Muchas empresas pasan por alto la seguridad en sus proyectos de virtualización
Muchas empresas se apresuran a desplegar tecnologías de virtualización para la consolidación de servidores pasando por alto importantes cuestiones relacionadas con la seguridad y exponiéndose así a múltiples riesgos, según ha advertido la firma de investigación Gartner.
“La virtualización, como ocurre con cualquier tecnología emergente, será el objetivo de nuevas amenazas de seguridad”, asegura Neil MacDonald, vicepresidente de Gartner. En concreto, Gartner estima que la falta de conciencia de las empresas sobre los peligros que para la seguridad introduce la virtualización, combinada con la carencia de herramientas de protección disponibles específicamente desarrolladas para estos entornos, hará que hasta 2009 el 60% de las máquinas virtuales en producción sean menos seguras que las físicas.
El software de virtualización permite correr múltiples sistemas operativos, o múltiples sesiones de un mismo sistema operativo sobre una única máquina física, ya se trate de un sistema de sobremesa o un servidor. Pero las soluciones de virtualización, como son los hipervisores, introducen un nuevo nivel que puede ser objeto de ataques y las estrategias de seguridad corporativa deben tenerlo en consideración, según Gartner.
Necesidad de un enfoque específico
“Muchas empresas presuponen equivocadamente que la forma de securizar máquinas virtuales será la misma que la de proteger cualquier sistema operativo y, en consecuencia, consideran suficiente la aplicación de sus directrices de configuración, estándares y herramientas ya existentes”, explica McDonald. “Aunque esto puede representar un punto de partida adecuado, es imprescindible un análisis específico de la seguridad requerida a nivel de máquinas virtuales, especialmente teniendo en cuenta que las herramientas necesarias para conseguirla todavía pueden encontrarse inmaduras o ni siquiera existir”.
Gartner presentará un análisis más detallado sobre las implicaciones de la virtualización sobre las estrategias de seguridad corporativas en Gartner Symposium/ITxpo, que se celebrará en San Francisco este mismo mes. Entre los puntos concretos sobre virtualización y seguridad que tratará en el encuentro se incluyen la pérdida de la separación de funciones para tareas de administración TI; aplicación de parches y actualizaciones de firmas, y la protección frente a manipulaciones; limitación de la visibilidad sobre el sistema operativo del host y la red virtual para la búsqueda de vulnerabilidades y el establecimiento de la configuración correcta; visión restringida del tráfico dentro de la máquina virtual para su inspección por parte de los sistemas de prevención de intrusiones; máquinas virtuales móviles y políticas de seguridad; e inmadurez y limitación de las herramientas de gestión y seguridad actualmente disponibles.
