Lo que debe cambiar

Lo que sí está claro en el mundo naciente de máquinas virtuales en centros de datos es que la capacidad del procesador es el parámetro que dicta qué tipos de herramientas de seguridad se pueden utilizar. Productos de seguridad que consumen incluso solamente un dos o tres por ciento del CPU por cada MV resultarán demasiado costosos para una implementación factible.

Esto se debe al efecto cumulativo de la seguridad. Por ejemplo, un host físico con cuatro MMVV, cada una protegida por un agente de seguridad que utiliza entre un dos o tres por ciento del CPU, significa un consumo total de hasta el 12 por ciento de la capacidad del CPU en un entorno donde el porcentaje general de utilización es del 70 a 80 por ciento. La sobrecarga de un 12 por ciento eleva hasta el 92 por ciento la utilización del CPU.

Aparte de los ciclos de CPU, las políticas de seguridad deben adaptarse a la nueva realidad que surge de la proliferación y movilidad de MMVV. Ante el aumento de MMVV en el centro de datos, los gerentes de TI deben aumentar el número de expertos de seguridad dedicados a la creación y mantenimiento de políticas. La razón es porque la creación de políticas de seguridad, que definen quiénes pueden acceder a qué recurso con qué resultado anticipado, es una tarea ardua y complicada. El despliegue de tecnologías de virtualización ha creado un escenario que no compatibiliza con la implementación de mejores prácticas de seguridad.

Donde la virtualización es más segura

Se suele decir que la instalación de cualquier software aumenta la probabilidad de riesgo del sistema. Aunque en general esta teoría puede ser cierta, los hipervisores han sido mucho menos susceptibles a fallos que cualquier otro tipo de aplicación.
El entorno aislado de MMVV en el hipervisor es la clave detrás de la alta consolidación de servidores físicos y virtuales, y como derivado, posibilita una ejecución segura de múltiples aplicaciones en el mismo servidor.

Un área de seguridad que merece la pena investigar son las guías de mejores prácticas que muestran cómo iniciar múltiples instancias de MMVV, cada una con su seguridad específica, en el mismo host físico. Es posible que empresas utilicen MMVV para procesar ciertos tipos de datos como transacciones de tarjetas de crédito en sistemas físicos que procesan datos similares. Sin embargo, es mucho mejor agrupar sistemas de datos con bajo valor económico independientemente de la función que ejercen. Asimismo, las MMVV con un alto nivel de seguridad es decir, importante valor económico, han de ubicarse en sistemas físicos diseñados a ser altamente disponibles. La agrupación de sistemas en función de nivel de seguridad tiene mucho más sentido porque facilita la distribución de recursos de seguridad.

Otra área de seguridad que merece ser analizada son los desarrollos que los proveedores de virtualización están llevando a cabo. El pasado febrero, VMware anunció la disponibilidad de VMsafe, una iniciativa para mejorar la funcionalidad y operación de una infraestructura virtual al tiempo que reduce el número de recursos de virtualización.

VMsafe es una serie de API desarrolladas por VMware que habilita la monitorización y el control del tráfico entre máquinas virtuales, así como la monitorización de los datos de cada MV a nivel de servidor. Estos datos se pueden utilizar por los proveedores de seguridad para realizar distintos tipos de análisis de seguridad sin que se encuentren en el servidor virtual.
Esta iniciativa está diseñada con el fin de simplificar la integración de seguridad y optimizar el despliegue de soluciones. Mediante esta iniciativa, VMsafe ofrecerá una protección total de la red y los servidores host. Aún así, la tecnología VMsafe se encuentra en la fase inicial de pruebas.

Symantec y McAfee, junto con otros proveedores de seguridad, están desarrollando herramientas que facilitarán el acceso, mediante API, a Virtual Infrastructure de VMware. Los gerentes de TI deben ponerse al día con respecto a este desarrollo prometedor. Sin embargo, si las herramientas de los proveedores externos no consiguen progresar en utilidad al cabo del primer año, se realizará una revaloración del programa.

Con el nuevo hipervisor Hyper-V de Microsoft, la seguridad se ha convertido en un componente clave para la organización conocida por la distribución de actualizaciones de seguridad cada segundo martes del mes. Tanto en el producto Hyper-V como en el nuevo Application Virtualization, Microsoft ha focalizado la seguridad de operaciones. Los administradores de TI deben evaluar con qué facilidad se pueden configurar las prácticas de implementación.