Virtualización: Beneficios y desafíos

Transcripción

1 Un Artículo Técnico de ISACA sobre una Tecnología Emergente Virtualización: Beneficios y desafíos Resumen Virtualización es una palabra de moda de alta tecnología ampliamente utilizada, pero su importancia cada vez mayor se basa en algo más que en la moda pasajera de la multitud. Con su potencial para reducir los gastos de capital y costos de energía, la virtualización presenta una solución atractiva para las empresas que buscan ahorrar dinero y generar valor a partir de sus inversiones en TI. De hecho, la virtualización puede ofrecer muchos beneficios a las empresas, pero los beneficios deben sopesarse contra las posibles amenazas a los activos de información y el mismo negocio. Este artículo técnico examina algunos de los beneficios del negocio que se obtienen de las soluciones virtualizadas, identifica problemas de seguridad y sugiere posibles soluciones, investiga algunas consideraciones del cambio que deben considerarse antes de pasar a un entorno virtualizado y proporciona una orientación práctica sobre la auditoría de un sistema virtualizado.

2 ISACA Con miembros en 160 países, ISACA ( es un proveedor líder global en conocimiento, certificaciones, comunidad profesional, actividades de promoción y educación en materia de aseguramiento y seguridad de los sistemas de información (IS), gobierno corporativo y de TI y gestión de los riesgos relacionados con la TI y el cumplimiento de las normas. Fundada en 1969, ISACA, una organización independiente sin fines de lucro, auspicia conferencias internacionales, publica la ISACA Journal y desarrolla normas internacionales de control y auditoría para los sistemas de información, lo que ayuda a sus miembros a asegurar la confianza y el valor de los sistemas de información. También desarrolla y certifica destrezas y conocimientos en TI a través de la internacionalmente reconocida Certified Information Systems Auditor TM (Auditor Certificado en Sistemas de Información) (CISA ), Certified Information Security Manager (Gerente Certificado de Seguridad de la Información) (CISM ), Certified in the Governance of Enterprise IT (Certificado en Gobierno de Tecnologías de la Información Empresariales) (CGEIT ) y Certified in Risk and Information Systems Control TM (Certificado en Riesgo y Control de Sistemas de Información) (CRISC TM ). ISACA actualiza continuamente el COBIT, que ayuda a los profesionales y líderes empresariales a cumplir con sus responsabilidades de control y gobierno de TI, particularmente en las áreas de aseguramiento, seguridad, riesgo y control y a ofrecer valor al negocio. Cláusula de exención de responsabilidad ISACA ha diseñado y creado Virtualización: Beneficios y desafíos (el Trabajo ), principalmente como un recurso educativo para los profesionales de seguridad, gobierno y aseguramiento. ISACA no garantiza que el uso de cualquier Trabajo asegurará un resultado exitoso. El Trabajo no debe considerarse completo con toda la información, procedimientos y exámenes apropiados ni tampoco como excluyente de otra información, procedimientos y exámenes que se aplican razonablemente para obtener los mismos resultados. Para determinar la conveniencia de cualquier información específica, procedimiento o prueba, los profesionales de seguridad, gobierno y aseguramiento deben aplicar a su propio criterio profesional a las circunstancias específicas de control presentadas por los sistemas particulares o entorno de la tecnología de la información. Reservación de derechos 2010 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación se puede utilizar, copiar, modificar, mostrar, almacenar en un sistema de recuperación o transmitir de ninguna manera a través de ningún medio (electrónico, mecánico, fotocopias, grabación u otros) sin la autorización previa por escrito de ISACA. La reproducción y utilización de toda o parte de esta publicación están permitidas únicamente para el uso académico, interno y no comercial y para los compromisos de consultoría y asesoramiento, y deberán incluir la atribución completa de la fuente del material. No se otorga otra clase de derechos ni permisos en relación con este trabajo. ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL EE.UU. Teléfono: Fax: Correo electrónico: info@isaca.org Página Internet: Virtualización: Beneficios y desafíos CRISC es una marca comercial/marca de servicio de ISACA. La marca se ha utilizado o registrado en países en todo el mundo. 2

3 ISACA desea agradecer a: Equipo de desarrollo del proyecto Ramses Gallego, CISM, CGEIT, CISSP, SCPM, ITIL, cinturón negro de Six Sigma, Entel IT Consulting, España, Presidente Jason Chan, VMWare, EE.UU. Michael Hoesing, CISA, CPA, CISSP, CIA, Universidad de Nebraska en Omaha, EE.UU. Steve Orrin, Intel Corporation, EE.UU. Revisores expertos David Finnis, CISA, CGEIT, CISSP, Ekko Consulting, EE.UU. Roger Gallego, Entel IT Consulting, España Edward Haletky AstroArch Consulting, Inc., EE.UU. Florian Murillo, Cloud Consulting, España Consejo de dirección de ISACA Emil D Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., EE.UU., Presidente Internacional Christos K. Dimitriadis, Ph.D., CISA, CISM, INTRALOT S.A., Grecia, Vice Presidente Ria Lucas, CISA, CGEIT, Telstra Corp. Ltd., Australia, Vice Presidente Hitoshi Ota, CISA, CISM, CGEIT, CIA, Mizuho Corporate Bank Ltd., Japón, Vice Presidente José Ángel Peña Ibarra, CGEIT, Alintec S.A., México, Vice Presidente Robert E. Stroud, CGEIT, CA Technologies, EE.UU., Vice Presidente Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (jubilado), EE.UU., Vice Presidente Rolf M. von Roessing, CISA, CISM, CGEIT, Forfa AG, Alemania, Vice Presidente Lynn C. Lawton, CISA, FBCS CITP, FCA, FIIA, KPMG Ltd., Federación Rusa, antiguo Presidente Internacional Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (jubilado), EE.UU., antiguo Presidente Internacional Gregory T. Grocholski, CISA, The Dow Chemical Co., EE.UU., Director Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Gobierno de Queensland, Australia, Director Howard Nicholson, CISA, CGEIT, CRISC, Ciudad de Salisbury, Australia, Director Jeff Spivey, CPP, PSP, Security Risk Management, EE.UU., fiduciario de ITGI Comité de orientación y prácticas Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (jubilado), EE.UU., Presidente Kamal N. Dave, CISA, CISM, CGEIT, Hewlett-Packard, EE.UU. Urs Fischer, CISA, CRISC, CIA, CPA (Suiza), Suiza Ramses Gallego, CISM, CGEIT, CISSP, Entel IT Consulting, España Phillip J. Lageschulte, CGEIT, CPA, KPMG LLP, EE.UU. Ravi Muthukrishnan, CISA, CISM, FCA, ISCA, Capco IT Service India Pvt. Ltd., India Anthony P. Noble, CISA, CCP, Viacom Inc., EE.UU. Salomon Rico, CISA, CISM, CGEIT, Deloitte, México Frank Van Der Zwaag, CISA, Westpac New Zealand, Nueva Zelanda 3

4 Afiliados y patrocinadores de ISACA y el IT Governance Institute (ITGI) American Institute of Certified Public Accountants ASIS International The Center for Internet Security Commonwealth Association for Corporate Governance Inc. FIDA Inform Information Security Forum Information Systems Security Association Institut de la Gouvernance des Systèmes d Information Institute of Management Accountants Inc. Capítulos de ISACA ITGI Japan Norwich University Solvay Brussels School of Economics and Management University of Antwerp Management School Analytix Holdings Pty. Ltd. BWise B.V. Hewlett-Packard IBM Project Rx Inc. SOAProjects Inc. Symantec Corp. TruArx Inc. 4

5 Impactos de la virtualización Por definición, la virtualización es la representación de algo en forma virtual (en lugar de real). En la tecnología de información empresarial (TI), la virtualización altera la arquitectura técnica porque permite la ejecución de diferentes recursos en un entorno único (o de varias capas). En general, convierte un elemento de hardware en el host de muchos otros elementos y, en consecuencia, con el tiempo, tiene el potencial para reducir los gastos de capital de la empresa, los costos de administración y otros costos financieros. La virtualización, como término y concepto, tiene un uso amplio y puede aplicarse a varias áreas: servidores virtualizados, almacenamiento virtualizado, procesadores virtualizados, memoria virtual, escritorios virtuales, red virtualizada, etc. Debido a sus amplias aplicaciones y ahorros de costos, los ejecutivos de información (CIO) en todo el mundo la evalúan en la medida en que elaboran estrategias sobre cómo proporcionar la agilidad y la potencia informática para satisfacer sus necesidades empresariales. Además, debido a que hoy en día las organizaciones necesitan una manera rápida y confiable para proporcionar recursos técnicos que permitan plazos más rápidos en el mercado, la virtualización está en la agenda de los altos ejecutivos y ya está mejorando la eficacia de muchas empresas de todo el mundo. Originalmente la virtualización se usaba principalmente para facilitar la consolidación de servidores, pero ahora se presentan muchos otros enfoques. La virtualización se inicia durante la fase de diseño del entorno técnico, cuando el equipo de diseño considera cómo apoyar los procesos de negocio e identifica los activos necesarios para convertir el plan en una realidad. Es durante esta fase que las empresas a menudo se dan cuenta que el ciclo de vida para la disposición del hardware y otros equipos adecuados se puede extender más de lo esperado y que hay una manera más rápida de implementarlos: mediante la creación de un poco de abstracción del mundo físico y el alojamiento de diferentes recursos virtuales dentro de los límites de un recurso físico único. Virtual es lo opuesto a físico, pero no a real. La virtualización es muy real; está aquí para quedarse y algunas nuevas tecnologías, tales como la informática en malla y nube, dependen de ella para cumplir con su promesa. Beneficios empresariales de la virtualización La virtualización está aquí para quedarse, y algunas nuevas tecnologías dependen de ella para cumplir su promesa. Existen muchos beneficios con la implementación de la virtualización dentro de la TI empresarial. Entre otros, se incluyen: Reducción de costos Mediante la consolidación de muchos casos de servidores (virtualizados) en uno físico, las empresas disminuyen sus gastos de hardware. Además de disminuir los gastos de capital, los entornos virtualizados permiten a las empresas ahorrar en mantenimiento y energía, lo que a menudo resulta en un menor costo total de propiedad (TCO). Automatización La tecnología permite proveer algunos entornos virtualizados según las necesidades y sobre la marcha, por lo que facilita la automatización de los procesos de negocio y elimina la necesidad de suplir continuamente y administrar parte del entorno técnico que apoya las necesidades esporádicas del negocio. Una tecnología de virtualización facilita la asignación automática de un proceso para su funcionamiento óptimo dentro de un grupo de entornos virtualizados. Capacidad de respuesta Dado que el entorno virtual tiene la capacidad de abastecerse a sí mismo para aprovechar los recursos disponibles, los tiempos de respuesta son más rápidos y los tiempos improductivos pueden llegar a ser casi nulos, mejora la agilidad y el rendimiento. Desacoplado Los procesos que una vez necesitaron existir dentro de la misma máquina física ahora pueden separarse fácilmente mientras se mantiene la robustez y seguridad necesarias. Los diferentes mundos virtualizados (red, sistema operativo [OS], base de datos, aplicaciones, etc.) pueden desacoplarse (incluso distribuirse en distintas ubicaciones geográficas) sin amenazar la integridad del proceso. 5

6 Flexibilidad: La relativamente fácil creación o preparación de un entorno adecuado para la aplicación correcta permite a las empresas ofrecer flexibilidad a la infraestructura, no sólo en las fases de prueba o preproducción, sino también en la producción. Cuando surge un nuevo requisito de procedimiento o técnico o de negocio, la capacidad de virtualización para habilitar la rápida creación del entorno permite al negocio probar el entorno sin tener que esperar la ejecución y entrega del proceso definitivo. Agilidad: La agilidad facilita una rápida adaptación a las necesidades del negocio, tales como cuando aumentan los pedidos o se necesita una potencia informática adicional. La empresa puede incluso decidir comprometer en exceso los recursos de una máquina física dado que la virtualización facilita el movimiento rápido de los distintos recursos que "viven" en una máquina física a otras máquinas virtuales. De esta forma, la virtualización apoya el alineamiento con las necesidades de la empresa. Equilibrio de las cargas de trabajo: La implementación de varios entornos virtuales garantiza las buenas prácticas de alta disponibilidad, la redundancia y la conexión de apoyo, ya que se pueden trasladar las cargas de trabajo a donde éstas sean más eficientes. Por lo tanto, la virtualización no sólo se centra en la efectividad (hacer lo correcto) sino también la eficiencia (hacer las cosas de una manera más rápida, más barata y más fiable). Simplificación: la TI virtual sigue siendo TI, por lo que algunas de las dificultades típicas de la TI existen incluso dentro de un entorno virtual. Sin embargo, la reducción del número de servidores físicos reduce significativamente la probabilidad de fallas y costos de administración, lo que genera una simplificación, una de las promesas de la virtualización. Uso del espacio: La consolidación de servidores ahorra espacio en el centro de datos y facilita la escalabilidad, ya que existen muchos servidores dentro de un servidor. Sostenibilidad: Los entornos virtualizados utilizan menos recursos ambientales. El consumo de energía en los centros de datos a menudo se desperdicia en máquinas que se subutilizan de manera sistemática. Dado que la virtualización permite a muchas máquinas virtuales ejecutarse en una sola máquina física, se necesita menos energía para alimentar y enfriar los dispositivos. En resumen, los beneficios empresariales de la virtualización se pueden expresar como se muestra en la figura 1. Figura 1 Cinco razones para virtualizar Resultado Cómo se logra 1. Reduce la complejidad de la TI. Las aplicaciones y sus sistemas operativos se encapsulan en máquinas virtuales que son definidas mediante software, lo cual facilita su disposición y administración. 2. Permite la estandarización. Dado que las aplicaciones se desacoplan del hardware, el centro de datos puede converger en una serie más limitada de dispositivos de hardware. 3. Aumenta la agilidad. Las aplicaciones y máquinas virtuales pueden copiarse y trasladarse en tiempo real, y en la nube, en respuesta a las condiciones variables del negocio. 4. Aumenta la rentabilidad. La máquinas virtuales se pueden trasladar fácilmente para consumir capacidad de reserva dondequiera que exista, por lo que genera más trabajo con menos hardware. 5. Facilita la automatización. Se puede proveer y orquestar fácilmente la infraestructura virtual mediante procesos ejecutados por software, especialmente cuando se estandariza el hardware subyacente. 6

7 Riesgos y problemas de seguridad con la virtualización Al igual que con cualquier tecnología, existen riesgos asociados con la virtualización. Estos riesgos se pueden clasificar en tres grupos: Ataques a la infraestructura de virtualización Existen dos tipos principales de ataques a la infraestructura de virtualización: hyperjacking y virtual (VM) machine jumping (VM) (o guest hopping). El hyperjacking es un método para inyectar un hipervisor fraudulento (también llamado monitor de máquina virtual [VMM]) en una infraestructura legítima (VMM u sistema operativo) con control sobre todas las interacciones entre el sistema atacado y el hardware. Algunos ejemplos de amenazas de tipo hyperjacking incluyen Blue Pill, 1 SubVirt 2 y Vitriol. 3 Estas pruebas de concepto y su documentación correspondiente ilustran diversas formas de atacar a un sistema para inyectar hipervisores fraudulentos en los sistemas operativos existentes o sistemas de virtualización. Las medidas de seguridad regulares son ineficaces contra estas amenazas, porque el sistema operativo, que se ejecuta por encima del hipervisor fraudulento, desconoce que el equipo ha sido comprometido. Hasta la fecha, el hyperjacking todavía es un escenario de ataque teórico, pero ha recibido una atención considerable de la prensa debido a los posibles daños que puede ocasionar. El VM jumping o guest-hopping es una posibilidad más realista 4 y plantea una amenaza grave. Por lo general, este método de ataque explota las vulnerabilidades en los hipervisores que permiten que malware o ataques remotos pongan en peligro las protecciones de separación de las máquinas virtuales y obtengan acceso a otras máquinas virtuales, hosts o, incluso, el mismo hipervisor. Estos ataques a menudo se llevan a cabo una vez que un atacante ha obtenido acceso a una máquina virtual de valor bajo en el host, por lo tanto, menos segura, que, a continuación, se utiliza como un punto de inicio para nuevos ataques en el sistema. Algunos ejemplos han utilizado dos o más máquinas virtuales en peligro con el fin de permitir un ataque exitoso contra máquinas virtuales seguras o el propio hipervisor. Ataques a las características de virtualización Aunque hay varias funciones de virtualización que pueden ser objeto de explotación, los objetivos más comunes incluyen migración de la máquina virtual y funciones de red virtuales. La migración de la máquina virtual, si se hace de manera insegura, puede exponer todos los aspectos de una máquina virtual determinada tanto a ataques de búsqueda pasiva (passive sniffing) como ataques de manipulación activa. El artículo Empirical Exploitation of Live Virtual Machine Migration de Oberheide, Cooke y Jahanian, 5 muestra ejemplos de contraseñas y claves de búsqueda (sniffing) de la memoria así como métodos de configuración del sistema de manipulación mientras las máquinas virtuales migran por toda la red. También se describe un ejemplo de inyección de malware en la memoria de una máquina virtual sobre la marcha. Virtualization: Enough Holes to Work Vegas, presentación de D.J. Capelis, 6 ilustra los problemas de seguridad con las características de redes y el soporte generalmente utilizado por las infraestructuras de virtualización. Otros ejemplos de redes incluyen las diferentes maneras en que pueden explotarse la asignación de direcciones de control de acceso a medios (MAC), el enrutamiento local y el tráfico de capa 2. Es importante tener en cuenta que el plano de la red local virtualizada en el sistema funciona de forma diferente desde la red externa del "mundo real", y que muchos de los controles y mecanismos de seguridad disponibles en la red externa no son fácilmente aplicables al tráfico local del sistema entre máquinas virtuales. Cumplimiento y desafíos en la administración La auditoría del cumplimiento y las exigencias de cumplimiento así como la administración diaria del sistema son aspectos difíciles cuando se trabaja con sistemas virtualizados. La expansión desmedida de las máquinas virtuales plantea un desafío para la empresa. Dado que las máquinas virtuales son mucho más fáciles de proveer e implementar que los sistemas físicos, el número y los tipos de máquinas virtuales 1 Rutkowska, Joanna: Introducing Blue Pill, The Invisible Things Lab blog, 22 de junio de 2006, theinvisiblethings.blogspot.com/2006/06/introducing-blue-pill.html 2 King, Samuel T.; Peter M. Chen; Yi-Min Wang; Chad Verbowski; Helen J. Wang; Jacob R. Lorch: SubVirt: Implementing Malware With Virtual Machines, 3 Dai Zovi, Dino A.: Hardware Virtualization Rootkits, 4 Higgins, Kelly Jackson: VMs Create Potential Risk, 21 de febrero de 2007, 5 Oberheide, Jon; Evan Cooke; Farnam Jahanian: Empirical Exploitation of Live Virtual Machine Migration, migration.pdf 6 Capelis, D.J.: Virtualization: Enough Holes to Work Vegas, Defcon 15, 7

8 pueden salirse de control. Además, la disposición de máquinas virtuales es a menudo administrada por distintos grupos dentro de una organización, lo que hace difícil para la función de TI controlar qué aplicaciones, sistema operativo y datos se le instalarán. La expansión desmedida de máquinas virtuales e incluso máquinas virtuales inactivas harán que sea un reto obtener resultados a partir de las evaluaciones de vulnerabilidad, aplicación de parches/actualizaciones y auditoría. Estrategias para abordar los riesgos de la virtualización Actualmente, el mejor método para mitigar la amenaza del hyperjacking es utilizar la confianza arraigada en hardware y el inicio seguro del hipervisor. Las tecnologías en el procesador y conjuntos de chips, junto con la Tecnología de Ejecución de Confianza (TXT) y un Trusted Platform Module (TPM), proporcionan los ingredientes necesarios para ejecutar un lanzamiento seguro o medido del sistema desde el hardware a través del hipervisor (a veces Actualmente, el mejor método para mitigar la amenaza del hyperjacking es utilizar la confianza arraigada en hardware y el inicio seguro del hipervisor. denominado entorno de inicio medido o MLE, por sus siglas en inglés). Trusted Computing Group (TCG) 7 ha definido un conjunto de normas para la ejecución de un inicio medido basado en hardware y para la creación de la cadena de confianza desde el hardware al entorno MLE. Los fabricantes y fabricantes de equipos originales (OEM), así como muchos proveedores de software de virtualización, han adoptado implementaciones de conformidad con el TCG de inicio medido y raíces de confianza. 8 La habilitación y uso de estas características ayudarán a administrar los riesgos asociados con el hyperjacking. Para enfrentar los riesgos asociados a los ataques de VM jumping y la migración de la máquina virtual hay que comenzar a recordar que el hipervisor y los anfitriones que admite son software y que, como tal, se les debe aplicar parches y mejoras. El uso del aislamiento y la segmentación también reducirá en gran medida los riesgos. Es eficaz utilizar la separación física y de red basada en la virtualización para segmentar las máquinas virtuales y los sistemas, y acoplar la separación con la política de refuerzo o los niveles de seguridad para agrupar máquinas virtuales/aplicaciones similares de forma tal que una aplicación de bajo valor (y, por lo tanto, con controles menos estrictos) no pueda tener un impacto negativo en máquinas virtuales y aplicaciones de alto valor. La segmentación de la máquina virtual puede implementarse a través de la infraestructura de administración de virtualización o puede realizarse manualmente, dependiendo de las herramientas y productos utilizados. La segmentación es también una herramienta importante para abordar los riesgos en la conexión de redes asociados con la virtualización. Como se señaló anteriormente, la separación de las máquinas virtuales con niveles de seguridad diferentes reduce el riesgo para las máquinas virtuales de mayor valor. Además, se recomienda el uso de cifrado de transporte para garantizar la seguridad en la migración de máquinas virtuales. Se pueden implementar túneles de red privada virtual (VPN) de un sistema a otro o, en algunos casos, es posible aprovechar las características disponibles de los proveedores de virtualización o soluciones de software de seguridad que se proporcionan para la migración cifrada de máquinas virtuales. La solución de los desafíos en la administración y cumplimiento de normas requiere la implementación de productos y servicios de administración que consideren la virtualización, así como productos de seguridad que tomen en cuenta la virtualización. Esto permite que la infraestructura de administración existente reconozca y realice un seguimiento de las máquinas virtuales como lo hace con los sistemas y aplicaciones en el centro de datos. Existen productos específicamente desarrollados para la administración de la seguridad de la virtualización y complementos o actualizaciones para los productos de la infraestructura existente que reconocen la virtualización y proporcionan el cumplimiento necesario de normas y características de administración. 7 The Trusted Computing Group, 8 Intel, Intel Trusted Execution Technology, 8

9 Gobierno y problemas del cambio con la virtualización El gobierno de la TI de la empresa puede definirse como el proceso que garantiza que la TI se alinee con la estrategia empresarial y fomente con eficacia objetivos de organización. De una manera simple, el gobierno de la TI de la empresa puede definirse como el proceso que garantiza que la TI se adhiera plenamente con la estrategia de negocio y promueva eficazmente los objetivos de la organización. Al igual que la virtualización de servidores afecta el escenario de tecnología general, su uso cada vez mayor también afecta el gobierno de la TI en una serie de aspectos importantes. Ese impacto se puede entender mejor si se toma en cuenta las diversas características de la virtualización y sus posibles efectos positivos o negativos. Un objetivo común de los esfuerzos para gobernar la TI empresarial es para asegurarse de que pueda ofrecer de manera rápida y flexible soluciones tecnológicas que apoyen el logro de los objetivos generales de negocio de la empresa. La virtualización de servidores brinda ayuda en esta área, debido a que la virtualización puede dar lugar a plazos de construcción e implementación más rápidos mediante el uso de herramientas y tecnología que obvian la necesidad de "montar en un estante y apilar" en físico, cuando se disponen de nuevos sistemas. El control de costos también es fundamental para el gobierno de la TI, y la virtualización puede aportar buenos resultados en este ámbito también, al reducir los costos de hardware, energía e instalaciones de la empresa. Otro objetivo común del gobierno de TI es garantizar la continuidad del negocio a través de soluciones tecnológicas sólidas que puedan manejar y adaptarse a los escenarios de mayor carga y desastres. La virtualización de servidores habilita capacidades significativas en estos ámbitos, al proporcionar a la organización de TI opciones que no estaban disponibles para el escalamiento flexible de la carga y cambio dinámico y alineamiento de los recursos para responder a la continuidad del negocio y eventos de desastres. En el aspecto negativo, el aumento de la virtualización plantea algunos riesgos para los objetivos del gobierno de TI. Un riesgo principal está relacionado con los conjuntos de destrezas y la experiencia de la organización disponibles para apoyar el uso de la virtualización de servidores en entornos de uso crítico. A pesar de que la virtualización se ha vuelto muy común, sigue siendo una tecnología relativamente nueva y organizaciones pueden tener dificultades en conseguir los trabajadores experimentados necesarios para garantizar que la TI pueda cumplir sus objetivos. Un riesgo relacionado está asociado con las funciones y responsabilidades que implica la administración de una infraestructura virtualizada. Tradicionalmente, la tecnología ha sido administrada por la TI dentro de varias áreas funcionales y técnicas, tales como el almacenamiento, redes, seguridad y equipos/servidores. Con la virtualización, estas fronteras desaparecen significativamente, por lo que las empresas que adoptan la virtualización necesitan mejorar sus modelos de soporte para disfrutar todos los beneficios que la virtualización puede proporcionar. Cambio organizacional Al igual que con el gobierno de la TI, la virtualización de servidores plantea una serie de cuestiones importantes relacionadas con el cambio organizacional de la TI. El primer cambio, y probablemente el más importante, se refiere a la gestión de la tecnología y al modelo de soporte asociado para la capa de virtualización. La virtualización introduce una nueva capa de tecnología y, por consiguiente, un nuevo requisito para la administración y gestión. Para integrar la virtualización con éxito y garantizar que se implemente el cambio organizacional asociado, las empresas deben tener en cuenta dónde ubicarán la responsabilidad de la arquitectura de virtualización y gestión. Otro aspecto principal de cambio organizacional de TI es el ciclo de vida de la administración de sistemas, desde las adquisiciones y la implementación hasta la eliminación y desmontaje. Históricamente, el proceso de implementación ha sido habilitado por procesos de pedidos y compras de hardware, que fueron los anteriores a la instalación física de 9

10 un servidor y su inicio en la producción. En cierto sentido, esto ayudó a facilitar un ciclo de vida controlado que fue dirigido mediante listas de verificación y procesos de compra, instalación física, construcción y configuración e inicio en la producción. Con la virtualización, se puede implementar un servidor (o clúster de servidores) en la producción con un solo clic del ratón, posiblemente pasando por alto los controles asociados con la administración del ciclo de vida de los sistemas tradicionales. En su aspecto positivo, el ciclo de vida del sistema virtual es ligero, flexible y completamente contenido y visible en una infraestructura única de administración, que proporciona a la organización de TI una visión de principio a fin del ciclo de vida. Las organizaciones de TI que modifican los procesos operativos para aprovechar todas las ventajas de esta agilidad y visibilidad están mejor equipadas para maximizar su inversión en la virtualización. Al cambiarse a un entorno virtualizado es importante que los profesionales de TI trabajen con los que están directamente involucrados con el mismo y con los profesionales relacionados de manera indirecta. Cuando se hace una transición a un entorno virtualizado, es importante que los profesionales de TI trabajen con el personal asociado de manera directa a la misma, tales como los profesionales de seguridad, los desarrolladores de sistemas y soporte técnico, y con los profesionales asociados de manera indirecta, como la oficina de gestión de proyectos y auditoría. Es fundamental que todas las partes involucradas comprendan los cambios de los proceso del negocio que se producen como resultado de la migración a un entorno virtualizado. Consideraciones en materia de aseguramiento de la virtualización El proceso de evaluación compara las métricas del estado actual con las normas de la empresa. Recomendaciones para el control y normas de seguridad para la virtualización han sido creadas por organizaciones profesionales independientes de seguridad y control (por ejemplo, ISACA y el Centro para la Seguridad de Internet), proveedores (proveedores de hipervisores y aquellos del sector que venden productos y servicios relacionados) y agencias gubernamentales (por ejemplo, la Guía para implementación técnica de seguridad de la Agencia de Sistemas de Información de Defensa de los Estados Unidos [DISA STIG] para la virtualización). Estos documentos han producido una gran variedad de pautas de referencia que se pueden utilizar para ayudar a garantizar que la norma de la empresa haya abordado adecuadamente los riesgos particulares y que no se haya pasado por alto ningún riesgo. Evaluación de los riesgos en la infraestructura La combinación de técnicas de evaluación de alta tecnología y de tecnología menos avanzada puede ser de utilidad para el auditor en el mundo virtualizado. Aquellos que dirigen la implementación de una virtualización deben tener una estrategia documentada para garantizar que el hardware y software de hipervisor sean compatibles con los requisitos de los hipervisor(es) elegido(s). El auditor debería revisar la documentación de soporte para estos componentes a fin de confirmar la capacidad de los componentes para cumplir con la agilidad de la implementación, la continuidad y otros elementos congruentes con la estrategia de negocio de la empresa. La observación de los procesos de inicio del host puede garantizar verificaciones técnicas apropiadas y la invocación de TPM antes del arranque del sistema operativo. También puede determinar si se invocan otros prehipervisores (BIOS, gestor de arranque, etc.) pasos y configuraciones según las normas de la empresa. La seguridad física puede que no sea la más nueva de las técnicas de mitigación de riesgo, pero la evaluación de la virtualización del auditor debe garantizar que todo el hardware correspondiente está debidamente restringido en relación con el acceso físico, lo que reduce la probabilidad de alterar los procesos de arranque del CPU. Además, los auditores deben revisar cualquier metodología remota que permita acceder a la tarjeta madre del host para un inicio remoto a fin de asegurarse de que la configuración permita sólo el uso autorizado. 10

11 La máquina virtual anfitriona debe comunicarse con el host para recibir y utilizar recursos. Sin embargo, el host debería tomar las decisiones determinantes en cuanto a los canales de comunicación utilizados y los resultados de las solicitudes. Los procedimientos de evaluación deben asegurar que el hipervisor y las herramientas de administración correspondientes se mantengan actualizados con parches del fabricante para que la comunicación y las acciones correspondientes se lleven a cabo según el diseño. El auditor también necesita comprobar la configuración del host y las herramientas de administración correspondientes según la norma de la empresa (que ha sido comparada con las normas de la industria mencionadas anteriormente). Hay muchas maneras para recopilar métricas de configuración de los hipervisores y otras herramientas de administración de proveedores. La recopilación de métricas de bajo costo pueden incluir los comandos en la consola de la consola del host, herramientas gratuitas desarrolladas por el proveedor que recopilan métricas (aunque pueden estar limitadas a la cantidad de hosts o a la cantidad de características evaluadas) e interfaces de programación de aplicaciones (API) y herramientas de secuencias de comandos gratuitas ofrecidas por proveedores de hipervisores para la extracción de información de sus hosts de forma automática y programada. Las opciones de costo marginal para la recopilación de métricas del host también incluyen las herramientas de administración de proveedores y herramientas de administración o seguridad de terceros, si ya han sido adquiridas por la empresa. Por último, existen herramientas comerciales de diferentes rangos de precios para explorar y caracterizar el entorno virtual. Evaluación de riesgos de las características Los anfitriones virtuales trasladan su información por la red de la empresa por razones de producción, optimización, continuidad, entre otras. Todas las rutas de red utilizadas deben ser utilizadas sólo por los usuarios autorizados; el auditor, por lo general, puede revisar la segmentación de redes a través de la consola de administración. El auditor debe verificar que: (1) los hosts en clusters similares y anfitriones atendidos por el mismo host estén agrupados de manera similar y en la red correcta, (2) las redes de administración del host están separadas de las redes de producción y (3) las redes virtuales utilizadas para transferir la disposición de recursos del anfitrión a otro host están en otro segmento de red. Por otra parte, el auditor puede revisar a través de la consola de administración la segregación de anfitriones en distintos hosts y redes. El auditor puede revisar la configuración de red a través de la consola de administración o mediante la recopilación de datos de configuración del host con las herramientas mencionadas anteriormente. El auditor debe revisar los conmutadores virtuales y otros componentes de red virtual, sobre todo observando si la configuración y direccionamiento de MAC; asignación de red de área local virtual (VLAN), enrutamiento, protocolos y cifrado; y otra información de red están alineadas con las normas de la empresa. Evaluación de riesgos de administración El auditor debe primero determinar la existencia y la precisión del inventario de los activos de la TI de la empresa, incluyendo los elementos virtuales. Una suposición implícita en los pasos de evaluación descritos anteriormente es que la empresa mantiene un inventario preciso de los componentes autorizados conocidos que comprenden su entorno. Para evaluar la expansión desmedida de anfitriones, el auditor debe determinar primero la existencia y precisión del inventario de los activos de la TI de la empresa, incluyendo los elementos virtuales. Una vez que se valide el inventario conocido, el auditor puede revisar el proceso de la gestión para detectar anfitriones no autorizados. El auditor puede utilizar herramientas comerciales de gestión o evaluación para sondear el entorno y comparar lo que se halle con el inventario autorizado. Dado que la mayoría de los proveedores de hipervisores proporcionan interfaces API y herramientas de secuencias de comandos, el auditor podrá desarrollar sus propias herramientas de detección al mínimo costo o sin costo alguno (excepto por el tiempo). Además, muchos productos de 11

12 seguridad comercial que abordan la virtualización tienen un módulo de descubrimiento ya que no pueden proteger lo que no conocen. Si la empresa del auditor ya ha comprado estos tipos de herramientas, el auditor debe informarse si los resultados de la detección podrán ser revisados para compararlos con el inventario de activos documentados autorizados. Han surgido herramientas que detectan anfitriones inactivos, los activan y corrigen las irregularidades observadas antes de que se reactive el anfitrión inactivo. El auditor debe informarse sobre el uso de estas herramientas, la frecuencia con la que se ejecutan y si son eficaces en la localización y corrección de anfitriones inactivos. Evaluación de los riesgos de gobierno El auditor debe revisar las políticas, procedimientos y prácticas de gestión para: La revisión y aprobación de la Junta o los ejecutivos de la estrategia de virtualización La comparaciones posteriores a la implementación de los ahorros de costos realmente obtenidos con los montos previstos La recopilación de pruebas de que se sigan los componentes clave del proceso de gestión de cambio: autorización, pruebas (incluyendo la certificación de seguridad según la norma de la organización), planes de vuelta atrás y notificación a las partes afectadas y que sólo se hayan reducido los plazos (no la funcionalidad) para cada paso mediante la virtualización La capacitación para el personal con nuevas responsabilidades de virtualización y capacitación continua para el personal de virtualización existente cuando se realizan cambios de arquitectura o se produzcan actualizaciones importantes del proveedor La transferencia de conocimientos de terceros que presten asistencia en la implementación La revisión de las descripciones de funciones para el personal cuyos límites técnicos previos estén menos definidos debido a la virtualización La revisión de la responsabilidad de la comunicación entre equipos anteriormente más independientes previo a la virtualización (host, conexión de redes, almacenamiento) Procedimientos de inventario que producen resultados documentados precisos que facilitan el cumplimiento con las licencias, pagos de honorarios por mantenimiento correctos, seguros y otras funciones de apoyo administrativo Conclusión La mitigación de las amenazas y contar con procesos de negocio bien documentados y una sólida capacidad de auditoría ayudará a asegurar que las empresas generen el valor más alto posible a partir de sus entornos de TI. La virtualización ha afectado la manera en que las empresas ejecutan sus operaciones de TI. A pesar de que la virtualización recientemente ha salido de la categoría de tecnología emergente y se ha convertido en una práctica más común, las empresas ya han obtenido los beneficios de cambiarse a entornos virtualizados. Estos beneficios incluyen un costo total de propiedad (TCO) menor, mayor eficiencia, un impacto positivo a los planes de una TI sostenible y mayor agilidad. Sin embargo, las empresas también deben tener en cuenta los posibles riesgos de seguridad y las consecuencias del cambio que implica el traslado a un entorno virtualizado. La mitigación de muchas de estas amenazas y contar con procesos de negocio bien documentados y capacidades sólidas de auditoría ayudará a garantizar que las empresas generen el valor más alto posible a partir de sus entornos de TI. Recursos adicionales relacionados con la virtualización están disponibles en 12