Cómo puedo virtualizar mis servidores de misión crítica a la vez que mantengo o mejoro la seguridad?

Transcripción

1 RESUMEN DE LA SOLUCIÓN Protección de entornos virtuales Cómo puedo virtualizar mis servidores de misión crítica a la vez que mantengo o mejoro la seguridad? agility made possible

2 CA Access Control for Virtual Environments proporciona controles de seguridad que le ayudan a virtualizar con confianza incluso sus sistemas más importantes. 2

3 resumen ejecutivo Reto En un entorno virtual, los retos de seguridad se multiplican rápidamente y conllevan nuevos riesgos. Mientras que antes una organización contaba con un solo servidor aplicación, ahora, en un entorno virtual, se puede ver cómo pasa rápidamente a treinta servidores. Cómo se puede habilitar la seguridad, como la separación de obligaciones para usuarios con privilegios, no sólo en un servidor físico, sino también en las máquinas virtuales que hospeda, así como en las aplicaciones que se están ejecutando en dichas máquinas virtuales? La falta de una solución de seguridad para entornos virtuales ha estado refrenando a muchas organizaciones de mover sus aplicaciones de misión crítica y de aprovecharse de la virtualización. Para aquellas organizaciones que están virtualizando sistemas de producción rápidamente, los requisitos normativos y empresariales les están solicitando nuevos controles de seguridad. Necesidades empresariales Las empresas de hoy en día están pidiendo que los departamentos de TI cumplan requisitos importantes: Cumplimiento del centro de datos de todas las normativas aplicables (por ejemplo, PCI, SOX) Riesgos controlados y entendidos con claridad Costes reducidos para mantener un servicio o para mejorarlo Capacidad de respuesta mejorada La tecnología de virtualización ayuda al departamento de TI a reducir costes y mejorar los tiempos de respuesta, al tiempo que ofrece una mayor flexibilidad para el suministro de servicios. No obstante, la virtualización también añade un nivel de complejidad en la gestión. Las organizaciones de TI han desarrollado requisitos técnicos y operativos específicos para permitir el cumplimiento, así como la comprensión y el control de los riesgos de seguridad. Beneficios de las soluciones CA Access Control for Virtual Environments protege el acceso de usuarios con privilegios a máquinas virtuales, hipervisores y dispositivos virtuales, lo cual permite a las organizaciones controlar las acciones de los usuarios con privilegios, proteger el acceso a los entornos virtuales y cumplir con los mandatos normativos del sector. Proporciona capacidades clave para gestionar las contraseñas de los usuarios con privilegios, reforzar el hipervisor y supervisar la actividad de los usuarios con privilegios. CA Access Control proporciona además una base centralizada que sirve como un portal único para la protección del acceso de los usuarios con privilegios a los entornos físicos y virtuales. 3

4 CA Technologies lleva más de quince años ofreciendo soluciones de control de acceso basadas en el host para entornos distribuidos. Para satisfacer las necesidades de sus clientes, CA Technologies, junto con HyTrust, presenta CA Access Control for Virtual Environments, un producto escalable y extensible que protege el acceso al entorno virtual. CA Access Control se implementa rápidamente gracias a su amplia e innovadora compatibilidad y a su facilidad de uso con interfaces administrativas modernas y cuadros de mandos de informes, que permiten a los clientes rentabilizar rápidamente el producto. Otros productos de seguridad de CA Technologies integrados en CA Access Control son CA Identity Manager, CA Role and Compliance Manager, CA SiteMinder, CA Arcot y CA DLP. Sección 1: Reto Las dudas en cuanto a la seguridad a menudo evitan la virtualización de sistemas de misión crítica La virtualización de servidores fomenta la utilización flexible de los recursos de TI, la reducción de costes de capital, la eficiencia energética mejorada, la alta disponibilidad de las aplicaciones y la mejora de la continuidad empresarial. No obstante, la virtualización conlleva una serie de retos característicos ligados a la gestión y la seguridad de la infraestructura virtual. El entorno virtualizado tiene un grado elevado de automatización y complejidad que aumenta la dificultad. La normativa y los riesgos asociados con los usuarios con privilegios en un entorno virtual evitan que muchas organizaciones obtengan las ventajas de la virtualización en su producción, y en sus aplicaciones y sistemas de misión crítica. Los entornos virtuales están sometidos a la normativa Después de que una organización virtualice sus aplicaciones más sencillas, es el turno de las aplicaciones de misión crítica. Cada vez más, no solo se virtualizan los servidores de aplicaciones sino también las bases de datos, los conmutadores de red y los cortafuegos. A medida que mejora la adopción de la virtualización y que se mueven las aplicaciones y los sistemas más importantes a los entornos virtuales de producción, aumenta la demanda de seguridad, en gran medida debido a los requisitos normativos. Ya se están incluyendo los entornos virtuales en el alcance de normativas como los estándares Payment Card Industry (PCI) y Sarbanes-Oxley (SOX), y el National Institute of Standards and Technology (NIST) ha publicado unas instrucciones formales para una virtualización segura. Existe una buena razón por la que todos estos organismos normativos están formalizando sus marcos de seguridad para la virtualización. En el mundo físico, tanto servidores, como conmutadores, enrutadores y cortafuegos están bajo llave en bastidores. La administración de estos sistemas puede requerir el acceso físico (posiblemente con una tarjeta de acceso) a un centro de datos físico (puede que con cámaras de vídeo montadas). En el mundo virtual, estas medidas de seguridad se eluden en gran medida. El acceso de los administradores a la infraestructura virtual es equivalente a tener acceso a cualquier sistema, aplicación y dispositivo de seguridad del centro de datos. No existe ninguna tarjeta de acceso en la puerta virtual del centro de datos virtual. No existen cerrojos virtuales en los bastidores virtuales. Por lo que, a menudo, resulta difícil para la organización ver y comprender los cambios que se han solicitado o llevado a cabo. 4

5 La gestión de usuarios con privilegios es más importante que nunca La gestión de usuarios con privilegios es un elemento importante de cada práctica de seguridad recomendada. Según un reciente informe de investigación organizado por CA Technologies, el mantenimiento de la seguridad y el control de acceso es el principal reto al que se enfrentan las organizaciones en la gestión de servidores virtuales, lo cual ha impedido que muchas organizaciones muevan las aplicaciones de misión crítica a un entorno virtual. Como el uso de servidores virtuales continúa creciendo, las organizaciones corren el riesgo de perder el control de sus entornos y la posibilidad de que aumenten drásticamente las actividades maliciosas. Este hecho se vio confirmado de manera espectacular durante un incidente ocurrido en 2011 en una empresa farmacéutica internacional. Un antiguo empleado de TI al que se despidió utilizó sus credenciales para acceder ilegalmente a quince sistemas host VMware, en los que eliminó 88 máquinas virtuales que ejecutaban el correo electrónico, la entrada de pedidos, las nóminas y otros servicios. Esta acción congeló las operaciones de la empresa durante varios días, lo que impidió a los empleados enviar productos, girar cheques o incluso comunicarse por correo electrónico o Blackberry; todo ello supuso un coste de recuperación aproximado de $. Sección 2: Necesidades empresariales La virtualización cumple las principales necesidades empresariales, pero también debe cumplir los requisitos de seguridad En el entorno empresarial actual, las organizaciones están pidiendo que los departamentos de TI cumplan requisitos importantes: Cumplimiento del centro de datos de todas las normativas aplicables (por ejemplo, PCI, SOX) Riesgos controlados y entendidos con claridad Costes reducidos para mantener un servicio o para mejorarlo Capacidad de respuesta mejorada La virtualización trata las preocupaciones empresariales mediante la reducción de costes y la mejora de la capacidad de respuesta, pero también añade una infraestructura de gestión que conduce a los retos de reducción del riesgo y de cumplimiento de la normativa. Para abordar estos retos, las organizaciones de TI están desarrollando requisitos técnicos y operativos antes de que se tenga en cuenta la virtualización para los sistemas de producción. Los requisitos suelen incluir: Control de los usuarios con privilegios y de acceso a los datos de la empresa Reducción de los costes administrativos y de la complejidad mediante la automatización de los cambios de contraseña sin necesidad de instalar agentes Control central de los ID de las aplicaciones Mejora de la seguridad con inicios de sesión automatizados evitando el robo de contraseñas de ver por encima del hombro Cumplimiento de la normativa mediante la información proactiva sobre el estado de las políticas clave de conformidad Generación rápida de informes de usuarios con privilegios a partir de registros de actividades seguras 5

6 El cumplimiento exhaustivo de los requisitos de seguridad beneficia al departamento de TI La capacidad de controlar el acceso a la infraestructura virtual puede reducir significativamente el riesgo de compromiso, lo que, a su vez, significa que las organizaciones de TI pueden virtualizar aplicaciones que una vez se consideraron prohibidas. Ser capaz de evaluar la integridad de la configuración del hipervisor y de validar la seguridad del hardware, no sólo reduce el riesgo de compromiso sino que también automatiza tediosas actividades de mantenimiento y elimina la deriva de la configuración. Definir y, a continuación, imponer automáticamente las políticas de seguridad evita que los administradores cometan errores costosos como mover una máquina virtual con datos confidenciales a una red o hipervisor que no sea de confianza. Automatizar controles y proporcionar una clara visibilidad en forma de registros de calidad de auditoría permite a las organizaciones virtualizar con confianza ante las demandas de seguridad y de análisis de auditoría. Sección 3: Beneficios de las soluciones CA Access Control for Virtual Environments amplía la seguridad de entornos físicos a virtuales CA Access Control protege el acceso de usuarios con privilegios a máquinas virtuales, hipervisores y dispositivos virtuales, lo cual permite a las organizaciones controlar las acciones de los usuarios con privilegios, proteger el acceso a los entornos virtuales y cumplir con los mandatos normativos del sector. Proporciona capacidades clave para gestionar las contraseñas de los usuarios con privilegios, reforzar el hipervisor y supervisar la actividad de los usuarios con privilegios. CA Access Control proporciona además una base centralizada que sirve como un portal único para la protección del acceso de los usuarios con privilegios a los entornos físicos y virtuales. CA Access Control proporciona un enfoque proactivo sobre la protección de la información confidencial y los sistemas críticos sin un impacto en la marcha normal del negocio ni en las actividades de TI. Ayuda a reducir los riesgos internos y externos mediante el control del modo en el que el negocio o los usuarios con privilegios acceden y utilizan los datos de la empresa. Esto puede suponer un nivel superior de seguridad, menores costes administrativos, procesos de cumplimiento y auditoría más sencillos y una mejor experiencia del usuario. Principales funcionalidades del producto CA Access Control refuerza el hipervisor, y controla y audita de forma centralizada a los usuarios con privilegios, así como también proporciona un acceso privilegiado temporal a los servidores virtuales y físicos, las aplicaciones y los dispositivos; todo ello desde una única consola de gestión central. Principales capacidades del producto: 6

7 Gestión de la contraseña de usuarios con privilegios Los usuarios con privilegios disponen de un acceso más amplio a los recursos de TI más importantes de un entorno virtualizado. Además de la actividad maliciosa mencionada anteriormente, un usuario con privilegios (hipervisor) podría iniciar o detener máquinas virtuales, hacer volver a una máquina virtual a una versión anterior o copiar una máquina virtual (y todos sus datos) en un dispositivo de almacenamiento externo. CA Access Control proporciona un acceso seguro a cuentas privilegiadas y ayuda a mantener la responsabilidad de los usuarios con privilegios. Permite la emisión de contraseñas temporales de un solo uso, o cuando sea necesario, mientras que proporciona responsabilidad de las acciones de usuarios con privilegios a través de una auditoría segura. Un flujo de trabajo sencillo para solicitar y comprobar una contraseña de un solo uso generada por el sistema facilita la comprobación de contraseñas y elimina la necesidad de compartirlas. Los usuarios pueden registrar la contraseña una vez que se haya completado su tarea, o pueden configurar CA Access Control para que la registre automáticamente la contraseña después de un período de tiempo específico. Ilustración A Configuración de políticas de contraseñas predeterminadas La configuración de la política de contraseñas predeterminada para un equipo de seguridad permite que el administrador la lleve a cabo una vez, desde una ubicación central. CA Access Control for Virtual Environments incluye flujos de trabajo completamente funcionales y personalizables que permiten casos de uso comunes listos para usar, por ejemplo, escenarios de solicitud de contraseña y de emergencia. Un escenario de emergencia se produce cuando los usuarios con privilegios necesitan un acceso inmediato a las cuentas para las que no están autorizados. Los usuarios podrán obtener inmediatamente una contraseña de la cuenta sin necesidad de aprobación, con lo que se elimina la posibilidad de retraso en caso de emergencia, pero con un registro seguro de todas las transacciones para fines de auditoría. Por el contrario, un escenario de solicitud de contraseña permite a la organización autorizar contraseñas únicamente por solicitud durante un período de tiempo limitado. En este escenario, las solicitudes de los usuarios se remiten a los gestores para su aprobación y pueden incluir un período de tiempo requerido para acceder a la cuenta privilegiada. Una vez aprobada la solicitud, los usuarios pueden comprobar la contraseña y obtener acceso a los sistemas solicitados únicamente durante el período de tiempo aprobado. 7

8 Ilustración B Registro de una cuenta privilegiada Después de cerrar una sesión de usuario con privilegios, CA Access Control solicita al usuario que confirme que desea registrar la contraseña para que pueda usarse de nuevo. CA Access Control también está diseñado para dotar a las aplicaciones de terceros de acceso mediante programación a las contraseñas, lo que elimina la necesidad de registrar contraseñas en scripts. Es compatible con multitud de servidores, aplicaciones (incluidas las bases de datos) y dispositivos (por ejemplo, enrutadores) ya sea en un entorno físico o virtual. Supervisión de la actividad de los usuarios CA Access Control audita la actividad realizada en el hipervisor, y lleva un seguimiento del uso de las cuentas privilegiadas en función del ID de usuario original. Además, la integración con CA User Activity Reporting Module permite a los clientes extender las capacidades de auditoría más allá de los eventos de CA Access Control; de esta forma, obtienen una vista holística de la actividad de los usuarios privilegiados en el entorno de TI. Session Recording se puede adquirir por separado para registrar la actividad de los usuarios. Esto permite a una organización crear un registro visual seguro de la sesión de un usuario con privilegios. Esto se aplica particularmente a las sesiones basadas en el explorador en las que se utiliza sobre todo el ratón y, por tanto, que los registradores de teclado (keylogger) tradicionales no pueden captar. 8

9 Separación de tareas CA Access Control posibilita la aplicación de las reglas estándares del sector relativas a la separación de funciones del hipervisor. Por ejemplo, puede evitar que el administrador del hipervisor acceda a las configuraciones de la máquina virtual a través del hipervisor; de este modo, se obliga a que todos los cambios que se realicen en el entorno virtual estén regidos únicamente a través de las consolas de gestión. Coexistencia segura multicliente CA Access Control amplía la segmentación tradicional de las redes físicas a los entornos virtuales. Puede proporcionar un aislamiento de clientes más fuerte para un mayor cumplimiento de la habilitación de los proveedores de servicios gestionados (MSP, Managed Service Provider), el control del tráfico entre máquinas virtuales del marco de trabajo basado en políticas, y una mayor densidad de máquinas virtuales en el hardware físico al permitir que los invitados con diversos niveles de confianza compartan un host común con el mínimo acceso privilegiado con los miembros de zonas diferentes. Refuerzo del hipervisor CA Access Control, que incluye el dispositivo HyTrust, proporciona una amplia variedad de capacidades para reforzar el hipervisor. Controla el acceso a los recursos, programas, archivos y procesos del sistema a través de una serie de criterios estrictos de tiempo, método de inicio de sesión, atributos de red y programa de acceso. Se pueden configurar los servidores VMware desarrollados recientemente a una de las configuraciones de seguridad predefinidas para supervisar de forma coherente los host de VMware vsphere para identificar errores de configuración con marcos de trabajo de evaluación estándares y corregir activamente los problemas con una interrupción mínima del servicio. Ilustración C Informes de conformidad El refuerzo automatizado de la configuración del hipervisor en función de las plantillas predefinidas o personalizadas por el cliente. Las soluciones y evaluaciones planificadas regularmente no requieren poner los hosts en modo de mantenimiento. Estos controles son esenciales para ayudar a reforzar las reglas estándares del sector relativas a la separación de funciones del hipervisor. Por ejemplo, CA Access Control puede evitar que el administrador de virtualización acceda a las configuraciones de la máquina virtual a través del hipervisor; de este modo, se obliga a que todos los cambios que se realicen en el entorno de virtualización estén regidos a través de las consolas de gestión. 9

10 Ilustración D Gestión del refuerzo del hipervisor El control de acceso al hipervisor es fundamental para permitir la seguridad del entorno virtual así como el cumplimiento de las normativas. Integración con vcenter Al instalarlo en vcenter, CA Access Control adopta esta interfaz de usuario como propia, lo que ayuda a los administradores de vcenter a reducir la curva de aprendizaje y adaptarse rápidamente a ella. Ahora, los administradores pueden ver los servicios de seguridad disponibles o apropiados, incluidas (si proceden) las versiones exactas para que puedan gestionarlas (Install, Uninstall, Enable, Disable, Upgrade, etc.). 10

11 Ilustración E Integración con VMware vcenter Access Control for Virtual Environments se suministra como dispositivo de software y se instala en VMware vcenter, lo que permite a los administradores ponerse al día rápidamente. Implementación automática de políticas CA Access Control puede realizar un seguimiento en tiempo real de los cambios de configuración de la infraestructura, así como del inventario de activos de software. También permite utilizar las propiedades, etiquetas y políticas (cumplimiento corporativo/normativo, prácticas recomendadas y reglas de refuerzo de la seguridad) de los activos, para habilitar y configurar automáticamente los servicios de seguridad pertinentes del entorno. 11

12 Ilustración F La asignación de etiquetas a activos permite la automatización de la seguridad El entorno virtual está teniendo una evolución extremadamente rápida. A menudo, las máquinas virtuales se montan y desmontan, varias veces cada hora. La asignación de etiquetas permite a CA Access Control seguir el ritmo de estos cambios y aplicar automáticamente una política de seguridad. Gestión de políticas común CA Access Control está diseñado para simplificar la gestión de las atribuciones de los usuarios privilegiados. Centraliza las políticas de gestión que rigen el acceso a los servidores virtuales en los entornos virtuales grandes y heterogéneos. Entre los criterios de gobernanza se incluyen el acceso a los recursos del hipervisor en el entorno virtual, el acceso de red a las consolas y desde éstas, el acceso a la configuración de la máquina virtual, etc. Estas capacidades de gestión de políticas ayudan a aclarar los entornos de políticas complejos de varias plataformas y simplifican las tareas administrativas, proporcionando así un proceso fiable de gestión de políticas común. 12

13 Ilustración G Gestión de grupos de seguridad Para facilitar la gestión de los derechos de acceso, CA Access Control permite a un administrador definir grupos y sus máquinas virtuales asociadas. 13

14 Sección 4 Las ventajas de CA Technologies CA Technologies y HyTrust se combinan para ofrecer una amplia variedad de capacidades que le permiten controlar el entorno de virtualización. HyTrust proporciona experiencia en dominios relevantes como líder reconocido en la gestión de políticas y en el control de acceso especialmente para infraestructuras virtuales. HyTrust permite a las organizaciones virtualizar más (incluidos servidores y aplicaciones sujetos a las normativas) al aportar controles empresariales para acceso, responsabilidad y visibilidad de una infraestructura de virtualización existente de una organización. CA Technologies, que cuenta con más de 30 años de experiencia ofreciendo software de gestión robusto, fiable, ampliable y seguro para TI, ofrece: Un compromiso demostrado con las nuevas tecnologías y paradigmas de prestación de servicios de TI como, por ejemplo, virtualización, SaaS e informática en la nube Últimas y más innovadoras tecnologías de gestión de la seguridad CA Technologies también está en una posición única para ayudar a que su seguridad de virtualización sea todo un éxito con implementación adicional y servicios de formación, entre los que se incluyen: Vía de acceso a las soluciones empresariales CA Access Control for Virtual Environments no sólo ayuda a proteger las implementaciones virtuales, sino que también proporciona una vía de acceso a las soluciones empresariales para la protección de los entornos virtuales y físicos, protegiendo a largo plazo las inversiones en seguridad de la virtualización. CA Services CA Services es una parte integral de la solución general, que proporciona servicios de evaluación, implementación, comprobación de estado, y otros servicios previos y posteriores a la implementación. Esto permite a las organizaciones acelerar la rentabilidad de su inversión en virtualización, reducir los riesgos de la implementación y mejorar la correspondencia entre las TI y los procesos empresariales. CA Services también proporciona servicios de implementación rápida prestados por nuestro personal interno y una red de partners afianzados, que se han seleccionado para ayudar a los clientes a realizar implementaciones correctas y obtener los resultados deseados lo antes posible. A través de nuestra metodología probada de nueve fases, nuestra experiencia y prácticas recomendadas, ayudamos a los clientes a rentabilizar antes su implementación de CA Access Control. Formación de CA Formación de CA también contribuye con un valor excepcional a nuestras ofertas, al proporcionar formación y prácticas recomendadas a través de la formación en aula impartida por un monitor virtual y la formación basada en la Web. Esto permite a las organizaciones reunir rápidamente experiencia en virtualización y en la gestión de ésta, superar numerosas barreras para implementar, reducir o eliminar errores de implementación y obtener una rápida rentabilidad con una solución de gran calidad. 14

15 Sección 5 Siguientes pasos No cabe duda de que la virtualización puede proporcionar beneficios excepcionales para las empresas y TI. Sin embargo, casi todas las organizaciones se enfrentan a problemas importantes ofreciendo estos beneficios en una amplia implementación de virtualización. Los problemas de seguridad como el control de identidades, el control de acceso y el control de información amenazan con hacer fracasar la implementación, ya que el crecimiento descontrolado de las máquinas virtuales crea problemas de seguridad como el incumplimiento de la normativa y debilita los logros en agilidad, eficiencia y control de costes. Por suerte, CA Technologies le ayudará con soluciones sofisticadas, sólidas e innovadoras que permiten resolver los complicados problemas de seguridad en la gestión del acceso y el control de identidades. Si necesita mejores métodos de control de identidades, acceso e información para sus entornos virtuales existentes, así como una próxima virtualización en toda la empresa y el impulso de los resultados empresariales inmediatos y a largo plazo; entonces, necesita CA Access Control for Virtual Environments. CA Technologies es una empresa de software y soluciones de gestión de TI con experiencia en todos los entornos, desde el mainframe y los entornos físicos hasta los virtuales y en la nube. CA Technologies gestiona los entornos de TI y garantiza su seguridad, lo que permite a los clientes prestar unos servicios de TI más flexibles. Los innovadores productos y servicios de CA Technologies proporcionan la comprensión y el control fundamentales para que las organizaciones de TI impulsen la agilidad empresarial. La mayoría de las empresas que figuran en la lista Global Fortune 500 confían en CA Technologies para gestionar sus ecosistemas de TI en constante evolución. Para obtener más información, visite el sitio de CA Technologies en ca.com. Copyright 2011 CA. Todos los derechos reservados. Todas las marcas comerciales, los nombres comerciales, las marcas de servicio y los logotipos mencionados en el presente documento son propiedad de sus respectivas compañías. El propósito de este documento es meramente informativo. CA no se hace responsable de la exactitud o totalidad de esta información. CA no proporciona asesoramiento jurídico. Ni el presente documento ni ningún producto de software de CA al que se haga referencia en él se convertirán en medios sustitutivos del cumplimiento de ninguna ley (incluidos, a título enunciativo y no taxativo, cualquier reglamento, estatuto, norma, regla, directiva, directriz, política, instrucción, medida, requisito, orden administrativa, decreto, etc. [en conjunto, las Leyes ]) a la que se haga referencia en el presente documento. El lector deberá recurrir al asesoramiento jurídico competente con respecto a cualquier ley a la que se haga referencia en el presente documento. En la medida de lo permitido por la ley vigente, CA proporciona esta documentación tal cual, sin garantía de ningún tipo, incluidas, a título enunciativo y no taxativo, las garantías implícitas de comercialidad, adecuación a un fin específico o no incumplimiento. CA no responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de este documento, incluidas, a título enunciativo, pero sin limitarse a ellas, la pérdida de beneficios, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o la pérdida de datos, incluso cuando CA hubiera podido ser advertida con antelación y expresamente de la posibilidad de dichos daños. CS1759_1011