Cómo segurizar tu infraestructura virtual vSphere 7
Recientemente se ha visto un incremento de los ataques de Ransomware que afectan a los hipervisores ESXi, encriptandolos junto a todas las VMs. Esto se ha vuelto una preocupación para quienes quieren proteger su información.
¿Cómo afecta el Ransomware a los ESXi? El mismo encripta los VMDK’s de las vms dentro de los Datastores. Adicionalmente encripta al ESXi y todos los Logs (lo cual hace más dificultoso el encontrar la causa raíz del ataque). Sin embargo, debido a que el hipervisor se ejecuta en memoria, podría seguir productivo (aunque ante un reinicio podría no volver a iniciar).
Por más que se cuente con un backup confiable y se pueda restaurar la información, el atacante podría obtener información sensible de la compañía, es por esto que les voy a compartir algunos consejos, los cuales están divididos en 3 categorías:
Dentro de la infraestructura:
Mantener toda la infraestructura actualizada a la última versión posible (siempre estando dentro de la matriz de compatibilidad de VMware).
Actualizar o realizar Workarround cuando salgan vulnerabilidades en los productos. Dentro de nuestro Blog de actualizaciones críticas publicamos las vulnerabilidades publicadas por el fabricante con su respectivo workarround. Por lo que mi primera recomendación sería suscribirse al mismo y recibir las novedades.
En caso de utilizar tráfico iSCSI, utilizar CHAP multidireccional.
Contar con segmentación dentro de las redes (para en caso de ser afectado, aislar lo más posible el problema).
Para evitar perder los logs como mencione anteriormente, contar con un syslog y de esta manera conservar evidencia que se encuentre en un sitio secundario o securizado correctamente para que no sea afectado.
Contar con un sistema de backup confiable y que permita restaurar la información en caso de ser afectado. Dentro de nuestro Blog hay un post sobre Veeam Immutability el cual sería un ejemplo de esto (sin embargo no es la única alternativa).
Contar con VMware Skyline para recibir notificaciones de vulnerabilidades.
Dentro de los Hipervisores ESXi:
Habilitar TPM 2.0. Para esto es necesario contar con una versión de vCenter 6.7 o posterior, también poseer dentro de los servidores físicos un chip TPM 2.0 y habilitado en UEFI, y por último contar con arranque seguro UEFI. Para más información pueden consultar al siguiente link oficial de VMware: Proteger hosts ESXi con el módulo de plataforma de confianza.
Prohibir la ejecución de comandos personalizados, configurando el parámetro execInstalledOnly. Para más información pueden consultar al siguiente link oficial de de VMware: Enable or Disable the execInstalledOnly Enforcement for a Secure ESXi Configuration.
En caso de no ser utilizados, deshabilitar CIM, SLP y SNMP según corresponda.
Separar las redes de administración de Hardware (IMPI por ejemplo) de la red donde se administra vSphere.
Configurar de manera consistente un servidor NTP para la correcta sincronización de hora.
Configurar un time out de sesiones SSH y ESXi Shell y también para deshabilitar el SSH en caso de no utilizarse.
Mantener actualizado los Drivers y Firmware de los servidores físicos.
Configurar la política de “MAC Address Changes” en “reject”para los VDS y Portgroups.
Configurar el firewall de ESXi para permitir acceso desde las redes autorizadas (Asegurarse de permitir el management de los ESXi antes de denegar todo el tráfico).
Habilitar lockdown mode en los ESXi.
Con respecto a la gestión de usuarios y contraseñas:
Utilizar contraseñas complejas para los usuarios de root y de dominio.
Segmentación de permisos dentro de la infraestructura. Customizar los roles para que los usuarios sólo puedan realizar las tareas que sean necesarias para su respectivo rol.
Habilitar política de vencimiento de contraseñas y no permitir la reutilización de las mismas.
Para más información y configuraciones de hardering de vSphere, pueden consultar al siguiente link oficial de VMWare: VMware vSphere Security Configuration Guide 7 | VMware
¿Cómo autoevaluación podríamos pensar en cuántas de estas 20 recomendaciones cumple tu infraestructura? (Los leo en los comentarios!).
Si necesitas ayuda para responder a estas preguntas o simplemente no sabes por donde arrancar, usa esté formulario para contactarnos así te ayudamos con las dudas que tengas .