Hace unos días la consultora Gartner publicó un estudio en donde estima que "para el 2012, el 60% de los servidores virtualizados tendrán menos seguridad que los servidores físicos que estos reemplacen".
Aunque como indica Neil MacDonald, vice presidente de Gartner, "la virtualización no es inherentemente insegura", el estudio realizado encuentra que en la mayoría de las migraciones de servidores físicos a virtuales, se resignan aspectos de seguridad, en muchos casos incluso críticos.
El estudio, toma el año 2012 como base, ya que se estima que para esa fecha el 50% de los servidores físicos actuales habrán sido virtualizados, un valor elevado confirmando la tendencia en la materia.
En este contexto, la firma responsable del estudio identifica los principales riesgos respecto a la seguridad y la virtualización, que deben ser considerados por las empresas, destacándose los siguientes:
- La seguridad de la información no es considerada desde el inicio en proyectos de virtualización. Según los datos de Gartner de 2009, un 40% de los proyectos de virtualización fueron llevados a cabo sin incluir tareas de seguridad de la información en las etapas de planificación y arquitectura. Esto deja en evidencia un problema antiguo y clásico de no involucrar a los responsables de seguridad en la totalidad de cualquier proyecto de la organización.
- Si la capa de virtualización en el servidor es comprometida, esto puede afectar todos los equipos virtualizados. La capa de virtualización puede contener vulnerabilidades como cualquier otra aplicación que sea desarrollada por un humano. En este contexto, los alcances de un compromiso en dicha capa son impredecibles, pudiendo afectar a todos los equipos virtualizados en un mismo host.
- Las redes virtuales internas pueden saltearse mecanismos de seguridad por hardware. Existen aplicaciones por software que permiten la comunicación entre máquinas virtuales a través de redes también virtuales, el problema es que estas comunicaciones pueden omitir seguridad disponible en dispositivos de hardware de red.
La virtualización ofrece a las empresas muchas soluciones y optimización de los recursos, así como un uso más sano y ecológico de las tecnologías. Sin embargo, los datos que arroja el informe son preocupantes: "los responsables de dichos proyectos deben tener en cuenta los aspectos de seguridad, caso contrario se estará implementando una nueva tecnología, pero estará exponiendo la información corporativa a riesgos innecesarios que pueden causar pérdida o daño de la información y pérdida de dinero".
Por ejemplo, si un servidor físico posee un antivirus instalado, no hay motivos para que un servidor virtualizado no lo tenga. Las amenazas son las mismas y deben considerarse a la hora de configurar la seguridad en los sistemas operativos.
Los avances tecnológicos suelen impulsar a las empresas a "subirse a la ola", pero las organizaciones deben ser conscientes que dichos cambios no deben olvidarse de la seguridad, porque se están corriendo riesgos innecesarios
Sebastián Bortnik
Analista de Seguridad