VDI, una tecnología segura para el centro de datos
El uso de la virtualización de escritorio se está incrementando en todas las industrias. Con toda una gran variedad de diferentes tecnologías de virtualización de escritorio disponibles en el mercado, VDI (Virtual Desktop Infraestructure) y el Desktop-as-a-Service son con toda seguridad la mejor elección posible. DaaS es esencialmente un VDI alojado en la nube. VDI nos permite desplegar escritorios virtuales en los centros de datos, mientras que DaaS facilita llevar a la nube todas las complicaciones y las responsabilidades internas de TI
Desde sectores verticales como la educación y la atención sanitaria, hasta las finanzas y las entidades públicas, las aplicaciones en remoto y el DaaS están creciendo año tras año. De hecho, los expertos de Gartner predicen que para el 2023 el número combinado de usuarios de VDI on-premise y DaaS en la nube crecerá en más del 50%.
Las entidades están utilizando diferentes tipos de tecnologías y soluciones de escritorio remoto que ofrecen líderes del mercado como Citrix, entre otros, por todo un abanico de razones clave, entre ellas la eficiencia operativa, la mejora del cumplimiento en los dispositivos y en las oportunidades de acceso remoto, el beneficio de la gestión centralizada y las copias de seguridad, así como el apoyo al usuario final. Los modelos de despliegue más recientes constituyen una forma popular de racionalizar costes, sin necesidad de adquirir licencias de software ni estaciones de trabajo individuales, elementos que pueden sumarse rápidamente. Pero ¿qué hay de la seguridad de sus datos y aplicaciones? ¿Cómo se mide la seguridad en un entorno de VDI?
¿Cuáles son los peligros de usar una infraestructura compartida?
Los centros de datos tradicionales permiten que los servidores sean monitorizados en busca de señales de peligro y aislarlos cuando sea necesario. Sin embargo, en un entorno de VDI, a menudo nos encontraremos con que todos los servidores y aplicaciones comparten la misma infraestructura, incluso las aplicaciones de usuario final y las que necesitan más seguridad y control. Es probable que los ordenadores de escritorio sean compartidos por un gran número de usuarios, no muy lejos de lo que ocurre con los activos, aplicaciones y datos críticos. Como todo esto ocurre dentro del centro de datos, las soluciones de seguridad tradicionales como los firewall perimetrales, que sólo protegen la entrada a la red, no sirven.
VDI (Virtual Desktop Infraestructure) y el Desktop-as-a-Service son la mejor elección posible dentro de las soluciones de virtualización de escritorio
Un elemento adicional por considerar es la inspección del tráfico. La mayor parte del tráfico de las aplicaciones de los usuarios finales está encriptado mediante SSL o TLS, y las normativas de cumplimiento requieren un alto nivel de privacidad de los datos. Al mismo tiempo, para una seguridad adecuada es necesario tener una visión del tráfico y las comunicaciones.
Para muchas organizaciones, los peligros que supone el VDI son demasiado grandes. Basta con que una sola máquina de VDI se vea comprometida, y el atacante puede moverse dentro del centro de datos, y pasar desapercibido debido al complejo entorno.
Paso 1: Aplicar la gestión de acceso de identidades de usuario
La combinación de dos potentes tecnologías permiten a las organizaciones empresariales aprovechar la VDI sin preocuparse por las cuestiones de seguridad. En primer lugar, examinemos la gestión de acceso a la identidad del usuario.
Esta solución suele ir de la mano de un modelo de confianza cero, ya que la idea es que cualquier usuario solo pueda acceder a lo que necesita para su función o actividad, y nada más. En lugar de depender simplemente de la autenticación inicial, la gestión inteligente de acceso a la identidad del usuario permite crear una política basada en la identidad del usuario que ha iniciado la sesión, incluso aun cuando haya varios usuarios conectados al mismo sistema al mismo tiempo.
Las identidades pueden extraerse del directorio activo, y la política de seguridad controlará tanto las nuevas sesiones como las que estén activas en ese momento. Incluso antes de que un usuario haya iniciado la sesión en una aplicación, la protección está ya en funcionamiento.
Paso 2: Combinar con segmentación de la aplicación
Una solución de microsegmentación con granularidad puede ofrecer control aún sobre el entorno más complejo, ayudándole a construir su infraestructura de una manera segura que le dé tranquilidad al usar VDI, incluso definiendo la política basada en un proceso, etiqueta u otra información de activos.
Por ejemplo, utilizando la segmentación de aplicaciones podemos asegurarnos de que todas las aplicaciones y usuarios dentro del entorno VDI estén segmentados lejos de las aplicaciones específicas, críticas o sensibles para el negocio, en el centro de datos más amplio. También puede delimitar el entorno VDI para que ningún atacante pueda realizar un movimiento lateral en otro lugar, incluso en caso de infracción.
Juntos ofrecen una solución potente e imbatible. En primer lugar, su usuario está limitado sólo a las aplicaciones y servidores a los que se les permite acceder según lo dispuesto en su política de gestión de acceso de identidad de usuario. En segundo lugar, cada usuario no puede moverse fuera de su entorno relevante, una capa de defensa adicional, sin dependencia añadida de ninguna red o ubicación específica.
Reducir la complejidad con visibilidad
¿Todavía tiene miedo de que el atacante se quede en casa? Asegúrese de que su solución de seguridad cuente con visibilidad en tiempo real de todas sus sesiones activas de VDI y sus conexiones. Con ello, deberíamos ser capaces de ver:
- Lo que los usuarios específicos están haciendo, con su identificación
- Los procesos se están ejecutando actualmente y con qué propósito
- Cómo y con qué se comunican los procesos
- Los flujos exactos que se están generando
- Qué aplicaciones específicas se están utilizando, y por quién
Otro principio del modelo de Zero Trust es asumir el acceso». En esta situación, cuando se produce la violación asumida, su equipo de TI tiene una visibilidad precisa del origen del ataque y puede, en segundos, ver cualquier intento de movimiento lateral desde el entorno VDI original hasta el centro de datos principal.
Pierda el miedo a un entorno VDI
Para ello recomendamos, en primer lugar, restringir el acceso desde el entorno VDI. Y, en segundo lugar, bloquear el acceso por identidad del usuario. En apenas dos sencillos pasos, estamos protegidos.
Reduciendo la superficie de ataque y mejorando la visibilidad, estaremos seguros y podremos decir sí, con tranquilidad, a los beneficios que nos ofrece un entorno VDI.
Carlos Moilner, director de Guardicore Iberia
Nota: sólo los miembros de este blog pueden publicar comentarios.