blog

Con la complejidad adicional la cual puede surgir en un entorno virtualizado, la necesidad de vigilar eventos y anomalías también se vuelve más complejo. Esta complejidad añadida puede hacer más difícil la identificación de problemas de seguridad ya retadores, como amenazas persistentes avanzadas. Algunas complejidades específicas a tener para ser consciente y gestionar son la utilización compartida de recursos y acceso directo a memoria.

El uso compartido de recursos y almacenamiento permite simplificar intercambios de archivos entre máquinas virtuales, además de entre máquinas virtuales y sus sistemas operativos anfitrión. Esta flexibilidad introduce una medida para incrementar también el riesgo. Funciones como compartir el portapapeles puede aumentar la funcionalidad, pero también pueden generar vulnerabilidades de seguridad similares.

Las máquinas virtuales también tienen acceso directo a memoria para controladores como tarjetas de vídeo y de red. Este acceso permite la máquina virtual y el hipervisor creen mejor desempeño pero también incrementa los riesgos. El acceso directo a memoria o (DMA) puede permitir un ciberatacante utilice el almacenamiento de un dispositivo periférico para mover código fuera de la máquina virtual.

Fuentes:

https://amnic.com/blogs/cloud-cost-optimization-challenges

En las redes físicas tradicionales existía siempre algún tipo de separación, o podría ser hecha exista desconectando un cable entre los sistemas sobre una red. Como ejemplo dos computadoras las cuales están conectadas a la misma LAN Ethernet pueden únicamente comunicarse la una con la otra a través de esa red. Y si el cable de red es desconectado o se pone un firewall entre estas dos computadoras, no serán capaces de comunicarse la una con la otra.

En un entorno virtualizado el hipervisor siempre crea una conexión de software entre los sistemas, no una física. Y debido a estar basado en software, no hay manera de completamente aislar un sistema operativo del otro. La única manera para asegurar separación física en un entorno virtual es migrar una de las máquinas virtuales del sistema operativo hacia una plataforma de hardware diferente. Es esta conexión persistente de software la cual conduce a los administradores de seguridad en redes pensar sobre la virtualización nunca será configurada tan seguramente como una red tradicional.

Fuentes:

https://en.wikipedia.org/wiki/Air_gap_(networking)
 

Los entornos virtualizados son dinámicos por diseño, y algunas veces cambian rápidamente con regularidad. A diferencia de los entornos físicos, docenas e incluso cientos de máquinas virtuales pueden ser encendidas en cuestión de minutos. Este tipo de despliegue rápido y a gran escala de máquinas virtuales nuevas o existentes facilita mucho perder el rastro de aquello en ejecución, aquello desconectado, y cuales vulnerabilidades de seguridad pueden estar presentes.

Esto se denomina expansión virtual, lo cual se refiere hacia la condición en un entorno operativo donde el número de máquinas virtuales en existencia alcanza un punto en el cual ya no se pueden gestionar o asegurar eficazmente. En esta situación la seguridad de todas las máquinas virtuales no puede ser garantizada. Los ciberatacantes utilizarán la expansión virtual como una cubierta para localizar una máquina virtual fuera de linea, utilizándola para ganar acceso hacia los sistemas de una organización.

Afortunadamente la expansión virtual puede ser gestionada, hasta cierto grado, con políticas y técnicas para automatización correctas, pero como cualquier sistema ya sea físico o virtual, una sobrecarga puede ocurrir si es permitido a través de una mala gestión o falta de personal.

Fuentes:

https://www.techtarget.com/searchvmware/tip/Understanding-the-files-tha…
 

Los hipervisores están deliberadamente escritos para ser robustos y seguros. Sin embargo como todo software inevitablemente contienen vulnerabilidades, los cuales si son descubiertos podrían ser explotados por un ciberatacante. El valor del hipervisor es reducir la superficie de ataque con la cual debe trabajar un ciberatacantes, lo cual en sí mismo crea un alto nivel de seguridad. La desventaja es toda esta seguridad puede inmediatamente volverse contra uno si un ciberatacante es capaz de comprometer el hipervisor, debido a una vez comprometido el ciberatacante se adueña de todo.

Afortunadamente existe una solución de seguridad para el hipervisor llamada introspección para máquinas virtuales. Como su nombre lo sugiere, la introspección de máquinas virtuales permite al administrador vigilar todos los eventos dentro de un entorno virtual, de tal manera cualquier comportamiento inusual pueda ser detectada oportunamente. La introspección de máquinas virtuales es implementada en el hipervisor. y vigila el estado del hipervisor como también de todas las máquinas virtuales ejecutándose sobre el servidor físico. La introspección puede ocurrir de diferentes maneras. Algunos ejemplos incluyen hacer introspección de memoria o introspección sobre eventos del sistema, vigilando llamadas del sistema, interrupciones, y eventos de dispositivos de E/S, como también procesos vivos. La introspección de máquinas virtuales puede también detectar acciones de malware diseñadas para evitar la detección de antimalware, pues el comportamiento del sistema operativo virtual está siendo observado desde el exterior. Dads las funciones de introspección se ejecutan en el hipervisor, es posible rastrear y vigilar cada interacción entre un sistema operativo invitado o una aplicación y el hardware subyacente, lo cual lo convierte en una potente herramienta para la seguridad de la virtualización.

Fuentes:

https://www.vmware.com/topics/hypervisor
 

El aislamiento de otros sistemas operativos y aplicaciones es uno de los beneficios importantes de la  virtualización. Una máquina virtual se ejecuta a un nivel de permisos comparado al hipervisor el cual se ejecuta en la cima, lo cual mantiene cualquier máquina virtual sea comprometida irrumpa en otros sistemas. Adicionalmente el código de los hipervisores Tipo 1, también referidos como hipervisores de hardware (hipervisores los cuales se ejecutan directamente en el hardware), se mantienen lo más pequeño posible, lo cual reduce grandemente la superficie de ataque con la cual un ciberatacante debe trabajar.

Las máquinas virtuales son también muy confortables para el aislamiento de aplicaciones. Este tipo de aislamiento ayuda a los gestores de TI manejar mejor la inestabilidad de las aplicaciones, lo cual podría desperdiciar recursos, o incluso peor conducir hacia una caída completa del sistema y el compromiso de la aplicación, lo cual podría conducir a la escalada de privilegios locales y el acceso no autorizado por un ciberatacante.

La resiliencia y la alta disponibilidad es otro pilar de la virtualización. Esta cualidad de la virtualización permite a los administradores aprovisionar rápidamente máquinas seguras, replicar políticas de seguridad a través de numerosas máquinas virtuales, automáticamente configurar conjuntos de reglas del firewall para clases de servidores, y automáticamente poner en cuarentena los sistemas comprometidos o los cuales no cumplan con las normas. La resiliencia y alta disponibilidad también propician técnicas para técnicas sofisticadas de automatización, lo cual reduce aún más los tiempos para configuración y recuperación.

Con el aumento de regulaciones para control de datos, como el GDPR, es más importante que nunca tener completa visibilidad y control de sus datos. Existen innumerables ejemplos de organizaciones siendo vulneradas, como también el robo de datos desde sus sistemas de los cuales ni siquiera se sabía de su existencia.

La virtualización reduce enormemente el tiempo y costos para operaciones de recuperación ante desastres. En lugar de guardar miles de archivos individuales y restaurarlos desde una copia de respaldo, toda la máquina virtual puede ser copiada como copia de respaldo incluso mientras está actualmente en funcionamiento. Esta copia de respaldo frecuentemente aparecer como un único gran archivo, lo cual es un tremendo ahorro de tiempo comparado con reinstalar un sistema operativo y restaurar archivos de datos. Frecuentemente una máquina virtual puede ser restaurada desde copias de respaldo en cuestión de minutos.

Los dispositivos virtuales, los cuales son imágenes de máquinas virtuales previamente configuradas, listas para ejecutarse sobre un hipervisor, también son muy útiles para seguridad de la virtualización. Los dispositivos virtuales pueden ser construidos para realizar una o dos funciones muy bien y nada más. Dependiendo de la necesidad y el entorno, un dispositivo virtual puede reducir aún más la superficie de ataque en un entorno de cómputo.

Aparte de todas los beneficios de seguridad y un mejor uso de recursos, la virtualización es mucho más fácil de gestionar, lo cual crea sistemas flexibles y reduce los costes generales e incluso las facturas de electricidad.

Fuentes:

https://softwareg.com.au/blogs/cybersecurity/does-virtualization-increa…
 

La seguridad en virtualización, similar a la seguridad de redes o aplicaciones, abarca los problemas de seguridad enfrentados por los componentes de un entorno virtualizado, y los métodos para prevenirlos o minimizarlos. La seguridad en virtualización incluye procesos tales como la implementación de controles y procedimientos de seguridad en cada máquina virtual; la protección de las máquinas virtuales, la red virtual, y cualquier otro dispositivo virtual desde el dispositivo físico subyacente; además de la creación e implementación de políticas de seguridad en todo el entorno virtual.

Una de las principales áreas de enfoque para la seguridad en virtualización es la adecuada protección y aislamiento de los distintos sistemas operativos invitados ejecutándose en un equipo anfitrión. Si un servidor ejecuta una gran cantidad de sistemas operativos invitados, los ciberatacantes desearán poder comprometer el sistema para luego acceder hacia todas las demás máquinas virtuales. Este método se conoce como tácticas de escape de máquinas virtuales y es un área importante de enfoque para los profesionales en ciberseguridad.

Fuentes:

https://www.liquidweb.com/blog/virtualization-security/
https://www.vmware.com/topics/virtualized-security
 

Las máquinas virtuales han tenido un tremendo crecimiento, En sus inicios, cuando el hardware era lento y caro, con esfuerzo se podía ejecutar un sistema operativo y unas pocas aplicaciones en una computadora sin tener problemas de rendimiento. Iniciando el año 2000, los procesadores se volvieron rápidos y muchos sistemas contaban con procesadores de doble núcleo. Adicionalmente era común tener un mínimo de 4 GB de memoria, incluso en laptops. Esto significaba en un sistema promedio la utilización del procesador y la memoria era inferior al 30 %, lo cual significaba estaban disponibles muchos recursos. Esta capacidad extra podía fácilmente ser utilizada para ejecutar uno o varios sistemas operativos virtualizados.

Uno de las principales y más obvios beneficios es ser capaz de ejecutar múltiples sistemas operativos sobre la misma computadora. Tanto si se lleva una laptop hacia un cliente y se necesitan herramientas en Windows y Linux, como si se es usuario de Mac y se desea ser capaz de acceder a aplicaciones diseñadas para sistemas operativos Windows, las máquinas virtuales permiten utilizar una computadora para ejecutar varios sistemas operativos al mismo tiempo. En el pasado era necesario llevar varias computadoras o configurar un sistema de arranque dual. Ninguna de estas opciones es una gran opción. Desde la perspectiva de un servidor, en lugar de deber comprar una gran cantidad de sistemas, un pequeño número de sistemas de gama alta puede ejecutar el mismo número de sistemas operativos con menos hardware para mantener.

Desde la perspectiva de un Plan para Recuperación ante Desastres (DRP), en lugar de tener 10 servidores con un sistema operativo y sin redundancia sobre cada uno, se podrían tener dos sistemas con cinco sistemas operativos y cuatro sistemas de conmutación por error cada uno, y aun así tener menos hardware. Si un sistema falla no es necesario reconstruirlo ni restaurarlo desde una copia de respaldo. Simplemente se cargaría la imagen del invitado y el sistema se ejecutaría en minutos. Desde la perspectiva de la ciberseguridad, los componentes clave pueden ser aislados y contenidos para reducir o limitar la exposición.

Con los principales beneficios sobre la facilidad de uso y la portabilidad, los usos de las máquinas virtuales son casi infinitos. Empezando por lo más obvio: las máquinas virtuales son grandiosas para el entrenamiento. Por ejemplo se puede utilizar una sola computadora y ejecutar varios sistemas operativos previamente diseñados por el instructor. La respuesta ante incidentes, análisis de código malicioso y forense digital, permiten a los profesionales en ciberseguridad tener un laboratorio de seguridad portátil sobre una sola computadora, con todas las herramientas y el software necesarios al alcance de la mano.

Las máquinas virtuales benefician tanto al usuario individual como a los centros de datos de alta gama. Las máquinas virtuales permiten a los profesionales en ciberseguridad acceder hacia una amplia gama de sistemas operativos simultáneamente sin necesidad de adquirir hardware adicional costoso. Esto permite crear laboratorios virtuales de ciberseguridad con un mínimo esfuerzo. Antes de la virtualización, para un laboratorio efectivo, era necesario adquirir varios sistemas de cómputo con unidades extraíbles. Ahora con unos pocos sistemas y máquinas virtuales se puede simular una red corporativa completa con un gasto mínimo.

Fuentes:

https://docs.oracle.com/en/virtualization/virtualbox/6.0/user/virt-why-…
https://www.tech-insider.org/esx/research/acrobat/050914.pdf
 

El software de máquina virtual (software VM) es un simple emulador para una computadora, todo creado en software. Se instala un programa de VM sobre la cima de otro sistema operativo, conocido como sistema operativo anfitrión, el cual podría ser Windows o GNU/Linux. Luego se pueden iniciar computadoras virtuales en el software de VM, cada una de las cuales se denomina sistema operativo invitado o máquina virtual. Cada sistema operativo invitado tiene su propia asignación de memoria, adaptadores de red virtualizados, discos duros, y otros componentes de hardware. Los diferentes invitados y el anfitrión parecen ser sistemas operativos verdaderamente independientes, todos ejecutándose sobre el mismo hardware.

El software de VM es cargado en el sistema operativo anfitrión, como cualquier otra aplicación. Después de instalarlo su trabajo es interactuar con todos los componentes de hardware y crear entornos de hardware virtualizados, de tal manera se puedan instalar otros sistemas operativos y aplicaciones. El sistema operativo o la aplicación no es consciente se está ejecutando en una máquina virtual. Por lo tanto se pueden instalar cuatro sistemas operativos invitados diferentes, cada uno con una tarjeta de interfaz de red (NIC) virtualizada. Esto significa a cada uno se le puede asignar una dirección IP única y conectarse e interactuar como si estuviese instalado sobre cuatro sistemas de cómputo diferentes y conectado con un switch.

La virtualización es la herramienta fundamental del software de VM. Este software toma la memoria física, los procesadores, la tarjeta de red (NIC), y otros componentes de hardware, para luego crear componentes virtualizados para interactuar con los diferentes sistemas operativos invitados. El software de VM debe rastrear el intercambio entre los componentes físicos y virtuales para garantizar todo funcione apropiadamente.

Cuando se diagnostican problemas de un sistema operativo, es importante recordar si se trata de un sistema operativo anfitrión o invitado. Aunque parecen funcionar de la misma manera, existen sutiles diferencias entre los dos. Un sistema operativo anfitrión accede directamente al hardware, y el sistema operativo invitado accede al hardware virtual a través de un emulador.

Fuentes:

https://en.wikipedia.org/wiki/Virtual_machine
 

La virtualización, en lo más básico, es la capacidad de emular hardware utilizando software. Esto es valioso y útil pues permite utilizar múltiples tipos de sistemas operativos o múltiples versiones de un mismo tipo, para ser utilizado sin necesidad de configurar diferentes plataformas de hardware. La manera por la cual el software logra esto es mediante un hipervisor. En cualquier computadora, en lo más básico, un sistema operativo de algún tipo necesita iniciar en algún tipo de hardware físico. Este sistema operativo puede ser un sistema operativo completo, como Windows o GNU/Linux, o un sistema operativo simplificado, diseñado para iniciar y funcionar de manera proporcione virtualización. En ambos casos un sistema operativo es cargado, y posteriormente se carga el software para emulación. Este software de emulación es el hipervisor.

Dado el hipervisor es responsable de abstraer y emular componentes y configuraciones de hardware específicos, esto proporciona al software más flexibilidad para desacoplar el sistema operativo del hardware subyacente específico. Cuando una máquina virtual o sistema operativo invitado se inicia, el hardware detectado por el sistema operativo es el hardware simulado presentado por el hipervisor, no el hardware real. Este desacoplamiento añade una tremenda versatilidad y permite al hipervisor ejecutar múltiples entornos virtuales, cada uno de los cuales puede tener requisitos ligeramente diferentes de hardware.

Fuentes:

https://www.ibm.com/docs/en/power6?topic=virtualization-overview
 

Aunque el precio del hardware disminuye cada día, aún existen muchas razones por las cuales no se requiere comprar más. Además de hardware menos costoso, los procesadores son cada vez más poderosos y la memoria es menos costosa. Por lo tanto muchas compañías tienen servidores de alta gama y utilizan solo un pequeño porcentaje de sus capacidades de procesamiento. Ejecutar varios elementos de software virtualmente sobre el mismo hardware tiene numerosos beneficios.

La forma más común de máquina virtual es una máquina virtual de sistema operativo (SO). Esta máquina virtual permite múltiples sistemas operativos se ejecuten independiente sobre el mismo hardware. Se pueden utilizar máquinas virtuales en una laptop la cual necesite ejecutar diferentes sistemas operativos o como granjas de servidores de alta gama necesitando ejecutar muchas aplicaciones a un coste reducido de hardware. El primer uso es más una novedad y no supone un gran ahorro para una organización. Sin embargo sigue siendo una herramienta poderosa para un profesional en seguridad de redes, quien puede ejecutar herramientas Linux en un sistema Windows sin requerir reinstalar ningún componente. El profesional en ciberseguridad debe tener acceso hacia sistemas operativos Windows y Linux, pues algunas herramientas solo funcionan en un sistema operativo. Máquinas de arranque dual requieren reinstalación de componentes clave, Múltiples laptops requieren hardware adicional, y CDs o DVDs de arranque tienen capacidades limitadas de solo lectura. En algunos casos las unidades USB o discos duros de arranque pueden resolver esta necesidad, pero esto requeriría acceso hacia el hardware el cual no siempre está disponible. Las máquinas virtuales son una perfecta solución para resolver este problema.

Conforme las aplicaciones se tornan más potentes, los ciberatacantes toman ventaja del aumento de funcionalidades para encontrar vulnerabilidades en el software. Eliminar estas aplicaciones no siempre es una opción, pero son una fuente principal de código malicioso el cual puede infectar todo un sistema. Un exploit en un navegador web puede ser utilizado para comprometer todo el sistema. Una solución es ejecutar máquinas virtuales a nivel de aplicación. Ahora una aplicación se ejecuta en una máquina virtual independiente, por lo cual si se explota o compromete, el alcance del ciberatacante está limitada hacia un sistema separado y no puede comprometer el sistema operativo principal en el cual se ejecutan todas las otras aplicaciones. Cuando se habla de máquinas virtuales, es importante ser capaz de distinguir entre el sistema operativo principal y el software virtual. Debido una computadora necesita un sistema operativo para arrancar, se le denomina sistema operativo anfitrión. En el sistema operativo anfitrión se instala una aplicación de máquina virtual, como Vmware o VirtualBox. Este software de máquina virtual permite ejecutar múltiples sistemas operativos invitados, los cuales en realidad son aplicaciones ejecutándose sobre el sistema operativo anfitrión. Sin embargo el software de máquina virtual segmenta la memoria y el hardware para parezcan y funcionen como sistemas operativos independientes, aunque siempre exista un anfitrión y uno o más sistemas operativos invitados en un momento dado.

Conforme las personas reconocen los beneficios de las máquinas virtuales su popularidad sigue creciendo. Desde profesionales en ciberseguridad ejecutando múltiples sistemas operativos en una laptop hasta grandes corporaciones ahorrando millones de dólares en hardware, los beneficios son evidentes. Desde la perspectiva de la seguridad de red, es fundamental comprender el valor y las ventajas de las máquinas virtuales.

Fuentes:

https://www.vmware.com/topics/virtual-machine
https://www.virtualbox.org/manual/ch01.html