Diseño de arquitectura de seguridad de la información para entornos virtualizados según RSC BR IBBS-2.8-2015
Al diseñar una arquitectura de seguridad de la información en entornos virtualizados, el paso clave consiste en definir los límites de seguridad. Si el sistema procesa transacciones de pago (PTP) o datos personales (PDP), se deben establecer zonas de seguridad separadas: PTP y PDP. En ausencia de tales requisitos, las zonas se determinan por la criticalidad de los procesos empresariales.
El aislamiento físico de los servidores anfitriones es obligatorio para máquinas virtuales de diferentes zonas de seguridad. Colocar VMs en servidores físicos distintos minimiza el riesgo de propagación de amenazas. Cuando se usan hosts compartidos, debe implementarse un aislamiento lógico a nivel de hipervisor, tal como se especifica en la sección 6.2.
La separación del acceso de red se impone mediante firewalls de capa 3 certificados. El acceso a las VMs de la zona PTP solo está permitido desde estaciones de trabajo PTP, y el acceso a las VMs de la zona PDP solo desde estaciones de trabajo PDP (secciones 6.3, 6.4, 6.9).
Configuración del hipervisor y gestión de imágenes de VM
Se recomienda fuertemente utilizar un hipervisor certificado (sección 6.11). La configuración incluye:
- Asignar regiones lógicas de memoria dedicadas para cada zona de seguridad (sección 6.5).
- Bloquear intercambios de datos no autorizados entre las VMs y el sistema operativo anfitrión.
La gestión de imágenes de VM debe seguir un proceso estricto:
- Crear una imagen base.
- Probarla en un segmento aislado sobre un servidor dedicado.
- Escanearla contra malware y verificar la integridad de los controles de seguridad.
- Obtener la aprobación del equipo de Seguridad de la Información antes del despliegue (secciones 7.1–7.8).
Un componente de servidor del ABS corresponde a una sola VM—no se permite consolidación. Para VDI, los cambios no deben guardarse en la imagen base; se requiere un restablecimiento forzado.
Imagen Base -> Segmento de Pruebas -> Escaneo de Malware/Seguridad -> Aprobación IS -> Producción
Administración y protección de componentes
La administración del hipervisor y del host debe realizarse exclusivamente desde estaciones de trabajo dedicadas dentro del segmento de gestión (sección 8.1). Las herramientas de seguridad certificadas deben impedir el acceso no autorizado (UAA, sección 8.2). Nunca se deben instalar componentes de virtualización dentro de las VMs (sección 8.4).
Los registros obligatorios incluyen:
- Eventos de inicio/parada de VMs.
- Cambios en la configuración de red.
- Actividades de copia de imágenes.
- Inicios de sesión de administradores (sección 8.7).
La protección de VMs opera a nivel de hipervisor: soluciones antivirus sin agente en sistemas operativos invitados (sección 9.6). Herramientas de seguridad certificadas monitorean la integridad del software y el control de acceso (sección 9.4).
Para estaciones de trabajo, se requiere autenticación de dos factores (tokens) para acceder a las zonas PTP/PDP (sección 10.5), junto con arranque seguro del SO y control de puertos (secciones 10.1, 10.3).
Separación de roles y protección de la red de almacenamiento (SAN)
La segregación de roles evita superposiciones (sección 12.2):
- Administrador de VM: gestiona aplicaciones dentro de las VMs.
- Administrador de virtualización: crea VMs y gestiona imágenes.
- Administrador IS de virtualización: configura redes y políticas de acceso.
- Administrador de SAN: gestiona matrices de discos.
Ninguna persona tiene acceso a todas las capas —hipervisor, almacenamiento y contenido de VMs.
El SAN debe segmentarse en particiones lógicas por zona de seguridad (PTP, PDP, sistema, sección 13.1). El acceso a las particiones PTP está restringido únicamente a las VMs PTP (sección 13.3.1).
Conclusiones clave
- El aislamiento físico entre zonas PTP/PDP es obligatorio; el aislamiento lógico es necesario solo cuando sea requerido.
- Todas las herramientas de seguridad y los hipervisores deben estar certificados por FSB/FSTEC.
- El modelo de roles separa estrictamente la administración del hipervisor, SAN y VMs.
- Las imágenes de VM pasan por pruebas obligatorias y aprobación del IS antes del despliegue.
- Los registros de eventos del hipervisor y de las herramientas de seguridad se centralizan en un servidor dedicado.
— Editorial Team
Aún no hay comentarios.