VDI Security

Virtualización: Pasado, Presente y
Futuro
Orador:
Diego G. Bruno
Banco Comafi

Virtualización: Pasado, Presente y Futuro
Agenda:
Conceptos básicos, historia y tendencias en virtualización.
Que es VDI o Virtual Desktop Virtualization?
Usos de la tecnología
Algunas ventajas y desventajas
Que nos ofrece en material de seguridad esta tecnología?
Principales jugadores del Mercado
Casos de Estudio: Microsoft y VMware.
Thinclients
Mejores prácticas de seguridad en entornos de virtualización
Resumen
Fin

Conceptos básicos
Historia y Tendencias en Virtualización.
Los hypervisores pueden clasificarse
en dos tipos:
Hipervisor tipo 1: También
denominado nativo, unhosted o sobre
el metal desnudo (bare metal), es
software que se ejecuta directamente
sobre el hardware, para ofrecer la
funcionalidad descrita.
Ejemplo: VMware infrastructure,
Microsoft HyperV

Conceptos básicos
Hypervisor tipo 2: También denominado
hosted, es software que se ejecuta sobre un
sistema operativo para ofrecer la
funcionalidad descrita.
Ejemplo: VMware Workstation, Virtual PC,
Virtual Box, VMFussion, Parallels Desktop,
etc.

Conceptos básicos
Desafíos:
Cuando hablamos de virtualización, la visión de IT incluye:
• Maximizar la utilización de Recursos.
• Gestión y administración simplificada de infraestructura.
• Reducir los Costos en Espacio (Rack/Centro de Procesamiento), Enfriamiento,
Electricidad.
• Minimizar el Costo en las Operaciones (Automatización).
• Mejora de los niveles de servicio.
• Facilidad de disponer de entornos de desarrollo/testing.
• Mantener (en los escenarios mas optimistas, mejorar) los niveles de seguridad
de los Servidores/Servicios.

Conceptos básicos
Desafíos
Cuando hablamos de virtualización, la visión de seguridad incluye:
•“Sensación” de mejor y mayor control.
• Por FIN vamos a poder hacer el BCP!!! Ahhh y el DRP también.
• Nuevos riesgos y amenazas.
• Ahora si que no nos van poder decir que no pueden probar un parche o
hotfix!!!!
• Upa…y ahora quien administra el Proxy virtual? A ver la 4609……

Conceptos básicos
DMZs On The Box
• DMZ en una Caja (Toda la DMZ’s es Virtualizada en un solo Host de Virtualizacion,
consolidando Redes, Storage y Seguridad)
• Ventajas: Máxima Utilización de Recursos + Minimiza Costo en Operaciones.
• Desventajas: Alta Complejidad + Alto Riesgo en el Mantenimiento.
• Riesgos: Altos (Asociados a la Complejidad en la Implementación, Mantenimiento y
Operación).
DMZ Parcialmente Colapsada con Separación (Física/Virtual) de Zonas de Confianza
•Ventajas: Baja – Mediana Complejidad + Mas Segura ya que las tareas de
Implementación, Mantenimiento y Operación son mas sencillas.
•Desventajas: Bajo – Mediano Nivel de Utilización de Recursos + Mayores Costos de
Mantenimiento y Operación.
•Riesgos: Bajo – Mediano Nivel de Riesgo (Asociado al Diseño de Implementación y a los
Procesos de Mantenimiento y Operación)

Conceptos básicos
Sucursales en una Caja
• Ventajas: Máxima Utilización de Recursos + Minimiza Costo en Operaciones + Baja –
Mediana Complejidad.
• Desventajas: Alto Riesgo en el Mantenimiento + Único Punto de Falla.
Riesgos: Medios – Altos, Asociados a los SLA’s definidos con los proveedores de Hardware,
Centro de Procesamiento Parcialmente Colapsado con Separación (Física/Virtual) de Zonas
de Confianza
• Ventajas: Baja – Mediana Complejidad + Mas Segura ya que las tareas de
Implementación, Mantenimiento y Operación son mas sencillas.
• Desventajas: Bajo – Mediano Nivel de Utilización de Recursos.
• Riesgos: Bajo – Mediano, Asociado al Diseño de Implementación y a los Procesos de

Evolución de la virtualización - Virtualization Reloaded!!!

VDI: VIRTUAL DESKTOP INFRASTRUCTURE

Virtual Desktop Infrastructure
QUE BENEFICIOS OFRECE LA TECNOLOGÍA DE DESKTOP VIRTUALIZATION?
•Prolongación en el ciclo de actualización de la infraestructura de escritorio.
•Mayor centralización en el manejo de la infraestructura.
•Mucho mayor control sobre el manejo del entorno del usuario.
•Menores costos en el despliegue de nuevas aplicaciones.
•La integridad de la información del usuario es mejorada debido a que todos los
datos pueden ser mantenidos y backapeados directamente en el datacenter.
•Simplificación en la provisión de nuevos escritorios.
•Reducción de tiempo de inactividad en el caso de fallas de hardware en el
servidor o en el cliente.
•Capacidad de manejo de imágenes de los desktop.
•Acceso remoto seguro para el medio ambiente de desktop de la empresa.
•Posibilidad de auditorías de seguridad masivas

Algunas DESVENTAJAS de esta tecnología podrían ser:
• Potenciales riesgos de seguridad si la nueva infraestructura no está correctamente
administrada.
• Pérdida parcial de la autonomía y privacidad del usuario.
• Dificultades para la configuración y mantenimiento de drivers para impresoras y
otros periféricos.
• Dificultades para correr algunas aplicaciones complejas cómo todo lo relacionado a
multimedia.
• El aumento de tiempo de inactividad en el caso de fallos en la red.
Complejidad y altos costos en el deployment y mantenimiento de una infraestructura
de VDI.

Modelo Sin Virtualización.
Seguridad:
Problemáticas de seguridad y
administración bien conocidas.
• Necesidad de
control/monitoreo de lo que el
usuario realiza en el equipo.
• Manipulación de datos sensibles
en el equipo desktop por parte
del usuario.
• Posibilidad de fuga de
información a través de
dispositivos endpoints.

Modelo de Terminal Server
•Hosteo de Aplicativos centrales en un
único Mainframe o servidor de grandes
prestaciones.
• Mejorar la estrategia de parcheo de la
aplicación en un único punto en común.
• Administración Centralizada de la
seguridad de la aplicación para todos.
•La “NO” necesidad de la instalación de
la aplicación en el desktop.
•Protocolos RDP – ICA.

Virtualización de desktop completa:
Desktop totalmente virtualizado en el
centro de cómputo del datacenter.
Gestión totalmente centralizada de la
seguridad tanto del equipo como del
escritorio del usuario.
Uso de terminales tontas o thinclients.
Protocolos RDP – ICA – PCoIP.
Imposibilidad del usuario de manipular los
datos sensibles de la compañía.
Mejoras drásticas en la prevención de
fuga o robo de información sensible.

Desarrollo Correcto de una estrategia de virtualización:
Existen muchas opciones de virtualización de desktop y varias posibles
combinaciones por lo cual se deben tomar 3 principales premisas en el
desarrollo de una estrategia:
• Mapear primeramente las diferentes tecnologías existentes.
• Definir las necesidades de los usuarios.
• Mapear las tecnologías ya relevadas con las necesidades reales de los usuarios

Que ítems se deben contemplar al
analizar una solución de VDI?
•Una compañía que tenga una
infraestructura de virtualización
madura.
• Que la solución de VDI tenga un
connection broker para manipular los
accesos al pool de virtuales.
• La posibilidad de integrarse con
Active directory como cualquier
repositorio LDAP.
•Soporte con los principales protocolos
RDP del mercado.
PRINCIPALES JUGADORES DEL MERCADO:
• Citrix Xen Desktop.
• Microsoft Remote Desktop Services.
• Sun Virtual Desktop Infrastructure.
• Parallels Virtual Desktop Infrastructure.
• VMWare.
• Wyse.
• Teradici

CASOS DE ESTUDIO: MICROSOFT Y VMWARE: MICROSOFT Y VMWARE

Virtual Desktop Infrastructure - Microsoft
Soluciones Microsoft de Virtualización por tipo de tecnología
Virtualización de Sistema
Operativo
Operating System Virtualization
VDI
Session Vitualization y Microsoft Enterprise Desktop
Virtualization (MED V)
Vitualización de Aplicaciones
Application Virtualization
Microsoft Application Virtualization (App-V)
RemoteApp
Virtualización del estado del
usuario
User State Virtualization
Roaming Profiles
Offline Files

Virtual Desktop Infrastructure - Microsoft
Ventajas:
• Integración nativa con la suite
de productos de Microsoft.
• Buena capacidad de soporte por
parte del proveedor.
• Interacción e integración con la
suite de Citrix y el protocolo ICA.
Desventajas:
• No posee su propio connection broker.
• Salvo el caso de Citrix, no tiene acuerdos
de desarrollo con otras empresas de
tecnología.
Puntos futuros a considerar:
En sus propuestas comerciales Microsoft presenta cómo su connection broker a la solución
De Citrix “Citrix XEN Desktop Server 2.0”
Citrix está terminando de desarrollar en conjunto con Microsoft una solución que
Permitiría “mover” en forma transparente VM’s entre ambos hipervisores propietarios
(XEN Server y Hyper V)

Virtual Desktop Infrastructure - VMWare
VMWare cuenta con las siguientes
características en su solución de
VDI:
• Hypervisor VMWare
Infrastructure.
• VMWare Virtual Desktop
Manager.
• VMWare Virtual Center.
• VMView 4.0 (Manejo de PCoIP)
• VMWare Converter.
• Desktop Composer

VMWare ofrece su propio Enterprise-Class Connection Broker el cual cumple con los
siguientes ítems:
• Access Management: Maneja el acceso a los usuarios a los virtual desktops centralizados.
• Flexible Provisioning: Se puede desplegar desktops individuales para cada usuario o crear
pools de desktops persistentes y no persistentes en base a una o más imágenes o plantillas,
ya previamente creadas.
• Strong network Security: El producto permite encriptar mediante túneles SSL todas las
conexiones.
• Strong Authentication: Se puede segurizar el proceso de control de acceso a través de
doble factor de autenticación usando RSA SecureID
• Completa integración con Active Directory

Que ventajas me ofrece VMWare en materia de VDI?
Un robusto y probado hypervisor que lleva muchísimos años en el mercado.
Un robusto connection broker para el control de acceso a las VMs.
Una contínua evolución de la infraestructura VDI a través de acuerdos que
VMware tiene con otras compañías para el desarrollo de su productos y la
Interacción con otros.
La posibilidad de trabajar con la mayoría de los productos desarrollados
Para thinclient como los de la compañía wyse, la posibilidad de
Trabajar en forma nativa con el protocolo PCoIP a través de
VMView 4.0 el cual ya lo trae integrado.

Virtual Desktop Infrastructure -
ThinClients
Thin clients y su interacción con VDI
Existen una gran variedad de thinclients hoy en día pero los de la compañía Wyse llevan la
delantera en muchos aspectos.
Los aspectos más importantes a considerar a la hora de adquirirlos son los siguientes:
• Que soporten autenticación robusta, en lo posible 801.x
• Soporte para protocolos RDP 5.0 o superior e ICA 9.0.
• Posibilidad de que los mismos puedan ser zero client, lo que significa que no tengan mini OS
instalados (Normalmente versiones de linux recortadas)
• Actualización de firmas de firmware en forma automática por parte del vendor.
• Posibilidad de que los mismos ya trabajen con el nuevo protocolo PCoIP de la compañía
Teradici, el cual soluciona los problemas existentes en aplicaciones multimedia pesadas en un
abrumador porcentaje en cuanto a rendimiento comparado a sus pares.

Virtual Desktop Infrastructure -
ThinClients

Virtual Desktop Infrastructure – ThinClients-Wyse
WYSE V10L Ultra Thin Client
1 +12V Power adapter input
2 PS/2-type keyboard port
3 USB port (2)
4 DVI-I port (1x DVI-D or 1x VGA)
5 Parallel port
6 Secure clip for DC power cord
7 PS/2-type mouse port
8 Network port, 10/100Base-T
9 Serial port
10 Lock receptacle
11 Power on/off button/light
12 LED (amber: standby; green: on)
13 Microphone in
14 Speaker out
15 USB port
16 PS/2-type mouse port
Algunas Ventajas:
• Soporta 801.x
• Trabaja con RDP 5.0 e
ICA 9.0 también.
• Posibilidad de
expansión a través de
otros módulos de
hardware.
Algunas Desventajas:
No es zero client, Wyse
miniOS incorporado.
No soporta PCoIP de
Teradici.
Pueden quedar data
randómica en la memoria
Ram.

Virtual Desktop Infrastructure – ThinClients-Wyse
Wyse P20
Algunas Ventajas:
• Soporta en forma nativa
PCoIP.
• Es un dispositivo zero
client.
• Soporta a través de PCoIP
el uso virtualizado de
aplicaciones CAD y 3D.
• Mejora notable en cuanto
a seguridad y performance
se trata.
Algunas Desventajas:
• No soporta todavía 801.x
• Al no tener una versión
de sistema operativo, los
cambios solicitados al
vendor se realizan por
update de firmware con
tiempos más altos.

Mejores prácticas de seguridad en entornos de Virtualización
Seguridad en el Hypervisor:
• Políticas y procedimientos sólidos de parcheo del hypervisor utilizado.
• Debería al menos existir dos Hypervisores para situaciones de contingencia tanto en el site
central como en el de contingencia.
• El acceso al hypervisor se deberá realizar solamente a través de la red de Management.
• En lo posible, el hypervisor no debería tener una IP propia asignada en el segmento LAN.
• En el caso que si posea una dirección IP interna, la misma deberá estar filtrada sólo a los
usuarios autorizados.
• Deberán estar perfectamente segregadas las funciones de quienes administran el hypervisor
de quienes administran las virtuales.
• Deberán los equipos virtuales estar segurizados con el mismo baseline con el que se
seguriza a los desktops físicos.

Problemática Frecuente:
Inadecuadas o inexistentes políticas de parcheo para los Hypervisors

Riesgos Existentes:
Inadecuados procedimientos de parcheo
Puntos de falla masivos para todos los desktops
Hasta la fecha existen, según secunia, para VMware ESX 3.x 19 advisories y 128 vulnerabilidades
Y 7 advisories y 14 vulnerabilidades para XenSource Xen 3.x

A nivel de Network:
• Los clientes thin clients deberían autenticarse a través de sus respectivas MacAddress y estar dentro de
un red segregada con acceso únicamente a la infraestructura de VDI a través de Firewalls.
• Se deberían segmentar los diferentes segmentos VDI a través de Vlans y sin acceso lógico entre uno y
otro.
• Los thinclients deberían poder autenticar por 802.1x. Se debería forzar en los switches la autenticación a
través de 802.1x y en segundo lugar a través portsecurity.
• Virtualización de redes Vlans a través de tecnología VRF (Virtual Routing Fowarding)

A nivel de desktop:
• Recordar que el virtual desktop debería recibir las mismas políticas de seguridad que un
equipo físico.
• Se debería realizar un full desktop lockdown en la imagen plantilla que se realice.
• Se debería restringir toda instalación de software no sólo a través del NO privilegio sobre el
equipo sino también a través de una correcta política de software restriction policy a través
de tecnología SRP de Microsoft o AppLocker.
• Se deberá restringir TOTALMENTE el acceso y escritura al disco C.

RESÚMEN
Recordar que:
• Para realizar un correcto deploy de una infraestructura VDI se deben tener no sólo las
tecnologías del mercado analizadas sino también, ya mapeadas, las necesidades de los
usuarios.
• Recordar que en materia de seguridad se debe tener al menos 2 hypervisors.
• Recordar lo importante que es la seguridad del hypervisor como corazón de la tecnología
VDI, por lo cual se deberá tener una fuerte política y procedimientos de parcheado lo más
períodico posible.
• Segmentación de roles en la administración de la infraestructura de VDI.
• Los segmentos thinclients deberán estar separados a través de Vlans.
• Los segmentos Vlans deberían estar enrutados a través de VRF (En caso que aplique).
• Recordar que los virtual desktops deben tener la misma seguridad que un equipo físico.

Links de Interés
http://www.wyse.com/products/hardware/thinclients/index.asp

http://technet.microsoft.com/es-ar/windows/gg276319(en-us).aspx?ITPID=insider

http://www.teradici.com/

http://blogs.vmware.com/view-point/2009/10/why-pcoip-is-the-best-protocol-for-
virtual-desktops.html

http://www.vmware.com/support/pubs/vdi_pubs.html

PREGUNTAS ?????
MUCHAS GRACIAS !!!!!!!

VDI Security

Más contenido relacionado

La actualidad más candente (20)

Destacado (20)

Similar a VDI Security (20)

Más de Cristian Borghello (20)

VDI Security