Diez recomendaciones para securizar las máquinas virtuales

El  CCN-CERT ha publicado un nuevo informe sobre virtualización en virtualización, en el que se incluyen diversos apartados de interés, como los diferentes tipos de virtualización y redes virtualizadas y buenas prácticas en los hipervisores Hyper-V, VMware Workstation/Player y Virtualbox.

El informe, que está disponible en la parte pública del portal, incluye diez recomendaciones sobre seguridad:

- Mantener el sistema actualizado: tener instaladas en el sistema operativo las últimas actualizaciones de seguridad y contar con la última versión disponible del programa de virtualización reduce la exposición ante vectores de ataque tratados por los fabricantes en los parches de actualización.

- Segregación física de la red: si es posible, tener al menos un adaptador de red exclusivo para la infraestructura de virtualización para mantener separado el flujo de red de las máquinas virtuales y el equipo físico que la contiene.

- Segregación de roles y permisos: crear un grupo de seguridad específico para el uso de máquinas virtuales, en el que a los usuarios se les restringirá el empleo del programa de virtualización en función de sus privilegios. Se recomienda también crear un directorio para alojar los archivos de máquinas virtuales, en el que se apliquen también permisos.

- Planificar el sistema virtualizados: hacer un esquema previo de lo que será la infraestructura de virtualización ayuda a su implementación. Hay que dimensionar la creación de máquinas virtuales en función de las necesidades reales y los recursos de hardware disponibles en el host.

- Gestión de los recursos: los recursos de los hipervisores no son ilimitados. Para liberarlos, se aconseja mantener activas solo las máquinas virtuales imprescindibles. En este sentido, ayuda la implementación de una política de creación de snapshots/checkpoints, que incluya control sobre el número total que se crean, el tiempo y su conservación.

- Protección de la información: para mantener seguros los datos críticos se debe cifrar los ficheros de máquinas virtuales, instantáneas y discos duros virtuales destinados a almacenamiento, así como los medios de almacenamiento externos que contengan archivos de virtualización de respaldo. Además, se deberían encriptar y mantener custodiados los libros de contraseñas.

- Implementación de cortafuegos: de esta forma, se evitan el código dañino y los intentos de ataque hacia todos los sistemas operativos invitados.

- Política de copias de seguridad: para evitar pérdidas de datos o la funcionalidad de máquinas virtuales en caso de emergencia, se recomienda establecer un política de backups que contengan una copia completa de todas las máquinas.

- Documentación de la plataforma: mantener el sistema documentado ayuda a identificar rápidamente las máquinas en desus y facilita la liberación de recursos, así como una mejor gestión. Ésta debe de actualizarse cuando se producen cambios.

- Instalar agentes de hipervisor: valorar la instalación de dichos añadidos de software ya que mejoran el rendimiento y agregan funcionalidades. En caso de hacerlo, hay que mantenerlos actualizados al igual que el software de virtualización.