VDI Security

Virtualización: Pasado, Presente y

Futuro

Orador:Diego G. BrunoBanco Comafi

Virtualización: Pasado, Presente y Futuro

Agenda:Conceptos básicos, historia y tendencias en virtualización.Que es VDI o Virtual Desktop Virtualization?Usos de la tecnologíaAlgunas ventajas y desventajasQue nos ofrece en material de seguridad esta tecnología?Principales jugadores del MercadoCasos de Estudio: Microsoft y VMware.ThinclientsMejores prácticas de seguridad en entornos de virtualizaciónResumenFin

Conceptos básicos

Historia y Tendencias en Virtualización.

Los hypervisores pueden clasificarse en dos tipos:Hipervisor tipo 1: También denominado nativo, unhosted o sobre el metal desnudo (bare metal), es software que se ejecuta directamente sobre el hardware, para ofrecer la funcionalidad descrita.Ejemplo: VMware infrastructure, Microsoft HyperV

http://es.wikipedia.org/wiki/Archivo:Hipervisor_-_Primer_nivel.svg

Conceptos básicos


Hypervisor tipo 2: También denominado hosted, es software que se ejecuta sobre un sistema operativo para ofrecer la funcionalidad descrita.Ejemplo: VMware Workstation, Virtual PC, Virtual Box, VMFussion, Parallels Desktop, etc.

Conceptos básicos


Desafíos:

Cuando hablamos de virtualización, la visión de IT incluye:

• Maximizar la utilización de Recursos.• Gestión y administración simplificada de infraestructura.• Reducir los Costos en Espacio (Rack/Centro de Procesamiento), Enfriamiento, Electricidad.• Minimizar el Costo en las Operaciones (Automatización).• Mejora de los niveles de servicio.• Facilidad de disponer de entornos de desarrollo/testing.• Mantener (en los escenarios mas optimistas, mejorar) los niveles de seguridad de los Servidores/Servicios.

Conceptos básicos


DesafíosCuando hablamos de virtualización, la visión de seguridad incluye:

•“Sensación” de mejor y mayor control.• Por FIN vamos a poder hacer el BCP!!! Ahhh y el DRP también.• Nuevos riesgos y amenazas.• Ahora si que no nos van poder decir que no pueden probar un parche o hotfix!!!!• Upa…y ahora quien administra el Proxy virtual? A ver la 4609……

Conceptos básicos


DMZs On The Box• DMZ en una Caja (Toda la DMZ’s es Virtualizada en un solo Host de Virtualizacion, consolidando Redes, Storage y Seguridad)• Ventajas: Máxima Utilización de Recursos + Minimiza Costo en Operaciones.• Desventajas: Alta Complejidad + Alto Riesgo en el Mantenimiento.• Riesgos: Altos (Asociados a la Complejidad en la Implementación, Mantenimiento y Operación). DMZ Parcialmente Colapsada con Separación (Física/Virtual) de Zonas de Confianza

•Ventajas: Baja – Mediana Complejidad + Mas Segura ya que las tareas de Implementación, Mantenimiento y Operación son mas sencillas.•Desventajas: Bajo – Mediano Nivel de Utilización de Recursos + Mayores Costos de Mantenimiento y Operación.•Riesgos: Bajo – Mediano Nivel de Riesgo (Asociado al Diseño de Implementación y a los Procesos de Mantenimiento y Operación)

Conceptos básicos


Sucursales en una Caja

• Ventajas: Máxima Utilización de Recursos + Minimiza Costo en Operaciones + Baja – Mediana Complejidad.• Desventajas: Alto Riesgo en el Mantenimiento + Único Punto de Falla. Riesgos: Medios – Altos, Asociados a los SLA’s definidos con los proveedores de Hardware, Mantenimiento y Operación.

Centro de Procesamiento Parcialmente Colapsado con Separación (Física/Virtual) de Zonas de Confianza

• Ventajas: Baja – Mediana Complejidad + Mas Segura ya que las tareas de Implementación, Mantenimiento y Operación son mas sencillas.• Desventajas: Bajo – Mediano Nivel de Utilización de Recursos.• Riesgos: Bajo – Mediano, Asociado al Diseño de Implementación y a los Procesos de Mantenimiento y Operación.

Evolución de la virtualización - Virtualization Reloaded!!!

VDI: VIRTUAL DESKTOP INFRASTRUCTURE

Virtual Desktop Infrastructure

QUE BENEFICIOS OFRECE LA TECNOLOGÍA DE DESKTOP VIRTUALIZATION?

•Prolongación en el ciclo de actualización de la infraestructura de escritorio.•Mayor centralización en el manejo de la infraestructura.•Mucho mayor control sobre el manejo del entorno del usuario.•Menores costos en el despliegue de nuevas aplicaciones.•La integridad de la información del usuario es mejorada debido a que todos los datos pueden ser mantenidos y backapeados directamente en el datacenter.•Simplificación en la provisión de nuevos escritorios.•Reducción de tiempo de inactividad en el caso de fallas de hardware en el servidor o en el cliente.•Capacidad de manejo de imágenes de los desktop.•Acceso remoto seguro para el medio ambiente de desktop de la empresa.•Posibilidad de auditorías de seguridad masivas


Algunas DESVENTAJAS de esta tecnología podrían ser:

• Potenciales riesgos de seguridad si la nueva infraestructura no está correctamente administrada.• Pérdida parcial de la autonomía y privacidad del usuario.• Dificultades para la configuración y mantenimiento de drivers para impresoras y otros periféricos.• Dificultades para correr algunas aplicaciones complejas cómo todo lo relacionado a multimedia.• El aumento de tiempo de inactividad en el caso de fallos en la red.Complejidad y altos costos en el deployment y mantenimiento de una infraestructura de VDI.


Modelo Sin Virtualización.

Seguridad:

Problemáticas de seguridad y administración bien conocidas.

• Necesidad de control/monitoreo de lo que el usuario realiza en el equipo.

• Manipulación de datos sensibles en el equipo desktop por parte del usuario.

• Posibilidad de fuga de información a través de dispositivos endpoints.


Modelo de Terminal Server

•Hosteo de Aplicativos centrales en un único Mainframe o servidor de grandes prestaciones.

• Mejorar la estrategia de parcheo de la aplicación en un único punto en común.

• Administración Centralizada de la seguridad de la aplicación para todos.

•La “NO” necesidad de la instalación de la aplicación en el desktop.

•Protocolos RDP – ICA.


Virtualización de desktop completa:

Desktop totalmente virtualizado en el centro de cómputo del datacenter.

Gestión totalmente centralizada de la seguridad tanto del equipo como del escritorio del usuario.

Uso de terminales tontas o thinclients.

Protocolos RDP – ICA – PCoIP.

Imposibilidad del usuario de manipular los datos sensibles de la compañía.

Mejoras drásticas en la prevención de fuga o robo de información sensible.


Desarrollo Correcto de una estrategia de virtualización:

Existen muchas opciones de virtualización de desktop y varias posibles combinaciones por lo cual se deben tomar 3 principales premisas en el desarrollo de una estrategia:

• Mapear primeramente las diferentes tecnologías existentes.

• Definir las necesidades de los usuarios.

• Mapear las tecnologías ya relevadas con las necesidades reales de los usuarios


Que ítems se deben contemplar al analizar una solución de VDI?

•Una compañía que tenga una infraestructura de virtualización madura.

• Que la solución de VDI tenga un connection broker para manipular los accesos al pool de virtuales.

• La posibilidad de integrarse con Active directory como cualquier repositorio LDAP.

•Soporte con los principales protocolos RDP del mercado.

PRINCIPALES JUGADORES DEL MERCADO:

• Citrix Xen Desktop.• Microsoft Remote Desktop Services.• Sun Virtual Desktop Infrastructure.• Parallels Virtual Desktop Infrastructure.• VMWare.• Wyse.• Teradici


CASOS DE ESTUDIO: MICROSOFT Y VMWARE : MICROSOFT Y VMWARE

Virtual Desktop Infrastructure - Microsoft

Soluciones Microsoft de Virtualización por tipo de tecnología

Virtualización de Sistema Operativo

Operating System Virtualization

VDI

Session Vitualization y Microsoft Enterprise Desktop Virtualization (MED V)

Vitualización de Aplicaciones

Application Virtualization

Microsoft Application Virtualization (App-V)

RemoteApp

Virtualización del estado del usuario

User State Virtualization

Roaming Profiles

Offline Files

Virtual Desktop Infrastructure - Microsoft

Ventajas:

• Integración nativa con la suite de productos de Microsoft.

• Buena capacidad de soporte por parte del proveedor.

• Interacción e integración con la suite de Citrix y el protocolo ICA.

Desventajas:

• No posee su propio connection broker.

• Salvo el caso de Citrix, no tiene acuerdos de desarrollo con otras empresas de tecnología.

Puntos futuros a considerar:En sus propuestas comerciales Microsoft presenta cómo su connection broker a la solución

De Citrix “Citrix XEN Desktop Server 2.0”Citrix está terminando de desarrollar en conjunto con Microsoft una solución que

Permitiría “mover” en forma transparente VM’s entre ambos hipervisores propietarios(XEN Server y Hyper V)

Virtual Desktop Infrastructure - VMWare

VMWare cuenta con las siguientes características en su solución de VDI:

• Hypervisor VMWare Infrastructure.

• VMWare Virtual Desktop Manager.

• VMWare Virtual Center.

• VMView 4.0 (Manejo de PCoIP)

• VMWare Converter.

• Desktop Composer


VMWare ofrece su propio Enterprise-Class Connection Broker el cual cumple con los siguientes ítems:

• Access Management: Maneja el acceso a los usuarios a los virtual desktops centralizados.

• Flexible Provisioning: Se puede desplegar desktops individuales para cada usuario o crear pools de desktops persistentes y no persistentes en base a una o más imágenes o plantillas, ya previamente creadas.

• Strong network Security: El producto permite encriptar mediante túneles SSL todas las conexiones.

• Strong Authentication: Se puede segurizar el proceso de control de acceso a través de doble factor de autenticación usando RSA SecureID

• Completa integración con Active Directory


Que ventajas me ofrece VMWare en materia de VDI?

Un robusto y probado hypervisor que lleva muchísimos años en el mercado.Un robusto connection broker para el control de acceso a las VMs.

Una contínua evolución de la infraestructura VDI a través de acuerdos queVMware tiene con otras compañías para el desarrollo de su productos y la

Interacción con otros.La posibilidad de trabajar con la mayoría de los productos desarrollados

Para thinclient como los de la compañía wyse, la posibilidad de Trabajar en forma nativa con el protocolo PCoIP a través de

VMView 4.0 el cual ya lo trae integrado.

Virtual Desktop Infrastructure - ThinClients

Thin clients y su interacción con VDI

Existen una gran variedad de thinclients hoy en día pero los de la compañía Wyse llevan la delantera en muchos aspectos.

Los aspectos más importantes a considerar a la hora de adquirirlos son los siguientes:

• Que soporten autenticación robusta, en lo posible 801.x

• Soporte para protocolos RDP 5.0 o superior e ICA 9.0.

• Posibilidad de que los mismos puedan ser zero client, lo que significa que no tengan mini OS instalados (Normalmente versiones de linux recortadas)

• Actualización de firmas de firmware en forma automática por parte del vendor.

• Posibilidad de que los mismos ya trabajen con el nuevo protocolo PCoIP de la compañía Teradici, el cual soluciona los problemas existentes en aplicaciones multimedia pesadas en un abrumador porcentaje en cuanto a rendimiento comparado a sus pares.

Virtual Desktop Infrastructure - ThinClients

Virtual Desktop Infrastructure – ThinClients-Wyse

WYSE V10L Ultra Thin Client

1 +12V Power adapter input2 PS/2-type keyboard port3 USB port (2)4 DVI-I port (1x DVI-D or 1x VGA)5 Parallel port6 Secure clip for DC power cord7 PS/2-type mouse port8 Network port, 10/100Base-T9 Serial port10 Lock receptacle11 Power on/off button/light12 LED (amber: standby; green: on)13 Microphone in14 Speaker out15 USB port16 PS/2-type mouse port

Algunas Ventajas:

• Soporta 801.x

• Trabaja con RDP 5.0 e ICA 9.0 también.

• Posibilidad de expansión a través de otros módulos de hardware.

Algunas Desventajas:

No es zero client, Wyse miniOS incorporado.

No soporta PCoIP de Teradici.

Pueden quedar data randómica en la memoria Ram.

Virtual Desktop Infrastructure – ThinClients-WyseWyse P20

Algunas Ventajas:

• Soporta en forma nativa PCoIP.

• Es un dispositivo zero client.

• Soporta a través de PCoIP el uso virtualizado de aplicaciones CAD y 3D.

• Mejora notable en cuanto a seguridad y performance se trata.

Algunas Desventajas:

• No soporta todavía 801.x

• Al no tener una versión de sistema operativo, los cambios solicitados al vendor se realizan por update de firmware con tiempos más altos.

Mejores prácticas de seguridad en entornos de Virtualización

Seguridad en el Hypervisor:

• Políticas y procedimientos sólidos de parcheo del hypervisor utilizado.

• Debería al menos existir dos Hypervisores para situaciones de contingencia tanto en el site central como en el de contingencia.

• El acceso al hypervisor se deberá realizar solamente a través de la red de Management.

• En lo posible, el hypervisor no debería tener una IP propia asignada en el segmento LAN.

• En el caso que si posea una dirección IP interna, la misma deberá estar filtrada sólo a los usuarios autorizados.

• Deberán estar perfectamente segregadas las funciones de quienes administran el hypervisor de quienes administran las virtuales.

• Deberán los equipos virtuales estar segurizados con el mismo baseline con el que se seguriza a los desktops físicos.

Problemática Frecuente:

Inadecuadas o inexistentes políticas de parcheo para los Hypervisors



Riesgos Existentes:Inadecuados procedimientos de parcheo

Puntos de falla masivos para todos los desktopsHasta la fecha existen, según secunia, para VMware ESX 3.x 19 advisories y 128 vulnerabilidades

Y 7 advisories y 14 vulnerabilidades para XenSource Xen 3.x


A nivel de Network:

• Los clientes thin clients deberían autenticarse a través de sus respectivas MacAddress y estar dentro de un red segregada con acceso únicamente a la infraestructura de VDI a través de Firewalls.

• Se deberían segmentar los diferentes segmentos VDI a través de Vlans y sin acceso lógico entre uno y otro.

• Los thinclients deberían poder autenticar por 802.1x. Se debería forzar en los switches la autenticación a través de 802.1x y en segundo lugar a través portsecurity.

• Virtualización de redes Vlans a través de tecnología VRF (Virtual Routing Fowarding)


A nivel de desktop:

• Recordar que el virtual desktop debería recibir las mismas políticas de seguridad que un equipo físico.

• Se debería realizar un full desktop lockdown en la imagen plantilla que se realice.

• Se debería restringir toda instalación de software no sólo a través del NO privilegio sobre el equipo sino también a través de una correcta política de software restriction policy a través de tecnología SRP de Microsoft o AppLocker.

• Se deberá restringir TOTALMENTE el acceso y escritura al disco C.

RESÚMEN

Recordar que:

• Para realizar un correcto deploy de una infraestructura VDI se deben tener no sólo las tecnologías del mercado analizadas sino también, ya mapeadas, las necesidades de los usuarios.

• Recordar que en materia de seguridad se debe tener al menos 2 hypervisors.

• Recordar lo importante que es la seguridad del hypervisor como corazón de la tecnología VDI, por lo cual se deberá tener una fuerte política y procedimientos de parcheado lo más períodico posible.

• Segmentación de roles en la administración de la infraestructura de VDI.

• Los segmentos thinclients deberán estar separados a través de Vlans.

• Los segmentos Vlans deberían estar enrutados a través de VRF (En caso que aplique).

• Recordar que los virtual desktops deben tener la misma seguridad que un equipo físico.

Links de Interés

http://www.wyse.com/products/hardware/thinclients/index.asp http://technet.microsoft.com/es-ar/windows/gg276319(en-us).aspx?ITPID=insider http://www.teradici.com/ http://blogs.vmware.com/view-point/2009/10/why-pcoip-is-the-best-protocol-for-virtual-desktops.html http://www.vmware.com/support/pubs/vdi_pubs.html

PREGUNTAS ?????

MUCHAS GRACIAS !!!!!!!

Documents

VDI Security