Estos controles de seguridad proporcionan un conjunto de líneas base de prácticas recomendadas de diseño del sistema de vSphere.
Eliminar de vCenter Server complementos de terceros
Reduzca o elimine los complementos de vCenter Server de terceros.
La instalación de complementos y otras interconexiones de terceros entre sistemas puede erosionar las delimitaciones entre diferentes sistemas de infraestructura, lo que ofrece oportunidades para los atacantes que han comprometido un sistema para desplazarse lateralmente a otro. La combinación estrecha de otros sistemas con vSphere a menudo también crea impedimentos para aplicar parches y actualizaciones a tiempo. Asegúrese de que todo complemento (de terceros o no) para los componentes de vSphere aporte utilidad. Si decide utilizar complementos en lugar de consolas de administración individuales, asegúrese de que su uso compense los riesgos que crean.
Precaución con las interfaces de administración de infraestructuras
Tenga cuidado al conectar interfaces de administración de infraestructuras a orígenes de autorización y autenticación de propósito general.
Los directorios empresariales centralizados son el destino de los atacantes debido a su función en la autorización en toda una empresa. Un atacante puede moverse libremente dentro de una organización una vez que ese directorio esté comprometido. La conexión de la infraestructura de TI a directorios centralizados ha demostrado ser un riesgo considerable para el ransomware y otros ataques. Aísle la autenticación y la autorización de todos los sistemas de infraestructura.
Para ESXi:
- Realice toda la administración de hosts a través de vCenter Server
- Desactivar ESXi Shell
- Ponga ESXi en modo de bloqueo normal
- Establezca como contraseña raíz de ESXi una contraseña compleja
Active vSphere Distributed Resource Scheduler
Active vSphere Distributed Resource Scheduler (DRS) en el modo Totalmente automatizado.
vSphere DRS utiliza vMotion para mover cargas de trabajo entre hosts físicos a fin de garantizar el rendimiento y la disponibilidad. El modo totalmente automatizado garantiza que el vSphere Lifecycle Manager pueda funcionar con DRS para activar las operaciones de aplicación de revisiones y actualizaciones.
Si se necesitan asignaciones de máquina virtual a host específicas, utilice reglas DRS. Siempre que sea posible, utilice reglas "should" en lugar de "must" para poder suspender la regla temporalmente durante la aplicación de revisiones y la recuperación de alta disponibilidad.
Active vSphere High Availability
vSphere High Availability (HA) reinicia las cargas de trabajo en otros hosts ESXi de un clúster si se produce un error repentino en un host ESXi. Asegúrese de que la configuración de HA esté configurada correctamente para su entorno.
Active Enhanced vMotion Compatibility
vSphere Enhanced vMotion Compatibility (EVC) garantiza que las cargas de trabajo se puedan migrar en vivo mediante vMotion entre hosts ESXi de un clúster que usan diferentes generaciones de CPU. EVC también ayuda en situaciones con vulnerabilidades de CPU, donde es posible que se introduzcan nuevas instrucciones de microcódigo en las CPU, lo que las hace temporalmente incompatibles entre sí.
Proteja los sistemas contra alteraciones
Asegúrese de que los hosts ESXi y los componentes de redes y almacenamiento relacionados estén protegidos contra alteraciones, accesos no autorizados y eliminación no autorizada. Además, proteja los hosts de los daños causados por factores ambientales como las inundaciones, las temperaturas extremas (bajas o altas) y el polvo y los desechos.
El uso de características de seguridad, como vSphere Native Key Provider y la persistencia de claves de ESXi, podría provocar que el material seguro se almacene localmente en hosts ESXi, lo que permite que los atacantes arrancar y desbloquear clústeres que deberían estar protegidos. Es importante tener en cuenta la seguridad física y las amenazas reales, como el robo.
Más allá del robo, tener en cuenta la seguridad también significa hacerse preguntas a sí mismo y a la organización como las siguientes:
- ¿Qué podría ir mal?
- ¿Cómo sabría si algo fue mal?
Estas preguntas adquieren una mayor importancia cuando se trata de ubicaciones de centros de datos sin personal y de instalaciones de colocación. Con respecto a los centros de datos y las configuraciones de rack, hágase las siguientes preguntas:
- ¿Las puertas del centro de datos se cierran automáticamente y se bloquean correctamente por sí solas?
- Si se dejaran las puertas entreabiertas, ¿se generaría una alerta proactiva?
- Si las puertas del rack están bloqueadas, ¿sería posible acceder al rack desde un lateral o la parte superior y desconectar un cable? ¿Puede una persona no autorizada conectar un cable a un conmutador de red?
- ¿Es posible quitar un dispositivo, como un dispositivo de almacenamiento o incluso un servidor completo? ¿Qué sucedería en tal caso?
Otras preguntas que se podría hacer incluyen:
- ¿Podría alguien recoger información sobre su entorno o su empresa a partir de pantallas de información en los servidores, como paneles LCD o consolas?
- Si esas pantallas de información están inactivas, ¿podrían activarse desde fuera del rack, por ejemplo, con el uso de un cable rígido?
- ¿Hay otros botones, como el botón de encendido, que se podrían pulsar para crear una interrupción del servicio en su empresa?
Por último, pregúntese, ¿hay otras amenazas físicas, como la posibilidad de inundaciones, congelación, calor elevado o polvo y desechos del medio ambiente, que afectarían a la disponibilidad?
Asigne nombre a los objetos de vSphere de forma descriptiva
Asegúrese de asignar nombre a los objetos de vSphere de forma descriptiva, cambiando los nombres predeterminados de los objetos para garantizar la precisión y reducir posibles confusiones.
Utilice prácticas recomendadas de nomenclatura para los objetos de vSphere, cambiando los nombres predeterminados, como "Centro de datos", "Almacén de datos de vSAN", "DSwitch", "Red de máquina virtual", etc., para incluir información adicional. Esto ayuda a mejorar la precisión y reducir los errores al desarrollar, implementar y auditar políticas de seguridad y procesos operativos.
Los grupos de puertos que utilizan el etiquetado de VLAN 802.1Q pueden incluir el número de VLAN. Los nombres de centros de datos y clústeres pueden reflejar ubicaciones y propósitos. Los nombres de almacenes de datos y conmutadores distribuidos virtuales podrían reflejar los nombres de los centros de datos y los clústeres a los que están conectados. Los nombres de proveedores de claves son particularmente importantes, especialmente cuando se protegen máquinas virtuales cifradas con replicación en sitios alternativos. Trabaje para evitar posibles "colisiones de nombres" con objetos presentes en otros centros de datos y clústeres.
Algunas organizaciones no asignan nombres a sistemas con identificadores de ubicación física, como direcciones postales, y prefieren ocultar la ubicación física de los centros de datos mediante el uso de términos como "Sitio A", "Sitio B", etc. Esto también ayuda si los sitios se reubican, lo que evita la necesidad de cambiar el nombre de todo o mantener información imprecisa.
Al decidir un esquema de nomenclatura, tenga en cuenta que muchos objetos pueden tener propiedades similares. Por ejemplo, dos grupos de puertos pueden tener la misma VLAN asignada, pero tienen reglas de filtrado y marcado de tráfico diferentes. Puede resultar útil incorporar un nombre de proyecto o una descripción breve en el nombre para diferenciar los objetos de este tipo.
Por último, considere la automatización al desarrollar un esquema de nomenclatura. Los nombres que se pueden derivar mediante programación suelen ser útiles para crear scripts y automatizar tareas.
Aislar interfaces de administración de infraestructura
Asegúrese de que las interfaces de administración de la infraestructura de TI estén aisladas en su propio segmento de red o como parte de una red de administración aislada.
Asegúrese de que todas las interfaces de administración configuradas para los componentes de virtualización estén en un segmento de red (VLAN, etc.) dedicado solo a la administración de virtualización, sin cargas de trabajo ni sistemas no relacionados. Asegúrese de que las interfaces de administración se controlen con controles de seguridad del perímetro, de modo que solo los administradores de vSphere autorizados puedan acceder a esas interfaces desde estaciones de trabajo autorizadas.
Algunos diseños de sistemas colocan vCenter Server y otras herramientas de administración en sus propios segmentos de red, aislados de ESXi, ya que así consiguen una mejor supervisión de esos sistemas. Otros diseños ponen vCenter Server con la administración de ESXi debido a la relación entre estos dos productos y la posibilidad de errores de configuración del firewall o interrupciones que interrumpan el servicio. Sea cual sea el diseño que elija, hágalo con cuidado.
Usar vMotion correctamente
Asegúrese de que vMotion utilice cifrado de datos en tránsito (establecido en "Requerido" para las máquinas virtuales). Y asegúrese de que las interfaces de red de VMkernel utilizadas para vMotion estén aisladas en sus propios segmentos de red que tengan controles perimetrales.
vMotion y Storage vMotion copian la memoria y los datos de almacenamiento de las máquinas virtuales, respectivamente, por toda la red. Asegurarse de que los datos estén cifrados en tránsito garantiza la confidencialidad. El aislamiento en un segmento de red dedicado con los controles de perímetro adecuados puede añadir defensa en profundidad y también permitir la gestión del tráfico de red.
Al igual que todas las formas de cifrado, el cifrado de vMotion introduce una pérdida de rendimiento, pero ese cambio de rendimiento se produce en el proceso de vMotion en segundo plano y no afecta al funcionamiento de la máquina virtual.
Use vSAN correctamente
Asegúrese de que vSAN utilice cifrado de datos en tránsito y asegúrese de que las interfaces de red de VMkernel utilizadas para vSAN estén aisladas en sus propios segmentos de red que tengan controles de perímetro.
vSAN incluye cifrado de datos en tránsito que puede ayudar a mantener la confidencialidad cuando los nodos de vSAN se comunican. Al igual que ocurre con muchos controles de seguridad, existe un compromiso con el rendimiento. Supervise el rendimiento y la latencia de almacenamiento a medida que se activa el cifrado de datos en tránsito. Las organizaciones que no activan o no pueden activar el cifrado de datos en tránsito de vSAN deben aislar el tráfico de red en un segmento de red dedicado con los controles perimetrales adecuados.
Activar Network I/O Control
Para asegurarse de tener resistencia a la denegación de servicio de red, active Network I/O Control (NIOC).
Network I/O Control (NIOC) de vSphere es una tecnología de administración de tráfico que ofrece calidad de servicio en el nivel del hipervisor, lo que mejora el rendimiento de la red mediante la priorización de recursos en entornos de carga de trabajo compartidos y de nube de varios tenants. Incorporado en el vSphere Distributed Switch (vDS), NIOC particiona el ancho de banda del adaptador de red en "grupos de recursos de red" que corresponden a diferentes tipos de tráfico, como el tráfico de administración y vMotion. El uso de NIOC permite a los usuarios asignar recursos compartidos, límites y reservas a estos grupos.
NIOC conserva la disponibilidad de red para los servicios esenciales y evita la congestión al limitar el tráfico menos crítico. Esto se logra habilitando la creación de directivas de control de red según los requisitos empresariales, garantizando el aislamiento de los tipos de tráfico y permitiendo la reasignación de recursos dinámicos en función de la prioridad y el uso.
No configurar VLAN reservadas por el proveedor
Asegúrese de que los vínculos superiores del conmutador físico de los hosts ESXi no estén configurados con VLAN reservadas por el proveedor.
Algunos proveedores de red reservan identificadores de VLAN particular es para uso interno o específico. Asegúrese de que las configuraciones de red de vSphere no incluyan estos valores.
Configurar vínculos superiores de ESXi como puertos de acceso
Asegúrese de que los vínculos superiores de conmutadores físicos de hosts ESXi estén configurados como "puertos de acceso" asignados a una sola VLAN o como enlaces troncales de VLAN 802.1Q etiquetados sin VLAN nativa. Asegúrese de que los grupos de puertos de vSphere no permitan el acceso a VLAN 1 o VLAN nativas sin etiquetar.
Las conexiones de red que tienen una VLAN "nativa" configurada para aceptar tráfico sin etiquetas o que tienen acceso a VLAN 1 pueden ofrecer oportunidades para que los atacantes diseñen paquetes especializados que burlan los controles de seguridad de la red. VLAN 1 es la red predeterminada que se suele utilizar para la administración de redes y las comunicaciones y debe aislarse de las cargas de trabajo. Asegúrese de que los grupos de puertos no estén configurados para acceder a las VLAN nativas. Asegúrese de que los puertos troncales de VLAN estén configurados con definiciones específicas de VLAN (no con "all"). Por último, asegúrese de que los grupos de puertos estén configurados correctamente para que los atacantes no puedan utilizar un entorno virtualizado para eludir los controles de seguridad de red.
Configurar conexiones de tejido de almacenamiento correctamente
Asegúrese de que las conexiones del tejido de almacenamiento utilicen cifrado de datos en tránsito o estén aisladas en sus propios segmentos de red o SAN que tengan controles perimetrales.
La protección de los datos de almacenamiento durante el tránsito ayuda a garantizar la confidencialidad de los datos. El cifrado no es una opción para muchas tecnologías de almacenamiento, a menudo debido a problemas de disponibilidad o rendimiento. En esos casos, el aislamiento en un segmento de red dedicado con los controles perimetrales adecuados puede ser un control compensador eficaz y puede agregar una defensa en profundidad.
Usar enmascaramiento de LUN en sistemas de almacenamiento
Asegúrese de que los sistemas de almacenamiento utilicen enmascaramiento de LUN, zonificación y otras técnicas de seguridad del lado del almacenamiento para garantizar que las asignaciones de almacenamiento solo sean visibles para el clúster de vSphere en el que se utilizará.
El enmascaramiento de LUN en la controladora de almacenamiento y la división en zonas de SAN ayudan a garantizar que el tráfico de almacenamiento no sea visible para hosts no autorizados y que estos no puedan montar almacenes de datos, omitiendo otros controles de seguridad.
Limitar conexiones a los sistemas autorizados
Considere el uso del firewall de vCenter Server Appliance para limitar las conexiones a los sistemas y administradores autorizados.
vCenter Server Appliance contiene un firewall básico que puede utilizar para limitar las conexiones entrantes a vCenter Server. Esta puede ser una capa eficaz de defensa en profundidad junto con los controles de seguridad del perímetro.
Como siempre, antes de agregar reglas para bloquear conexiones, asegúrese de que haya reglas implementadas para permitir el acceso desde las estaciones de trabajo administrativas.
No almacenar claves de cifrado en hosts ESXi sin proteger el acceso físico
El entorno no debe almacenar claves de cifrado en hosts ESXi sin proteger también el acceso físico a los hosts.
Para evitar bucles de dependencia, vSphere Native Key Provider almacena las claves de descifrado directamente en los hosts ESXi, ya sea en un módulo de plataforma de confianza (Trusted Platform Module, TPM) o como parte de la configuración de ESXi cifrada. Sin embargo, si no protege físicamente un host y un atacante roba el host, el atacante posee los medios para desbloquear y ejecutar cargas de trabajo cifradas. Por lo tanto, es fundamental garantizar la seguridad física (consulte Proteja los sistemas contra alteraciones) u optar por utilizar un proveedor de claves estándar (consulte Qué es un proveedor de claves estándar) que incluya controles de seguridad de red adicionales.
Utilizar dispositivos persistentes, no SD y no USB de tamaño adecuado para volúmenes de arranque ESXi
El entorno debe utilizar dispositivos persistentes, no SD y no USB de tamaño adecuado para los volúmenes de arranque ESXi.
La memoria flash es un componente que se desgasta con el tiempo y cada escritura de datos acorta su duración. Los SSD y los dispositivos NVMe tienen características integradas para reducir este desgaste, lo que hace que sean más fiables. Sin embargo, las tarjetas SD y la mayoría de unidades flash USB no tienen estas características y pueden desarrollar problemas de fiabilidad, como sectores defectuosos, a menudo sin signos evidentes.
Para reducir el desgaste y hacer que los dispositivos SD y USB duren más tiempo, cuando instale ESXi en estos dispositivos, puede guardar los registros de auditoría y del sistema en un disco RAM en lugar de escribir constantemente en el dispositivo. Esto significa que debe configurar nuevas ubicaciones de almacenamiento a largo plazo para estos registros y cambiar la salida de los registros para que vaya a esas nuevas ubicaciones.
Elegir un dispositivo de arranque fiable elimina estos pasos adicionales y ayuda a ESXi a pasar automáticamente auditorías de seguridad.
Configurar correctamente el destino iSCSI de vSAN
Asegúrese de que el destino iSCSI de vSAN utilice sus propias interfaces de red de VMkernel, aisladas en su propio segmento de red y empleando controles perimetrales separados mediante el filtrado y marcado de tráfico del grupo de puertos distribuidos, NSX o controles de seguridad de red externos.
Debido a que los clientes del destino iSCSI son externos al clúster, aíslelos en sus propias interfaces de red. De esta manera, puede restringir por separado otras comunicaciones de red solo internas. El aislamiento de este tipo también ayuda a diagnosticar y administrar el rendimiento.