aunque esto no es nada nuevo. El alojamiento web y de aplicaciones, y diversos tipos de servicios gestionados y subcontratación llevan décadas utilizándose, y la mayoría de las organizaciones han echado mano de ellos en un momento u otro en el pasado. idénticos o ligeramente distintos de los que se aplican en los entornos convencionales. diferencias de la Seguridad de cloud Aunque las organizaciones deberían poder aprovechar muchos aspectos de sus programas de seguridad convencional al trasladarse a la cloud, también hay varios puntos que requieren especial cuidado. Las prestaciones de abstracción y automatización básicas de cloud computing aumentan la necesidad de las organizaciones de atender varias diferencias importantes y las implicaciones que de ellas se derivan: Varios clientes. El aislamiento es necesario tanto para eliminar el riesgo de exposición de datos entre clientes, como para mitigar la posibilidad de que se den casos en los que una máquina virtual comprometida ponga a su vez en riesgo al hipervisor local, lo que proporcionaría acceso a cualquier máquina virtual co-residente y a todos los recursos vinculados. ubicación y movilidad de la carga de trabajo dinámica. Puesto que existe la capacidad de implantar y mover dinámicamente cargas de trabajo entre ubicaciones, ahora es necesario responder ante casos en los que: (a) las imágenes que se utilizan contienen vulnerabilidades (posiblemente porque están obsoletas) y (b) las cargas de trabajo aumentan en unas zonas o se migran a hosts que carecen del nivel de protección de la capa del sistema y de la red necesario (p. ej., cuando una carga de un software más seguro, así como con prestaciones de seguridad capaces de seguir el ritmo de las cambiantes variables de entorno (p. ej., porque son parte inherente de la carga de trabajo o se pueden coordinar dinámicamente con un sistema de gestión consciente de cloud). independencia de la infraestructura y la ubicación físicas. Con cloud computing, incluso el de prevención, para las que es necesario conocer la ubicación física de los sistemas y las rutas entre ellos. Ello, a su vez, aumenta la necesidad de establecer controles que acompañen indefectiblemente a cada carga de trabajo o que se puedan activar dinámicamente mediante llamadas API. ahora todo está en software infraestructura informática de una organización (junto con todos los datos que se procesan) ahora es más portátil que nunca. Como consecuencia, las funciones de gestión, como la capacidad para tomar instantáneas, se debe controlar estrechamente. También es necesario plantearse una implementación más exhaustiva de las capacidades de cifrado de datos disponibles. 2 "Security Guidance for Critical Areas of Focus in Cloud Computing v3.0" (Guía de seguridad para áreas críticas de concentración de cloud computing v. 3.0) Cloud Security Alliance,

3 Sistemas de gestión potentes. Con los actuales sistemas de gestión y orquestación de cloud, se puede montar (o desmontar) una aplicación multicapa entera junto con su infraestructura Una completa protección es necesaria no solo contra amenazas maliciosas, sino también contra el mal uso por error (por ejemplo, mediante el control del acceso a y desde cada sistema de gestión). Más de 10 años de Red Hat Enterprise Linux. Sin gusanos de día cero Desde la publicación de Red Hat Enterprise se han resuelto el 98 % de las vulnerabilidades críticas en un plazo Las organizaciones también deben tener en cuenta el hecho de que los modelos de implantación públicos e híbridos se traducen en la localización fuera de sus instalaciones de una cantidad cada las prestaciones de cifrado de datos basadas en cloud (incluidos los responsables de las gestión seguridad de red Hat EntErprisE linux para cloud Empresas y proveedores de servicios de cloud ya utilizan en gran medida Red Hat Enterprise Linux para todo tipo de implantaciones de cloud. Dos tercios de las organizaciones utilizan Linux como plataforma principal para la creación de clouds y Red Hat Enterprise Linux potencia muchos de los entornos de cloud más extensos del mundo, incluidos los establecidos por Amazon hardware que proporciona Red Hat Enterprise Linux, así como la sólida base que ofrece para las implantaciones de cloud. en dos casos prácticos básicos: Como sistema operativo guest para cargas de trabajo en cloud En su papel de plataforma subyacente para infraestructura de cloud fundamental, como la gestión de cloud y los sistema de orquestación caso práctico del sistema operativo guest Muchas iniciativas de cloud plantean retos y problemas excepcionales, pero la seguridad del sistema operativo guest con el que se ejecutarán sus cargas de trabajo no debería ser uno de ellos. En este caso, Red Hat Enterprise Linux proporciona dos ventajas notables: El desgaste de la seguridad debido a las vulnerabilidades en el nivel del sistema operativo está limitado. Esto se consigue principalmente mediante un completo conjunto muy efectivo de procesos que Red Hat emplea para minimizar la presencia de vulnerabilidades en primera instancia y para limitar el impacto de las que se descubran una vez que la plataforma esté en producción. La seguridad se mejora gracias a la incorporación de un variado catálogo de características que los departamentos de TI pueden emplear para fortalecer y proteger aún más sus cargas de trabajo en cloud. Entre ellas, cabe destacar SELinux y svirt para proteger los entornos 3

4 Descubra cómo Red Hat ofrece una plataforma de servidor segura para cloud computing (y otros casos prácticos) en nuestro whitepaper: "How Red Hat delivers a secure enterprise platform for next-generation datacenters" (Cómo proporciona Red Hat una plataforma empresarial segura para centros de datos de próxima generación). 4 Seguridad de cloud computing basada en el ProceSo Red Hat se vale de diversas prácticas y procedimientos para proporcionar una plataforma segura y garantizar que no se vulnera con el paso del tiempo. Esto se traduce en un sistema operativo que es intrínsecamente más seguro que las alternativas populares y que proporciona unos cimientos más sólidos para las cargas de trabajo en cloud (así como para las cargas convencionales). el proceso de código abierto. Todos los usuarios pueden acceder al código fuente, los errores se detectan y resuelven más rápido, y las nuevas ideas y código se examinan muchas más veces. cobertura ampliada paquetes que componen la distribución total de Red Hat Enterprise Linux mediante: El mantenimiento de relaciones de colaboración para la innovación y la implicación de la comunidad para la integración de la seguridad desde el principio. rendimiento. La creación de binarios a partir de código fuente asociado (en lugar de simplemente aceptar versiones mejoradas). La aplicación de un conjunto de herramientas de control de calidad para evitar un amplio repertorio de posibles problemas de seguridad. equipo de respuesta de seguridad dedicado. Además de garantizar que las correcciones de alta calidad se publican puntualmente para resolver vulnerabilidades en todos los productos de Red Hat, el equipo de respuesta de seguridad atiende todas las consultas de los clientes en materia de seguridad y trabaja con ellos para mantener sus sistemas actualizados y seguros. gestión de vulnerabilidades para luego crear, empaquetar, revelar y distribuir sus correcciones. Comparado con otros proveedores de soluciones, Red Hat minimiza el periodo de retención de las vulnerabilidades (la cantidad de tiempo que un problema está en conocimiento del proveedor antes de que el público se entere), se muestra abierto y e informa detalladamente sobre lo que se está corrigiendo y cómo, y garantiza la integridad y la seguridad de todas las actualizaciones. Seguridad de cloud computing basada en las funciones Si bien las prácticas y los procesos de Red Hat resultan útiles en muchos aspectos a la hora de proporcionar una base segura para cloud computing, Red Hat Enterprise Linux también cuenta con varias prestaciones y características técnicas que responden a muchos desafíos de Selinux: desarrollado originalmente por la Agencia de Seguridad Nacional de Estados Unidos (NSA), Security-Enhanced Linux es una función fundamental que permite a Red Hat Enterprise Linux afrontar muchas de las preocupaciones sobre seguridad en cloud asociadas con múltiples clientes, aprovisionamiento de cargas de trabajo dinámicas, migración de máquinas los procesos y objetos asociados al sistema operativo (usuarios, aplicaciones, procesos de 4 4

5 selinux: la clave del aislamiento de Varios clientes y Varias plataformas SELinux (bajo la forma del marco de seguridad conectable svirt) también forma parte de la solución de Red Hat para servidores y escritorios virtualizados, Red Hat Enterprise Virtualization. Esta implementación posibilita el aislamiento de máquinas virtuales en un entorno de cloud de varios clientes, incluidos los casos en los que los sistemas operativos guest no sean Red Hat Enterprise Linux. Dado que cada máquina individual es de hecho su propio proceso Linux, es posible etiquetarla y controlarla como cualquier otro proceso de sistema u objeto; lo que por consiguiente sienta las bases del aislamiento de varios clientes. sistema, archivos, puertos, dispositivos y nombres de host) se etiquetan según su tipo (y, de para controlar granularmente el acceso que tiene cada proceso a otros procesos y objetos; y todo sin tener que conceder privilegios de raíz. Lo que se obtiene es el sólido aislamiento de seguridad necesario para dar soporte en casos de varios clientes, además de un mecanismo de protección intrínsecamente portátil que migra con las cargas de trabajo y es capaz de adaptarse automáticamente a los cambios de los entornos físicos y virtuales en los que opera. Con SELinux, las organizaciones pueden obtener: Aislamiento de máquinas virtuales y contenedores clientes, así como de los datos asociados entre ellos. separación de obligaciones entre usuarios con distintos roles. impacto operativo hasta que el software se actualiza o se aíslan sus procesos. contenedores: con Red Hat Enterprise Linux 7, las organizaciones además pueden aprovechar los contenedores seguros de Linux. Esta utilidad proporciona virtualización operativa a nivel del virtual-hipervisor. En su lugar, utiliza espacios de nombres y grupos de control para aislar uno o más procesos del resto del sistema (desde el punto de vista del control del acceso y del consumo de recursos). En el contexto del caso práctico del sistema operativo guest, las prestaciones del contenedor se podrían utilizar para posibilitar una arquitectura de varios usuarios dentro de una carga de trabajo en cloud determinada (máquina virtual), en vez del caso más conocido a un nivel básico, donde las distintas máquinas virtuales comparten el mismo host físico. Pongamos por caso una aplicación de gestión de la relación con los clientes (CRM) alojada en la que no desee establecer una máquina virtual independiente para cada usuario, pero sí que quiera proporcionar un aislamiento total entre las distintas instancias de la misma. Los contenedores también se aplican a las implantaciones de plataforma como servicio (PaaS). De hecho, muchas de las plataformas de PaaS más importantes (incluido OpenShift de Red Hat) utilizan contenedores Linux como el planteamiento básico para ejecutar cargas de trabajo de aplicaciones (en lugar de que cada carga de trabajo se ejecute en una máquina virtual dedicada). de la infraestructura gracias a la capacidad para dividir aún más las máquinas virtuales en máquinas y a la posibilidad de implantar aplicaciones muy rápido. Protección de tiempo-versión: Exec-Shield es la consolidación de varios mecanismos y tecnologías de seguridad que ayudan a dar respuesta al riesgo de que las cargas de trabajo en cloud sean susceptibles a los ciberataques. Con Exec-Shield, los gusanos, virus y otras formas de ataques automatizados se eliminan gracias a características que incorpora Red Hat Enterprise Linux y que detienen todo tipo de vulnerabilidades. Estas características incluyen compatibilidad con el permiso de memoria No execute (NX), varias implementaciones de selección aleatoria del diseño del espacio de direcciones (ASLR) y un fortalecimiento progresivo del compilador 5

6 las certificaciones de seguridad de red Hat EntErprisE linux incluyen: Common Criteria EAL4+ para sistema operativo Para obtener más información concretas que han obtenido los productos de Red Hat, visite redhat.com. 5 red Hat Satellite: especialmente útil para implantaciones de cloud privada, la consola centralizada de Red Hat Satellite para la gestión completa del ciclo de vida de las instancias de Red Hat Enterprise Linux también ayuda a garantizar la seguridad en cloud. Con Red Hat Satellite, los administradores disponen de un panel consolidado que muestra el estado de revisión de los sistemas de Red Hat Enterprise Linux en todos los entornos físicos, virtuales y en cloud. También funciones de evaluación automatizadas. Soporte para openscap y oval: el soporte para OpenSCAP en Red Hat Enterprise Linux consta de un potente conjunto de prestaciones que ayudan a garantizar la seguridad de la plataforma en entornos físicos, virtuales y en cloud. Los administradores pueden utilizar las funciones de OpenSCAP junto con un sistema de gestión compatible, como Red Hat Satellite, para la realización de búsquedas automatizadas, la creación centralizada de informes y la corrección del estado de la máquina para las instancias de Red Hat Enterprise Linux. Al utilizar contenido EE. UU. (DoD) y los archivos del proyecto Open Vulnerability and Assessment Language (OVAL) cumple las políticas, directrices y estándares aplicables de forma rápida y sencilla. El resultado es un conjunto de herramientas de valor incalculable disponible de forma nativa que reduce la susceptibilidad de las cargas de trabajo en cloud a los ciberataques y ayuda a demostrar la conformidad con las normativas aplicables. cifrado total del disco por los estándares federales de procesamiento de la información de EE. UU. (FIPS) de la compatibilidad e interoperabilidad para proteger los datos en almacenamiento (p. ej., en matrices de almacenamiento compartidas), independientemente de la criptografía que haya decidido implementar (o no) el proveedor de cloud. las versiones derivadas inferiores (como CentOS) porque los binarios, el desarrollo del software y los procesos de gestión son distintos en cada caso

7 caso práctico de la infraestructura de cloud La infraestructura de cloud, en concreto las plataformas de gestión que se utilizan para aprovisionar, crear instancias, orquestar y administrar sistemas y entornos de cloud es método y al alcance de la protección de estos sistemas. Red Hat Enterprise Linux ha hecho varias contribuciones a este caso práctico de crucial importancia. Plataforma segura: el proceso y las ventajas de la seguridad basada en las funciones que hemos visto en el caso del sistema operativo guest también se aplican a la infraestructura de cloud, pero de modos distintos. Por ejemplo, en lugar de que SELinux contribuya al aislamiento de varios clientes, con la infraestructura de cloud por lo general se aplicará para establecer el control de versión, OpenSCAP, el equipo de respuesta de seguridad dedicado y todo lo demás, se aplican a las propias soluciones de infraestructura de cloud de Red Hat. También se aplican a los sistemas de gestión de cloud de terceros para los que Red Hat Enterprise Linux sirva como sistema operativo subyacente. gestión de identidades: Identity Management de Red Hat Enterprise Linux, basado en el proyecto de código abierto FreeIPA, proporciona un medio para gestionar identidades, controlar la autenticación y permitir el control de acceso granular para los usuarios, máquinas y servicios de los entornos de Linux y UNIX. de gestionar prestaciones nativas de Linux como sudo y automount. Con Identity Management en Red Hat Enterprise Linux, los equipos de TI y de seguridad: Se libran de tener que gestionar las cuentas individualmente para cada instancia de servidor, una tarea que resulta especialmente difícil en entornos de cloud muy dinámicos. Pueden permitir que los sistemas Linux aprovechen las políticas y otras capacidades de un servidor central. Pueden prescindir de los complejos y costosos esfuerzos de integración que de otro modo serían necesarios para permitir a los clientes de Linux conectarse directamente a Active Directory. Obtener una herramienta potente para controlar granularmente el acceso no solo a las plataformas de gestión de cloud (por parte de los usuarios o de otros sistemas), sino también desde dichas plataformas a los conjuntos de recursos y otros componentes menores que gestionen u orquesten dinámicamente. 7

8 descripción de la tecnología una base sólida para cloud con red Hat enterprise linux conclusión Red Hat Enterprise Linux combina un conjunto incomparable de procesos para ofrecer y mantener software seguro con numerosas prestaciones innovadoras de seguridad, como SELinux, contenedores Linux y OpenSCAP. El resultado es una base sólida para cloud computing que ayuda a responder a muchas de las preocupaciones en materia de seguridad (privacidad) y conformidad que impiden a las empresas actuales adoptar este planteamiento innovador de próxima generación a la prestación de servicios de TI. En concreto, la robusta seguridad que proporciona Red Hat Enterprise Linux hacen de esta solución la elección ideal tanto como sistema operativo guest para cargas de trabajo en cloud como en su papel de plataforma subyacente para la infraestructura de cloud fundamental, como los sistemas de gestión y orquestación de cloud. Las organizaciones que utilizan Red Hat Enterprise Linux para varios casos prácticos (desde servidores físicos convencionales y virtuales hasta cargas de trabajo en cloud e infraestructura homogéneas en todo su entorno informático. Cuando Red Hat Enterprise Linux se utiliza ampliamente, no hay necesidad de comprometer el nivel de seguridad que se ofrece de un caso práctico a otro ni es necesario dar rodeos o buscar complementos para obtener las capacidades que requiere, como tampoco hace falta aprender a utilizar, gestionar y mantener grupos de funciones de seguridad, políticas y normas dispares. Aunque todo cambia a su alrededor, Red Hat Enterprise Linux y las ventajas de seguridad que ofrece permanecen. acerca de red Hat Red Hat es el proveedor líder de soluciones de código abierto empresarial que basa el desarrollo alto rendimiento en la comunidad. Red Hat también ofrece unos galardonados servicios de soporte, ayuda a los clientes a impulsar sus negocios. linkedin.com/company/red-hat europa, oriente medio Y África (emea) turquía israel eau europe@redhat.com Inc. registradas en Estados Unidos y en otros países. Linux es la marca comercial registrada de Linus Torvalds en Estados Unidos y en otros países.