vmware nsx

VMware NSX: la solución 2022 a un Estado Hackeado y alterado

Criticar al Estado suele ser simple, pero por respeto profesional a quienes llevan una lucha desigual propongo una solución basada en VMware NSX para no repetir más errores.

VMware NSX y Zero Trust es el camino para destrabar la vulnerabilidad del Estado

En el día de ayer el periodista de TN Nicolás Wiñaski me realizó un reportaje para conocer desde otra óptica profesional, lo que el definió como un Estado Hackeado.

Problemas en el Senado de la República Argentina, un ataque interno al Renaper (Registro Nacional de las Personas) desde el Ministerio de Salud, vulneración cibernética a la Dirección Nacional de MIGRACIONES, la justicia de la Provincia de Chaco, son solo algunos ejemplos de las recientes exposiciones a las que fuimos sometidos los ciudadanos, como parte de una mal administración de las amenazas.

A la luz de los recientes ataques cibernéticos a organizaciones gubernamentales, el tema de brindar protección contra tales ataques se ha vuelto especialmente relevante.

Exponer las fallas resulta injusto si no van acompañadas de una idea de modelo de seguridad que lo haga sustentable la opinión al respecto.

A pesar de que la mayoría de las organizaciones utilizaban herramientas de protección antivirus especializadas, resultaron ser impotentes frente a los ataques de día cero.

Uno de los métodos más avanzados para aumentar el nivel de seguridad digital en las organizaciones y reducir la probabilidad de que dichos ataques tengan éxito es el uso de un modelo de privilegio mínimo (“confianza cero”) mediante la integración de funciones de seguridad dentro de las redes del centro de datos (DPC).

VMware NSX la herramienta para salir de la crisis de ciberseguridad

Es este enfoque el que permite implementar la plataforma VMware NSX.

La esencia del concepto de “confianza cero” es permitir solo las comunicaciones necesarias entre sistemas, suponiendo que todo el tráfico de la red no sea de confianza. Este enfoque reduce significativamente la superficie de ataque y dificulta su propagación en caso de infección.

Incluso si una de las computadoras está infectada, el resto de los sistemas dentro del segmento de red estarán a salvo.

Si bien los controles del perímetro del centro de datos continúan desempeñando un papel importante en la defensa, NSX mejora la seguridad de la organización en el vector de ataque más común y difícil de rastrear de la actualidad: el ataque horizontal (dentro de los segmentos de red del centro de datos).

1.- Intrusos dentro del perímetro

Al centrarse en atacar los sistemas menos protegidos y utilizarlos como trampolín para la propagación horizontal de la infección, que se vuelve invisible para las defensas tradicionales orientadas Norte-Sur.

NSX hace que estos ataques sean visibles y menos efectivos al limitar su movilidad sin requerir cambios en la arquitectura de la red del centro de datos existente o la reconfiguración del equipo físico de la red.

Además de sus propias herramientas de protección de red, la plataforma VMware NSX le permite conectar herramientas de protección adicionales de nuestros socios tecnológicos (protección antivirus sin agente, IDS/IPS, NGFW) sobre la marcha, brindando protección integral para servidores y estaciones de trabajo de usuarios virtualizados.

 

2.- Enfoque de seguridad Zero Trust para proteger los centros de datos

La seguridad de los centros de datos actuales generalmente se basa en un modelo de perímetro seguro.

Al mismo tiempo, más del 70% del tráfico en el centro de datos es tráfico interno (horizontal), que no llega a las soluciones de hardware en el perímetro.

Por lo tanto, cuando una amenaza ingresa al perímetro, nada impide que se propague al centro de datos.

La arquitectura Zero Trust Security, ofrece un enfoque de seguridad completamente diferente “Nunca confíes, siempre verifica”.

En el enfoque Zero Trust, no existe una confianza predeterminada para los participantes en el intercambio de información, incluidos usuarios, dispositivos, aplicaciones y paquetes de red.

Independientemente de su tipo, ubicación geográfica o jerarquía dentro de una red de gobierno.

Al establecer límites que aíslan efectivamente varios componentes de la aplicación, puede proteger los datos confidenciales de aplicaciones o usuarios no autorizados.

Ocultar sistemas vulnerables y evitar la distribución horizontal (este-oeste) de software malintencionado (software) en la red.

  1. Plataforma de seguridad VMware NSX

Como herramienta de aplicación para implementar el concepto Zero Trust, VMware propone utilizar la solución VMware NSX.

Cada máquina virtual puede encerrarse en su propio bucle de seguridad, independientemente de a qué red virtual o física esté conectada.

El enfoque de firewall distribuido de NSX para la seguridad del centro de datos virtual, llamado microsegmentación, es un modelo de seguridad flexible.

Y granular que sigue los principios de Zero Trust y brinda una protección sólida para cada máquina virtual (VM) en el centro de datos.

NSX le permite aumentar significativamente la seguridad de una plataforma virtual mediante una combinación de dos enfoques: aislamiento y segmentación.

El aislamiento se logra mediante el uso de redes lógicas que no están vinculadas a la topología de la red física.

Al crear segmentos de red aislados bajo demanda para nuevas aplicaciones, puede aumentar el nivel de control y dificultar la propagación de amenazas dentro del centro de datos.

La segmentación a nivel de hipervisor le permite crear segmentos de seguridad lógicos y colocar máquinas virtuales en ellos, independientemente de la configuración de la red o la ubicación en el centro de datos.

La integración integrada con soluciones de socios de seguridad.

Le permite proteger la infraestructura virtual mediante tecnologías que implementan funciones de seguridad adicionales, como: IPS, IDS, DLP, antivirus sin agentes, soluciones de administración de políticas de seguridad.

NSX automatiza la implementación de soluciones de socios y también le permite usar los sistemas correspondientes de forma transparente para las máquinas virtuales.

  1. Políticas de seguridad de aplicaciones

Como arquitectura de destino

Es posible implementar un modelo de microsegmentación basado en un firewall virtual distribuido.

Para diferenciar el acceso entre sistemas de información, no será necesario cambiar la topología de la red y el esquema de direccionamiento de la red.

Ya que el firewall distribuido aplica un filtrado transparente al sistema operativo huésped a nivel de cada VM.

Para determinar la pertenencia a un determinado sistema de información se pueden aplicar varios criterios de agrupación:

nombre de la máquina virtual o nombre del servidor;

Sistema operativo;

Clúster, grupo de recursos o centro de datos virtual;

redes virtuales;

Etiquetas de seguridad, etc

El método más flexible y al mismo tiempo confiable es usar etiquetas de seguridad para máquinas virtuales.

Al implementar el modelo de confianza cero, se debe asignar a cada máquina virtual una o más etiquetas de NSX que identifiquen la máquina virtual como perteneciente a un grupo de protección específico dentro de la infraestructura.

Según las etiquetas de seguridad, las máquinas virtuales que pertenecen al mismo grupo lógico se combinan en un grupo de seguridad de NSX (NSX Security Group).

Cada grupo de seguridad tiene una política de seguridad de NSX que define las reglas para la interacción de la red tanto dentro del grupo como con sistemas externos y otros grupos.

Para describir los puertos y protocolos necesarios, NSX utiliza grupos de servicios de NSX, que son un grupo de servicios de red (puertos y protocolos) necesarios para que la aplicación funcione.

IT CONNECT

Información de valor para ejecutivos que toman decisiones de negocios

El sistema de monitoreo VMware vRealize Network Insight (vRNI) se puede usar para determinar los servicios de red necesarios.

Para ejecutar la aplicación y dirigir las comunicaciones entre diferentes grupos de seguridad.

El sistema vRNI le permite recopilar y analizar datos de flujo de red dentro de una infraestructura virtual, así como entre redes virtuales e infraestructura física.

El protocolo IPFIX se utiliza para recopilar la información necesaria.

Después de recopilar y analizar los datos, vRNI proporciona una lista de reglas recomendadas para el firewall distribuido de NSX.

El cual se puede usar para configurar los sistemas de seguridad del centro de datos en modo de confianza cero.

En la siguiente figura se muestra un diagrama de la arquitectura de seguridad general del centro de datos que utiliza una solución de microsegmentación.

VMware NSX – Cuadro de microsegmentación
  1. Software requerido

Para implementar la solución descrita anteriormente sobre la base de la plataforma VMware NSX, se requiere una infraestructura virtual basada en el hipervisor vSphere o KVM.

NSX para el centro de datos tiene licencia por socket (procesadores de servidor físico), como es el caso del hipervisor vSphere.

La infraestructura de escritorio virtual (VDI) está disponible para licencias de usuario activas.

VMware NSX – VMware vRealize Network Insight

Se requiere el software VMware vRealize Network Insight para monitorear y diagnosticar la infraestructura del centro de datos físico y virtual y crear un modelo de microsegmentación, que también tiene licencia por usuario de socket o VDI.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

Nota de la Redacción: mi sincero agradecimiento a Nicolás Wiñazki por la valentía de dar luz a un tema tan crítico para todo el país.

 

vmware nsx, vmware nsx, vmware nsx, vmware nsx, vmware nsx, vmware nsx, vmware nsx, vmware nsx, vmware nsx, vmware nsx, 

vmware nsx, vmware nsx, vmware nsx, vmware nsx, vmware nsx, vmware nsx, vmware nsx, vmware nsx, vmware nsx, vmware nsx,