Seguridad

La seguridad en un CPD de nueva generación es uno de los puntos más críticos e importantes a considerar. Se puede tener la mejor infraestructura de redes, los servidores más rápidos y la mejor administración que se puede encontrar, pero si el CPD se ve comprometido desde el punto de vista de la seguridad, todo esto que construimos para dar servicio a los clientes de desmorona.

La principal razón de este blog post es, definir qué es la seguridad en un CPD y destacar cuáles son los puntos críticos a proteger. También daremos soluciones que se pueden implementar contra las vulnerabilidad existentes, que permitan mitigar ataques cibernéticos. Por último definiremos una política de seguridad, que en última instancia, integrarán todos los aspectos necesarios para proteger un CPD de nueva generación.

Seguridad Informática:

“La seguridad informática, también conocida como ciberseguridad o seguridad de tecnologías de la información, es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.”

Seguridad Física

Todos los protocolos y capas de seguridad informática que apliquemos se volverán obsoletos si no protegemos el CPD de una penetración física. Debemos, por lo tanto, proteger nuestro CPD ante intrusiones físicas que puedan comprometer la seguridad de los datos o la infraestructura. Podemos ver en la siguiente lista que reúne los puntos mas importantes de la seguridad física de un CPD

Los principales aspectos que se deben tener en cuenta en relación con la seguridad física de un CPD son los siguientes:

• Control de accesos: debe existir algún sistema de control de acceso al CPD, por ejemplo, cerraduras etc. En cumplimiento del artículo 19 del Reglamento de Medidas de Seguridad 994/99, para ficheros de nivel medio, se debe utilizar un sistema que garantice el control de acceso físico al CPD.
• Ubicación del CPD: se recomienda que esté ubicado entre la primera o segunda planta del edificio, para evitar los riesgos de las plantas altas y bajas (inundaciones, goteras etc.), que su ubicación no esté señalizada, que no tenga ventanas etc.
• Falso suelo: se recomienda que exista un falso suelo o suelo técnico por donde suele discurrir el cableado, suelo que debe ser de material ignífugo o difícilmente inflamable y guardar cierta distancia respecto del suelo real. Asimismo se recomienda limpiar debajo del mismo, que tenga detectores de humedad, un sistema de detección de incendios etc.
• Falso techo: se recomienda que sea de material ignífugo o difícilmente inflamable, que tenga instalado un sistema de detección de incendios etc.
• Configuración interior: se recomienda que el aislamiento interior sea ignífugo, que la puerta de acceso sea resistente al fuego etc.
• Sistema de cableado de voz y datos: se recomienda que la electrónica de red y los sistemas de cableado dispongan de las mismas medidas de protección que el CPD o que se sitúen en la misma sala o en una sala anexa de similares características. Asimismo, que el cableado de datos tenga cierta categoría, que los armarios de cableado y electrónica estén en un centro único etc.
• Instalación eléctrica: se recomienda la instalación de un SAI (sistema de alimentación ininterrumpida), generadores de electricidad alternativos (grupo electrógeno), línea eléctrica exclusiva etc.
• Climatización: se recomienda controlar la temperatura y la humedad y realizar el mantenimiento adecuada de los equipos de climatización.
• Sistemas contra incendios: deben existir suficientes extintores manuales cerca del mismo y una BIE. Asimismo se recomienda que exista un sistema de extinción automática de incendios, detectores de humo, alarmas contra incendios etc.
• Sistema de vigilancia: hay que evaluar la posibilidad de instalar cámaras de vigilancia, sensores de control de presencia etc.

Podemos encontrar más información sobre estos puntos en el artículo publicado por Belt.

En este post nos centraremos en la soluciones que ofrece el mercado para mitigar los ataque de ciber seguridad. En la ponencia de esta semana, Raúl Villanua nos dio información sobre la solución que propone Check Point para el data center moderno: vSEC.

vSEC

En un CPD de nueva generación donde, los servicios están virtualizados en servidores que pueden moverse de servidor a servidor y el cpd es un híbrido entre privado y cloud, un simple firewall perimetral no es suficiente para protegerlo.

vSEC propone una defensa multicapa a nivel de hipervisor, específicamente VMware NSX. Los llaman vSEC Gateways y permiten controlar y filtrar los movimientos laterales dentro de un mismo segmento de red, para poder tener control total sobre toda la información que entra y sale de una máquina virtual.

vSEC también se puede integrar con AWS, Azure y vCloud Aira para proteger a la parte cloud del CPD, en caso de ser un CPD híbrido.

Todo el control de las políticas de seguridad y el análisis de los logs se realiza desde una consola central, vSEC Controller. Podemos encontrar más información sobre el controller y los gateways en la documentación oficial.

Política de Seguridad

Finalmente se deberá definir una política de seguridad que integre tanto las soluciones de acceso cibernético como las de acceso físico. Centrándonos en las soluciones de acceso cibernético, debemos definir un política que denote el compromiso con la seguridad de la información y responda a cómo se debe actuar frente a una amenaza. Las soluciones que se apliquen pueden variar, las más utilizadas son firewalling, control de aplicaciones, control de usuarios, IPS, anti-spam, malware, spyware, DLP (Data Loss Prevention), etc.

En el próximo post de esta semana vamos a centrarnos en las soluciones de seguridad que aplicaremos al caso práctico del CPD para un banco.