Ahora que el despliegue de máquinas virtuales (VMs) tiende a centrar la carga de trabajo en el núcleo del sistema, la sobrecarga en las estaciones virtuales de trabajo tiene un serio impacto en el rendimiento general, mientras la implementación de mecanismos de seguridad en cada estación resulta una duplicación de esfuerzo. Si el tráfico de múltiples estaciones de trabajo atraviesa el equipo virtual de alojamiento, ¿por qué no trasladar la seguridad allí, atrapando “acciones perjudiciales” antes de que ingresen al endpoint?
Quitar la carga de trabajo generada por los procesos de seguridad, o más bien, desplazar el trabajo duro – en materia de seguridad – al núcleo del servidor donde existe gran poder de procesamiento y de red, parece ser una optimización astuta. Eso, en conjunción con el esfuerzo de producir clientes cada vez más livianos capaces de realizar tareas pequeñas, en contraposición con las PC todo-en-uno de antaño, vuelve una alternativa idónea a la opción de aplicar la seguridad en el servidor central de alojamiento de equipos virtuales.
Además, quitar algo de carga de trabajo del flujo de subida de la red al manejarlo en la intersección natural de tráfico del bridge en un servidor de virtualización significará que no se necesitarán routers centrales con mayores capacidades: un ahorro considerable, especialmente considerando que la última generación de routers evoluciona en dirección a integrar características propias de seguridad, con un asociado aumento de precios.
Frenar amenazas modernas no se trata de encontrar una única defensa sino un conjunto distribuido en capas
Pero mientras es ciertamente acertado indagar por “acciones prejudiciales” mientras estas atraviesan el cableado, hay más en juego. Frenar amenazas modernas no se trata de encontrar una única defensa que funcione como “bala de plata”, sino un conjunto de defensas distribuidas en capas.
Del mismo modo en que la defensa con base en firmas ha dejado de ser suficiente por sí misma para proteger las estaciones de trabajo, una posición de seguridad debería incluir una mezcla de defensas de red y de hosts, alineando conjuntamente una aproximación de defensa centrada en el rol de la VM que se está protegiendo.
Por ejemplo, aquellos usuarios que necesiten un avanzado entorno de escritorio necesitarán un conjunto diferente de herramientas si es comparado con una VM con Linux que actúa como un proxy caché de contenidos. Ambos equipos tienen diferentes roles y por tanto necesitan diferentes defensas. Es seguro decir que el proxy caché no posee el riesgo usual de un usuario conectando un dispositivo USB infectado, mientras que esto ocurre todo el tiempo en equipos de escritorio.
Una manera de remover carga del endpoint es con una caché local compartida. Este enfoque analiza archivos a nivel del servidor de virtualización para prevenir que estos sean nuevamente escaneados en cada uno de los distintos endpoints presentes en el entorno de trabajo. De esta manera, los archivos analizados son marcados en el servidor y esa información es luego transmitida a las estaciones de trabajo. Esto significa que la carga total del servidor puede ser reducida a través de la empresa, y los servidores pueden mantenerse desplegados más tiempo sin necesitar de actualizaciones para manejar la carga extra de un análisis innecesario en innumerables VM clientes.
Optar por un enfoque de análisis sobre una caché local compartida puede también ayudar a mitigar ataques de mayor envergadura si se implementa a nivel de servidor, ya que al mover la carga a otra localización, los endpoints tienen mayores probabilidades de permanecer operacionales por periodos más largos.
Esto de igual manera aplica para un sistema de seguridad que monitoree la red virtual, y que puede detonar otras acciones en la red para clasificar, redirigir o de otro modo frustrar ataques antes de que estos alcancen el núcleo de la organización.
Cinco años atrás simplemente no existían tantas alternativas para proteger el aspecto operacional de grandes despliegues virtuales, pero el ecosistema ha madurado y actualmente nos provee de herramientas muy útiles. Ya sea que se pretenda implementar un sistema de seguridad, cachés locales compartidas para análisis o suites de seguridad para clientes livianos, las opciones son variadas. Y al final, si se contrastan con un enfoque holístico para la defensa del entorno, se tiene una mayor probabilidad de resistir ataques complejos, que – tristemente – evolucionan a un ritmo igual de acelerado.