RESUMEN SOBRE LA SOLUCIÓN Asegurar los entornos virtuales ¿Cómo puedo virtualizar mis servidores importantes y, al mismo tiempo, mantener o mejorar la seguridad? agility made possible™ CA Access Control for Virtual Environments proporciona controles de seguridad que lo ayudan a virtualizar con seguridad hasta sus sistemas más importantes. 2 Asegurar los entornos virtuales resumen ejecutivo Desafío En un entorno virtual, los desafíos de seguridad se multiplican rápidamente e implican nuevos riesgos. Cuando en el pasado una organización tenía un solo servidor de aplicación, en un entorno virtual esto se pudo multiplicar rápidamente a treinta servidores. ¿Cómo se puede habilitar la seguridad, entendida como la división de obligaciones de los usuarios con privilegios, no solamente en un servidor físico, sino en las máquinas virtuales que éste alberga, como así también en las aplicaciones que funcionan en esas máquinas virtuales? La falta de una solución de seguridad viable para los entornos virtuales ha retrasado a las organizaciones en lo que respecta a trasladar sus aplicaciones importantes a esos entornos y aprovechar completamente la virtualización. Para las organizaciones que están virtualizando sistemas de producción rápidamente, los requisitos comerciales y reglamentarios demandan nuevos controles de seguridad. Necesidades del negocio En la actualidad, los negocios exigen que la TI cumpla con requisitos clave: •Cumplimiento de todas las regulaciones relevantes (por ejemplo, PCI, SOX) por parte del centro de datos. •Riesgos completamente comprendidos y controlados. •Costos reducidos para el mismo servicio o para uno mejorado. •Capacidad de respuesta mejorada. La tecnología de virtualización ayuda a la TI a reducir costos y a mejorar los tiempos de respuesta, y también a proporcionar una mayor flexibilidad en la entrega de servicios. No obstante, la virtualización también incorpora otro nivel de complejidad de administración. Las organizaciones de TI han desarrollado requisitos operativos y técnicos específicos para permitir el cumplimiento y también para entender y controlar los riesgos de seguridad. Beneficios de la solución CA Access Control for Virtual Environments asegura el acceso de usuarios con privilegios a máquinas virtuales, hipervisores y aplicaciones virtuales. Así, ayuda a las organizaciones a controlar las acciones de los usuarios con privilegios, asegurar el acceso al entorno virtual y cumplir con los requisitos del sector. Ofrece capacidades clave para administrar contraseñas de usuarios con privilegios, reforzar el hipervisor y monitorear la actividad de los usuarios con privilegios. CA Access Control también proporciona una base centralizada que funciona como un único portal para asegurar el acceso de los usuarios con privilegios a los entornos virtuales y físicos. 3 Asegurar los entornos virtuales Por más de quince años, CA Technologies ha proporcionado soluciones de control de acceso basadas en host para entornos distribuidos. Para satisfacer las necesidades de sus clientes, CA Technologies, junto con HyTrust™, presenta CA Access Control: un producto escalable y extensible que garantiza el acceso al entorno virtual. CA Access Control se implementa rápidamente gracias a la compatibilidad inmediata y fácil de usar, con modernas interfaces administrativas y paneles de reportes: el resultado es ayudar a que los clientes logren un rápido posicionamiento en el mercado. Entre los productos de seguridad de CA Technologies, integrados en CA Access Control, podemos mencionar a CA Identity Manager, CA Role and Compliance Manager, CA SiteMinder®, CA Arcot® y CA DLP. Sección 1: Desafío Las preocupaciones de seguridad frecuentemente impiden la virtualización de los sistemas importantes La virtualización de servidores promueve una utilización flexible de los recursos de TI, una reducción de los costos de capital, una eficiencia energética mejorada, aplicaciones con gran disponibilidad y una mejor continuidad del negocio. Sin embargo, la virtualización también implica una serie especial de desafíos en torno a la administración y la seguridad de la infraestructura virtual. Un entorno virtualizado es muy automatizado y complejo, lo que aumenta las dificultades. Las regulaciones y los riesgos relacionados con los usuarios con privilegios en un entorno virtual evitan que muchas organizaciones logren los beneficios de virtualización en su producción y en sus sistemas y aplicaciones importantes. Los entornos virtuales están sujetos a regulaciones Después de que una organización virtualiza su “oportunidad de fácil alcance”, es el turno de las aplicaciones importantes. No solamente se virtualizan los servidores de aplicaciones, sino también las bases de datos, los conmutadores de red y los firewalls, y cada vez en mayor medida. En tanto la adopción de virtualización crezca y más sistemas y aplicaciones importantes se trasladen a los entornos virtuales de producción, la demanda de seguridad aumentará, en gran parte, debido a los requisitos regulatorios. Los entornos virtuales ya se incluyen en el alcance de regulaciones, como la norma de la industria de las tarjetas de pago (PCI) y la ley Sarbanes-Oxley (SOX). Además, el Instituto Nacional de Normas y Tecnología de los Estados Unidos (NIST) ha publicado una guía formal para lograr una virtualización segura. Existen razones para que todas estas instituciones que establecen normas estén formalizando los marcos de seguridad para la virtualización. En el mundo físico, los servidores, los conmutadores, los enrutadores y los firewalls están atornillados y guardados bajo llave en bastidores. Administrar estos sistemas puede requerir acceso físico (probablemente con una tarjeta) a un centro de datos físico (quizás con cámaras de video instaladas). En el mundo virtual, se evitan en gran medida estas medidas de seguridad. El acceso administrativo a la infraestructura virtual equivale a tener acceso a todos los sistemas, las aplicaciones y los dispositivos de seguridad del centro de datos. No hay una tarjeta en la puerta virtual del centro de datos virtual. No hay cerraduras virtuales en los bastidores virtuales. Y es muy frecuente que resulte dificultoso para la organización ver y comprender qué cambios se realizan o se solicitan. 4 Asegurar los entornos virtuales La administración de usuarios con privilegios es más importante que nunca La administración de usuarios con privilegios es un elemento importante de todas las mejores prácticas de seguridad. Según un reporte de investigación patrocinado por CA Technologies, “mantener un control de seguridad y acceso” es el principal desafío que las organizaciones enfrentan en la administración de servidores virtuales, lo que ha impedido que muchas organizaciones trasladen aplicaciones importantes a un entorno virtual. A medida que el uso de servidores virtuales sigue creciendo, las organizaciones corren el riesgo de perder el control de sus entornos, y la posibilidad de que existan actividades malintencionadas aumenta drásticamente. Esto fue confirmado durante un incidente en 2011 en una empresa farmacéutica global. Un empleado de TI que había sido despedido utilizó sus credenciales para obtener acceso ilegal a quince sistemas host VMware y eliminó 88 máquinas virtuales en las que se estaban ejecutando correos electrónicos, ingresos de pedidos, nóminas y otros servicios. Esta acción congeló las operaciones de la empresa por varios días e impidió que los empleados realizaran envíos de productos o pagos o, incluso, que se comunicaran a través del correo electrónico o Blackberry, con un costo de recuperación estimado en $800.000. Sección 2: Necesidades del negocio La virtualización satisface las necesidades clave del negocio, pero también deben cumplirse requisitos de seguridad En el entorno de negocios actual, las organizaciones exigen que la TI cumpla con requisitos de negocio clave: •Cumplimiento de todas las regulaciones relevantes (por ejemplo, PCI, SOX) por parte del centro de datos. •Riesgos completamente comprendidos y controlados. •Costos reducidos para el mismo servicio o para uno mejorado. •Capacidad de respuesta mejorada. La virtualización soluciona preocupaciones de negocio al reducir los costos y mejorar la capacidad de respuesta, pero también incorpora un nivel de administración que genera desafíos de cumplimiento y reducción de riesgos. Para enfrentar estos desafíos, las organizaciones de TI desarrollan requisitos operativos y técnicos antes de que la virtualización sea considerada para los sistemas de producción. En general, estos requisitos son los siguientes: •Control sobre usuarios con privilegios y acceso a datos empresariales. •Menos costos administrativos y complejidad a través de la automatización de cambios de contraseña sin instalar agentes. •Control central de ID de aplicaciones. •Seguridad mejorada con inicios de sesión automáticos ya que se previenen posibles robos de contraseñas por shoulder surfing (observación sobre los hombros). •Cumplimiento regulatorio a través de reportes proactivos del estado de políticas de cumplimiento clave. •Rápida generación de reportes de usuarios con privilegios a partir de registros de actividades seguras. 5 Asegurar los entornos virtuales Cumplir exhaustivamente los requisitos de seguridad beneficia a la TI La capacidad de controlar el acceso a la infraestructura virtual puede reducir significativamente el riesgo de compromiso, que a su vez significa que las organizaciones de TI pueden virtualizar las aplicaciones que alguna vez fueron consideradas inalcanzables. Poder evaluar la integridad de la configuración del hipervisor y validar la seguridad del hardware no solamente reduce el riesgo de compromiso, sino que automatiza las tediosas actividades de mantenimiento y elimina las alteraciones de configuración. Definir y luego hacer cumplir automáticamente las políticas de seguridad evita que los administradores cometan errores costosos, como trasladar una máquina virtual con información confidencial a un hipervisor o a una red poco confiables. Automatizar los controles y proporcionar una visibilidad clara en forma de registros de calidad de auditoría les permite a las organizaciones virtualizar con confianza, de cara a las demandas de seguridad y a las supervisiones de auditores. Sección 3: Beneficios de la solución CA Access Control for Virtual Environments amplía la seguridad de los entornos físicos a los virtuales CA Access Control asegura el acceso de usuarios con privilegios a máquinas virtuales, hipervisores y aplicaciones virtuales. Así, ayuda a las organizaciones a controlar las acciones de los usuarios con privilegios, asegurar el acceso al entorno virtual y cumplir con los requisitos del sector. Ofrece capacidades clave para administrar contraseñas de usuarios con privilegios, reforzar el hipervisor y monitorear la actividad de los usuarios con privilegios. CA Access Control también proporciona una base centralizada que funciona como un único portal para asegurar el acceso de los usuarios con privilegios a los entornos virtuales y físicos. CA Access Control provee un enfoque proactivo para asegurar la información confidencial y los sistemas importantes sin generar un impacto en las actividades normales del negocio y de la TI. Ayuda a mitigar el riesgo interno y externo al controlar la forma en que los usuarios de negocios y los usuarios con privilegios tienen acceso a la información de la empresa, y la forma en que la usan. El resultado puede ser un nivel mayor de seguridad, costos administrativos más bajos, procesos de cumplimiento o de auditoría más simples y una mejor experiencia del usuario. Capacidades clave del producto CA Access Control refuerza el hipervisor y controla y realiza auditorías centralizadas de los usuarios con privilegios, así como también provee acceso temporal con privilegios a servidores, aplicaciones y dispositivos virtuales y físicos, todo desde una única consola de administración central. Las capacidades clave del producto incluyen las siguientes: 6 Asegurar los entornos virtuales Administración de contraseñas de usuarios con privilegios Los usuarios con privilegios tienen mayor acceso a recursos importantes de TI y más capacidades en un entorno virtual. Además de la actividad malintencionada que se describe anteriormente, un usuario con privilegios (hipervisor) podría iniciar o detener máquinas virtuales (VM), revertir una VM a una versión anterior o copiar una VM (y los datos respectivos) a un dispositivo de almacenamiento externo. CA Access Control proporciona acceso seguro a cuentas con privilegios y ayuda a asegurar la responsabilidad por parte de los usuarios con privilegios. Habilita la emisión de contraseñas temporales y de un único uso, o según sea necesario, y garantiza que los usuarios con privilegios se hagan responsables de sus acciones mediante una auditoría segura. Un flujo de trabajo simple para solicitar y comprobar las contraseñas generadas por el sistema y de un único uso facilita el control de contraseñas y elimina la necesidad de compartir contraseñas. Los usuarios pueden registrar la contraseña una vez completada la tarea, o CA Access Control se puede configurar para registrar automáticamente la contraseña después de un período de tiempo específico. Ilustración A Configuración de política de contraseña predeterminada La configuración de una política de contraseña predeterminada para un grupo de seguridad beneficia al administrador porque puede hacer esto una sola vez, desde una ubicación central. CA Access Control incluye flujos de trabajo completamente funcionales y personalizables que permiten casos de uso predeterminados, como escenarios de “acceso de urgencia” y solicitud de contraseñas. Un escenario de “acceso de urgencia” se da cuando usuarios con privilegios necesitan un acceso inmediato a cuentas para las que no tienen autorización de administración. Permite a los usuarios obtener de forma inmediata y sin aprobación una contraseña para la cuenta, lo que elimina la posibilidad de que se produzca un retraso en casos de emergencia, pero registra de forma segura todas las transacciones a los fines de auditoría. Por otro lado, un escenario de solicitud de contraseña permite que la organización únicamente autorice contraseñas a pedido por un período limitado. En este escenario, los administradores deben aprobar las solicitudes de los usuarios y éstas pueden incluir un período necesario para acceder a la cuenta con privilegios. Una vez aprobada la solicitud, los usuarios pueden ver la contraseña y utilizarla para acceder a los sistemas solicitados solamente por el período aprobado. 7 Asegurar los entornos virtuales Ilustración B Registro de cuentas con privilegios Después de que un usuario con privilegios cierra sesión, CA Access Control solicita al usuario que confirme si desea registrar la contraseña para que pueda ser utilizada nuevamente. CA Access Control está también diseñado para dar a las aplicaciones de terceros acceso de programación a contraseñas, lo que elimina la necesidad de integrar las contraseñas como parte del código en scripts. Es compatible con una gran cantidad de servidores, aplicaciones (como bases de datos) y dispositivos (como enrutadores) en un entorno físico o virtual. Monitoreo de la actividad del usuario CA Access Control audita las actividades realizadas en el hipervisor y realiza un seguimiento de la utilización de la cuenta con privilegios según la ID del usuario original. Además, la integración con CA User Activity Reporting Module permite a los clientes ampliar las capacidades de auditoría más allá de los eventos de CA Access Control. Esto proporciona una vista holística de la actividad con privilegios realizada en el entorno de TI. Para registrar visualmente la actividad de los usuarios, está disponible Session Recording (grabación de sesión) por separado. Esto le permite a la organización crear un registro visual seguro de la sesión de un usuario con privilegios. Esto corresponde especialmente a las sesiones basadas en navegador que se manejan por completo con el mouse y, por lo tanto, no se pueden guardar mediante registradores de pulsaciones de teclas tradicionales. 8 Asegurar los entornos virtuales División de obligaciones CA Access Control hace posible el cumplimiento de las reglas estándar de la industria de división de obligaciones en el hipervisor. Por ejemplo, puede evitar que el administrador del hipervisor tenga acceso a las configuraciones de la máquina virtual a través del hipervisor; de ese modo, se obliga a que todos los cambios en el entorno virtual se controlen únicamente mediante las consolas de administración. Arquitectura multiempresa segura CA Access Control extiende la división física de red tradicional a los entornos virtuales. Esto puede aportar un aislamiento más sólido de la empresa, lo que mejora el cumplimiento y la habilitación de los proveedores de servicios administrados (MSP), el control de tráfico entre VM en una estructura basada en políticas y mayor densidad de VM en hardware físico al permitir que los invitados con distintos niveles de confianza compartan un host común con menos acceso con privilegios entre miembros de zonas diferentes. Refuerzo del hipervisor CA Access Control, que incluye HyTrust Appliance, proporciona una amplia gama de capacidades para reforzar el hipervisor. Controla el acceso a recursos del sistema, programas, archivos y procesos mediante una serie rigurosa de criterios que incluyen tiempo, método de inicio de sesión, atributos de la red y programa de acceso. Es posible establecer servidores VMware recién desarrollados para una de las configuraciones de seguridad predefinidas, a fin de monitorear uniformemente hosts de VMware vSphere para identificar errores de configuración al utilizar marcos de evaluación incorporados y solucionar activamente problemas con una mínima interrupción del servicio. Ilustración C Generación de reportes de cumplimiento Refuerzo automatizado de la configuración del hipervisor según plantillas preprogramadas o definidas por el cliente. Las evaluaciones y soluciones programadas regularmente no requieren colocar a los hosts en modo de mantenimiento. Estos controles son esenciales para ayudar a cumplir con las reglas de división de obligaciones estándar de la industria en el hipervisor. Por ejemplo, CA Access Control puede evitar que el administrador de virtualización tenga acceso a las configuraciones de la máquina virtual a través del hipervisor; de ese modo, se obliga a que todos los cambios en el entorno de virtualización se controlen mediante las consolas de administración. 9 Asegurar los entornos virtuales Ilustración D Administración de refuerzo del hipervisor Controlar el acceso al hipervisor es de suma importancia para permitir la seguridad del entorno virtual así como para cumplir las regulaciones. Integración con vCenter Al instalarse en vCenter, CA Access Control adopta esta interfaz de usuario como propia, lo que ayuda a los administradores de vCenter a reducir la curva de aprendizaje y a adaptarse rápidamente. Ahora, los administradores pueden ver los servicios de seguridad disponibles o apropiados como, si corresponde, versiones exactas, de modo que puedan administrarlos (Instalar, Desinstalar, Habilitar, Deshabilitar, Actualizar, etc.). 10 Asegurar los entornos virtuales Ilustración E Integración con VMware vCenter Access Control for Virtual Environments se entrega como aplicación de software y se instala en VMware vCenter, lo que permite a los administradores actualizarse rápidamente. Implementación automática de políticas CA Access Control puede realizar un seguimiento de los cambios de configuración de la infraestructura, así como del inventario de activos del software, todo en tiempo real. También tiene la capacidad de aprovechar las propiedades de los activos, el etiquetado y las políticas (cumplimiento corporativo o normativo, mejores prácticas y reglas de refuerzo de seguridad) para habilitar y configurar automáticamente los servicios pertinentes de seguridad en el entorno. 11 Asegurar los entornos virtuales Ilustración F El etiquetado de activos permite la automatización de seguridad El entorno virtual se mueve extremadamente rápido. Las máquinas virtuales generalmente se montan y desmontan varias veces por hora. El etiquetado permite a CA Access Control mantenerse al día con estos cambios y aplicar automáticamente una política de seguridad. Administración común de políticas CA Access Control está diseñado para facilitar la administración de los permisos de los usuarios con privilegios Centraliza las políticas de administración que controlan el acceso a los servidores virtuales en un entorno virtual extenso y heterogéneo. Algunos criterios organizativos incluyen el acceso a los recursos del hipervisor en el entorno virtual, el acceso a redes desde y hacia las consolas, el acceso a la configuración de máquinas virtuales, etc. Estas capacidades de administración de políticas ayudan a aclarar entornos de políticas complejos entre plataformas y a simplificar las tareas administrativas, lo que genera un proceso confiable y común de administración de políticas. 12 Asegurar los entornos virtuales Ilustración G Administración de grupos de seguridad Para facilitar la administración de los derechos de acceso, CA Access Control permite al administrador definir grupos y sus máquinas virtuales relacionadas. 13 Asegurar los entornos virtuales Sección 4 La ventaja de CA Technologies CA Technologies y HyTrust se combinan para ofrecer una amplia gama de capacidades que le permiten controlar el entorno de virtualización. HyTrust ofrece una importante experiencia en dominios como líder reconocido en administración de políticas y control de acceso, específicamente para infraestructuras virtuales. HyTrust permite a las organizaciones virtualizar más (incluso los servidores y las aplicaciones que están sujetos a normativas) ya que ofrece controles de acceso, responsabilidad y visibilidad de nivel corporativo, para la infraestructura de virtualización existente de una organización. Con más de 30 años de experiencia en la entrega de software de administración de TI sólidos, confiables, seguros y de nivel corporativo, CA Technologies ofrece lo siguiente: •Un demostrado compromiso con las tecnologías emergentes y los paradigmas de distribución de TI, como virtualización, SaaS (software como servicio) e infraestructura de nube. •Tecnologías de administración de seguridad innovadoras, consideradas las mejores de su clase. CA Technologies tiene también una posición privilegiada para ayudarlo a hacer que la seguridad de su virtualización sea un éxito con servicios de capacitación e implementación adicionales, entre los que se incluyen: Vía de acceso a las soluciones empresariales CA Access Control for Virtual Environments no solamente ayuda a proteger las implementaciones que son únicamente virtuales, sino que también proporciona una vía de acceso a las soluciones de clase empresarial para asegurar los entornos virtuales y físicos, lo que protege las inversiones en seguridad de virtualización a largo plazo. CA Services CA Services es una parte integral de la solución general, ya que proporciona evaluaciones; implementaciones y revisiones de estado, y otros servicios previos y posteriores a la implementación. Esto permite que las organizaciones aceleren el posicionamiento en el mercado para su inversión en virtualización, mitiguen los riesgos de implementación y mejoren la alineación entre los procesos de TI y de negocio. CA Services provee servicios de implementación rápida a través de nuestro personal interno y de una red de socios de negocios establecidos, elegidos para ayudar a los clientes a lograr una implementación exitosa y a obtener los resultados de negocio deseados con la mayor rapidez posible. Con nuestra metodología comprobada de nueve etapas, mejores prácticas y experiencia, ayudamos a los clientes a lograr un posicionamiento en el mercado más rápido para su implementación de CA Access Control. CA Education CA Education también ofrece un valor excepcional a nuestras ofertas, ya que proporciona capacitación sobre las capacidades y educación sobre las mejores prácticas a través de salones de clase, capacitaciones virtuales dirigidas por instructores y capacitaciones basadas en la web. Esto permite que las organizaciones desarrollen rápidamente conocimientos en virtualización y administración de la virtualización, superen muchas barreras de implementación, reduzcan o eliminen errores de implementación, y aceleren el posicionamiento en el mercado con una solución de alta calidad. 14 Asegurar los entornos virtuales Sección 5 Próximos pasos No hay dudas de que la virtualización puede proporcionar beneficios excepcionales para TI y para los negocios. Sin embargo, casi todas las organizaciones enfrentan problemas sustanciales al proporcionar estos beneficios en una amplia implementación de virtualización. Los problemas de seguridad como el control de identidades, el control del acceso y el control de la información amenazan con desbaratar las implementaciones, ya que la expansión de VM crea problemas de seguridad, como fallas de cumplimiento, y socavan los beneficios de agilidad, eficiencia y control de costos. Afortunadamente, CA Technologies puede ayudar con soluciones sofisticadas, sólidas e innovadoras que ayudan a resolver los difíciles problemas de seguridad de administración de identidad y acceso. Si necesita mejores formas de controlar identidades, acceso e información en sus entornos virtuales existentes así como en la virtualización futura a nivel corporativo, e impulsar los resultados de negocio inmediatos y a largo plazo, entonces, debe echar un vistazo a CA Access Control for Virtual Environments. CA Technologies es una compañía de software y soluciones de administración de TI con experiencia en todos los entornos de TI, desde entornos mainframe y distribuidos, hasta entornos virtuales y de nube. CA Technologies administra y asegura los entornos de TI, y permite que los clientes entreguen servicios de TI más flexibles. Los innovadores productos y servicios de CA Technologies proporcionan la perspectiva y el control esencial para que las organizaciones de TI mejoren la agilidad del negocio. La mayor parte de las compañías que forman parte de Global Fortune 500 confían en CA Technologies para administrar sus cambiantes ecosistemas de TI. Si desea obtener más información, visite CA Technologies en ca.com. Copyright © 2011 CA. Todos los derechos reservados. Todas las marcas registradas, los nombres comerciales, las marcas de servicios y los logotipos mencionados en este documento pertenecen a sus respectivas empresas. Este documento es únicamente para fines informativos. CA no asume ninguna responsabilidad respecto de la exactitud o integridad de la información. CA no proporciona asesoramiento legal. Ni este documento ni ninguno de los productos de software de CA mencionados servirán como sustituto del cumplimiento de las leyes (que incluye, entre otros, leyes, estatutos, reglamentos, normas, directivas, políticas, estándares, pautas, medidas, requisitos, órdenes administrativas y ejecutivas, etc., en conjunto denominados “leyes”) mencionadas en este documento. Para obtener asesoramiento sobre cualquier ley mencionada en este documento, consulte a un abogado competente. En tanto y en cuanto lo permitan las leyes correspondientes, CA proporciona este documento “tal y como está” sin ninguna clase de garantía, incluidas, entre otras, garantías implícitas de comercialización, de capacidad para un fin determinado o de inexistencia de infracciones. En ningún caso CA será responsable por cualquier pérdida o daño, directo o indirecto, derivado del uso del presente documento, incluidos, entre otros, el lucro cesante, la interrupción de la actividad comercial, la pérdida del fondo de comercio o de datos, aún cuando CA haya recibido notificación acerca de la posibilidad de dichos daños. CS1759_1011