Foro de la virtualización. ibm forum madrid v3

© Zitralia© Lime Access© Zitralia© Lime AccessPatente Int. PCT/ES 2009/000364 © Zitralia© Lime Access

Madrid 30 de abril de 2010WWW.ZITRALIA.COM

[email protected]

EL FORO DE LA VIRTUALIZACIÓN DEL

PUESTO DE TRABAJO

© Zitralia© Lime Access© Zitralia© Lime Access

Índice

Presentación• ¿Quiénes Somos?• El nuevo paradigma…• LIME ACCESS. La virtualización local

Virtualización Distribuida vs Centralizada

Virtualización y Seguridad

Virtualización y Gestión de Identidades


¿Quiénes Somos?

, compañía española de I+D+i, patenta y desarrolla un producto llamado LIME ACCESS que permite llevar en un PENDRIVE tus datos, identidad y aplicaciones de forma personalizada y sincronizada con servidores centralizados en caso de pérdida o robo.

Lime Access es un producto propiedad de Zitralia protegido por la ley internacional de patentes y registro de propiedad intelectual con la PCT/ES2009/000364

Venta y Distribución 100% Canal


Cliente Servidor

1970 1990 2000

Host + Terminal Tonto Terminal Pesado Server + Thin Client

El nuevo Paradigma…Arquitectura GLOCAL (virtualización local + almacenamiento local)

Thick Client portable seguroBackup SincronizadoConfidencialidad + Integridad + Disponibilidad

Arquitectura Distribuida móvil de :-Datos (almacen local)-Aplicaciones (proceso local)-Backup Sincronizado (cloud)-Virtualización en local (cpu + GB)

Datos y Aplicaciones AlmacenadasNo ejecutadas


Teletrabajo Proveedor Departamento BACKUP

Lime AccessServer

Red de área local

BackupDisco Virtual

LIME ACCESS. La virtualización localArquitectura

© Zitralia© Lime Access

VIRTUALIZACIÓN DISTRIBUIDA

vs CENTRALIZADA- La virtualización del puesto de trabajo. ¿Virtualización de aplicaciones o virtualizar el puesto de trabajo?.

José Luis San Martín.

- La virtualización favorece el SaaS. Reducción del consumo del ancho de banda con virtualización distribuida.

Julián Hernández Martinez

- Aplicación de las ventajas de la virtualización de servidores al puesto de trabajo.

José María Gonzalez

- Como reducir los costes al virtualizar el puesto. Virtualización distribuida

Carlos Moliner Zambalamberri

- Virtualización distribuida como complemento al Desktop Cloud

Manuel Díaz Moreno.

- Virtualización distribuida. Una oportunidad de llevar tu PC en el bolsillo.

Juan Santesmases Blanco.


Virtualización en la nube

Condicionantes•Seguridad (EFS, EncFS, TrueCrypt, etc.)•Sincronización (rsync, …)•Rendimiento

Máquina Virtual ~ Fichero•Copiar / Mover / Almacenar (ubicuidad)•Basada en plantillas (homogeneidad)•Control de cambios (gestión del estado)•Encapsula dependencias (flexibilidad)

La virtualización del puesto de trabajo. ¿Virtualización de aplicaciones o virtualizar el puesto de trabajo?

José Luis San Martín


La virtualización del puesto de trabajo. ¿Virtualización de aplicaciones o virtualizar el puesto de trabajo?

Virtualización del puesto de trabajo

SS. CentralizadoSS. Centralizado(vs. Distribuido)(vs. Distribuido)

Puesto virtualPuesto virtual(vs. Aplicac. virtual)(vs. Aplicac. virtual)

Capacidad sobranteCapacidad sobrante ++++++ ----Usuarios móvilesUsuarios móviles ------ ++++Parque variableParque variable ++++ ----Usuario con estadoUsuario con estado ------ ++++++

José Luis San Martín


Años 70-80 Año 2010

HTML5

Sistemas Informáticos

Grandes sistemas dedicados a medida, costes elevados y rigidez

“Software as a Service” bajo demanda, en sistemas / infraestructuras compartidos privados o privados virtuales, facturación en esquemas de pago por uso

Redes de comunicación

Redes privadas construidas con líneas dedicadas punto a punto

Años 90-00

Internet

Servidores ligeros, cliente (PC) - servidor, grandes paquetes de SW (ofimática)

Red privada virtual, gestión de red privada

Evolución

Julián Hernández Martínez

La virtualización favorece el SaaS. Reducción del consumo del ancho de banda con virtualización distribuida


Virtualización y SaaS

Origen: Internet y Open SW (Servidores Linux, Apache, Jboss, MySQL, PHP, etc.)

• Proliferación de WEB OS como Virtual Desktops (Chrome OS, JoliCloud, EyeOS, iCloud, Cloudo, MyBoo, GateIn, Fenestela, Silveos, StartForce, KIDO'Z, etc.)

Clientes (HTML5, JavaScript, AJAX, Flash, XML, XSL)

• Se requiere un sistema físico o virtual que permita acceso seguro a Internet y al SaaS (Navegador html5)

Multidispositivo ( PC, laptop, tablet, smartphone, TV, etc.)





SaaS y Redes de Comunicación

Necesidades• Velocidad, ancho de banda (LTE, FTTH)• Disponibilidad y cobertura • Latencia (experiencia de usuario)

SeguridadConfidencialidad




Principales razones para implantar SaaS

Velocidad de implantaciónCostes de inversiónCostes operativosDemanda de movilidad de empleadoMultidispositivo ( PC, laptop, tablet, smartphone, TV, etc)



Virtual Desktop Infrastructure Overview

Aplicación de las ventajas de la virtualización de servidores al puesto de trabajo


•Independiente del HW cliente•Almacenamiento moderado•Baja necesidad de servidores•Máxima movilidad incluso no conectados

“Tu PC en un pendrive”

Como reducir los costes al virtualizar el puesto. Virtualización distribuida



Mover, añadir, cambiar, borrar( 25% del coste actual)

Instantáneo y centralizado

Parcheado de S.O, nueva imágenes de los sistemas.(20% del coste actual)

Una única vez y para todos

Configurar/ampliar/reparar hardware(35% del coste actual)

HW intercambiable

Seguridad, Data recovery, almacenamiento, backup (20% del coste actual)

Controlado




Pruebas de regresión y compatibilidad ( 25% del coste actual)

Instantáneo y centralizado

Despligue de aplicaciones y aprovisionamiento (60%del coste actual)

Una única vez y para todos

Actualizaciones, mantenimiento, formación(15% del coste actual)

Centralizado. Una única vez




Smart Business Desktop Cloud proporciona un acceso al puesto de trabajo independiente de la infraestructura que lo soporta y el dispositivo de acceso.

• Estrategias de selección de dispositivo

de acceso

• Uso de Thin Clients

• Reutilización de PCs

Costes/Beneficios Thin Client PC reutilizado

Coste Inicial - +

Instalación + -

Consumo eléctrico

+ -

Gestión y soporte + -

Flexibilidad / Movilidad

- +

Virtualización distribuida como complemento al Desktop Cloud

Manuel Diaz Moreno


La virtualización distribuida facilita la

reutilización del PC como dispositivo de

acceso al Desktop Cloud

• Posibilita la movilidad “real” del usuario

• Las URLs de acceso, certificados, configuración de clientes software están incluidas en una llave de memoria.

• Incrementa la seguridad

• Ayuda a cumplir con normativas de protección de datos

• No deja rastro en el PC utilizado para el acceso

• Disminuye el coste de propiedad del entorno de dispositivos de acceso

• Evita replataformado de equipos para ser convertidos en “thin clients”

• Hace innecesaria una plataforma de streaming de cliente y su gestión

Virtualización distribuida como complemento al Desktop Cloud

Manuel Diaz Moreno


Virtualización distribuida. Una oportunidad de llevar tu PC en el bolsillo

Juan Santesmases


- Cifrado de los datos, gestión de certificados y las máquinas virtuales.

Román Ramírez.

- Trabajo offline con virtualización y la seguridad de los datos.

Enrique Crespo.

- Perdida de comunicaciones, sincronización de datos y aplicaciones.

Jorge Pasamón.

- Autenticación y seguridad en las máquinas virtuales

Vicente Gonzalbo

- Movilidad de los datos y aplicaciones seguras..

Juan Santesmases Blanco.

VIRTUALIZACIÓN Y SEGURIDAD


•Es evidente la necesidad de criptografía en diversas organizaciones: necesidades legales, confidencialidad, integridad, …

•Las soluciones de cifrado, además de garantizar la confidencialidad, deben ser escalables y se puedan gestionar.

•Un problema endémico del cifrado es el uso de las contraseñas: ¿cómo garantizar la seguridad e identidad si el acceso a las claves privadas es por contraseña? Existen keyloggers, keyloggers por hardware, otras amenazas...

•El cifrado puede utilizarse en combinación de la autenticación: certificados x.509, OpenPGP, firmas de diversos tipos, otros.

•Las necesidades típicas de cifrado en grandes organizaciones pueden resumirse en las siguientes:

1. Cifrado de terminales, portátiles y dispositivos: movilidad.

2. Cifrado de datos: ya sea en tránsito o almacenados.

3. Cifrado de comunicaciones: debería ser obligado y de serie.

4. ¿Autenticación?

01. Cifrado de datos (i)

Cifrado de datos, gestión de certificados y las máquinas virtuales

Román Ramírez


•Las CA comerciales implican costes: tanto estructurales como por certificado emitido. Complicado solicitar un certificado firmado por ellas que nos permita, a su vez, firmar nuestros propios certificados.

•Soluciones mixtas: certificados de CA reconocidas para unos propósitos, certificados con una CA autofirmada para otros.

•¿Gestión de las claves privadas firmantes? ¿Gestión de la RA?

•RA: ¿cómo se modela el registro de usuarios? ¿es un proceso que controla RR.HH? ¿lo controla Seguridad? ¿Sistemas?

•VA: ¿dispongo de un mecanismo automatizado para gestionar revocaciones? ¿CRL? ¿OCSP?

•Existen alternativas, como integrar certificados oficiales: implican problemas en la validación de revocaciones (de nuevo VA, acceso a OCSP, …), y complican el uso si queremos autenticación integrada.

•¿Qué pasa con la contraseña única (SSO)? ¿todos los sistemas pueden emplear certificados de serie?

•¿Validez y reconocimiento de nuestra CA autofirmada? Propósitos legales, forense.

01. Certificados (ii)


Román Ramírez


•En entornos de máquinas virtuales, el uso de cifrado en sistema operativo no es un problema.

•Se hacen necesarios avances: uso de TPM a disposición del Gestor de máquinas virtuales.

•¿Qué ocurre con el puesto de trabajo móvil? Soluciones mayormente basadas en virtualizarlo, con mayor o menor profundidad, ¿se puede hacer uso de soluciones hardware para añadir capas de protección adicional?

•¿El uso de firma puede ayudar a que solamente se arranquen aplicaciones firmadas y validadas? ¿cuán fácil de gestionar es este modelo? ¿y firmar la máquina virtual completa? ¿firmar instrucciones o llamadas de sistema?

•¿Qué pasa cuando el sistema virtual queda aislado del gestor centralizado? (¿queremos un gestor centralizado?)

01. Máquinas virtuales (iii)


Román Ramírez


•Gestión de la seguridad de las claves privadas: o token, o smartcard o software. Todas con riesgo y vulnerables al keylogger.

•¿De verdad queremos cifrado de comunicaciones? ¿y en entornos DLP? ¿y qué pasa con el HTTPS? ¿Cómo inspeccionamos el tráfico de usuarios por HTTPS? (Main-in-the-middle corporativo con nuestra propia CA).

•¿Cómo podemos aportar seguridad a la máquina virtual? ¿basta cifrar el disco en arranque?

•Uso de certificados de autenticación.

•¿configuramos el uso forzoso de la validación de aplicaciones por el certificado?

01. Comentarios generales (y iv)


Román Ramírez


• Se sigue manteniendo el equilibrio o balanza necesidad de negocio contra operativa y seguridad de los datos.

• La criticidad de los datos puede requerir sistemas adicionales de cifrado e integridad y `requerimientos al acceso posterior.• Garantizar el acceso y la confidencialidad al Propietario

legítimo de los datos o derecho de acceso en el modo adecuado.

• La dependencia de estos sistemas con terceros, que requieren acceso debe analizarse de manera previa para validar el impacto en la seguridad de los datos.

• La recuperación de los datos y/o destrucción segura deben contemplarse como un requerimiento indispensable dentro de la propuesta tecnológica.

Trabajo offline con virtualización y la seguridad de los datos

Enrique Crespo


• La falta de conectividad del sistema virtualizado traslada una serie de requerimientos de seguridad hacia el propio sistema• Modo usuario, imponiendo un sistema autónomo de

identificación y autenticación al sistema virtualizado• Modo automático o labores programadas, gestión,

autenticación y traza del propio sistema virtual

• Debe estar presente la capacidad de movilidad de los datos generados en la operación del sistema en modo offline.

Trabajo offline con virtualización y la seguridad de los datos

Enrique Crespo


Perdida de Comunicaciones

Perdida de comunicaciones, sincronización de datos y aplicaciones

Jorge Pasamon


“Pérdidas de las comunicaciones es una de las mayores secuelas del terremoto en Chile”

Fuente : Agencia Boliviana de Noticias

No es fácil entender y calcular el costo real por caída de las comunicaciones o la pérdida de información de nuestro negocio, ya que estamos tan inmersos en las operaciones del día con día, que no nos damos cuenta del valor real de nuestra información, así como la oportunidad de servirle oportunamente a nuestros clientes o proveedores.

Para evaluar el costo de la caída, las compañías deben considerar todos los costos que la constituyen y como cada uno de ellos, puede ser afectado por una falla en el Sistema, incluyendo no solamente la pérdida de las ganancias en ese momento, sino también las posibles pérdidas en las ganancias futuras, pérdida de productividad, pérdida por ocupación de espacio por empleado, pérdida o desajuste del inventario; costos de pérdidas por falta de ganancias y recuperación de la información, pérdidas por no entregar las mercancías a tiempo, pérdidas de oportunidad de negocios, pérdida de clientes y pérdida del valor en la forma de compartir la depreciación, demandas de los clientes, reputación y quién sabe cuantas cosas más…



“La sincronización de datos es el proceso del establecimiento de consistencia y coherencia entre datos en fuentes remotas y de la continua armonización de los datos en el tiempo”

Confidencialidad

“Es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados”

Integridad

“Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas”

Disponibilidad

“Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones”


Jorge Pasamon


Centralizado VirtualizadoDescentralizado

Características

•Se reducen los costes. •Se optimizan los recursos. •Se simplifica la gestión.•Los usuarios se encuentran en diversos emplazamientos geográficos: diferentes idiomas, productos y servicios. •Se necesita dar servicios de mantenimiento "on-site".

Características

.Sus ventajas son obvias cuando se ofrecen servicios en diferentes emplazamientos, sin embargo la deslocalización de los diferentes Centros de Servicios conlleva grandes problemas:•Es generalmente más caro. •Se complica la gestión y monitorización del servicio. •Se dificulta el flujo de datos y conocimiento entre los diferentes Service Desks.

Características

El principal objetivo es aprovechar las ventajas de los modelos centralizados y distribuidos.

•El "conocimiento" está centralizado. •Se evitan duplicidades innecesarias con el consiguiente ahorro de costes. •Se puede ofrecer un "servicio local" sin incurrir en costes adicionales. •La calidad del servicio es homogénea y consistente.



Vicente Gonzalbo

Autenticación y seguridad en las máquinas virtuales



Crisis. Cambio. Nuevas Ideas. Nuevos Puntos de vista

Vicente Gonzalbo


Movilidad de los datos y Aplicaciones seguras

Seguridad Host IPS virtuales Virtual Server para VMware

IPS VirtualesSeguridad Host SSODesktop IPS

Vicente Gonzalbo





Vicente Gonzalbo



Juan Santesmases

Movilidad de los datos y aplicaciones seguras


VIRTUALIZACIÓN Y GESTIÓN DE

IDENTIDADES- Utilización de certificados y smart cards para autenticarse en los puestos de trabajo virtuales

Carlos Molina

- Barreras en la gestión de identidades para la virtualización. Como asegurar la identificación..

Alberto Zapico.

- Autenticación en local con el DNIe. Acceso seguro a servicios virtualizados.

José Luis Santamaría.

- Una oportunidad para el teletrabajo, virtualización e identidad segura.

Vicente Gonzalbo.

- Las tarjetas inteligentes en la identificación de la virtualización distribuida.

Juanjo Nombela.

- La virtualización en los servicios al usuario. Una oportunidad para la Banca y Administración electrónica 7x24 .

- Pablo Esteban.


Entornos altamente complejos con varios proveedores, plataformas y países

Información de alto riesgo (datos personales protegidos de los clientes)

Complejidad Externalización Equipos Seguridad Objetivos

Alto grado de externalización del servicio, con mayodificultad en la gestión de sistemas y mantenimiento de puestos

Lograr una mejor experiencia de cliente al mismo tiempo que se reducen los costes operativos

Necesidad de optimizar los equipos para los requisitos de las nuevas aplicación

Características del entorno

Nuevas tendencias como el teletrabajo

Carlos Molina

La virtualización de los puestos de trabajo en el entorno de los Contact Center


FlexibilidadFlexibilidad OptimizaciónOptimización

Una experiencia consistente para el cliente y para el agente de call center

Seguridad y fiabilidad en el acceso a la información

Capacidad de funcionar en entornos mixtos más flexibles para el servicio

Sencillez en la gestión y mantenimiento

Mayor aprovechamiento de los recursos actuales

Incrementar el rendimiento en el uso de los equipos

La autentificación en los puestos de trabajos virtuales permite

ConsistenciaConsistencia

Carlos Molina

La virtualización de los puestos de trabajo en el entorno de los Contact Center


Acceso a Internet seguro

Un puesto de trabajo virtualizado

Acceso remoto seguro

Una necesidad de los grupos de desarrollo

Uso de máquinas virtuales no corporativas con fines ilícitos

Barreras en la gestión de identidades para la virtualización. Como asegurar la identificación

Alberto Zapico


Barreras en la gestión de identidades para la virtualización. Como asegurar la identificación

Alberto Zapico


… ya no es un “dispositivo”Es un “entorno” de trabajo

“unívoco y personal” que ha de cumplir criterios de:

• Ubicuidad• Criterios de acceso e identidad• Seguridad en y desde el

dispositivo que se utilice, sea cual sea

Se hace necesario un planteamiento de…

• “Arquitectura Virtualizada Distribuida”

• Mecanismo de autenticación que provea acceso a servicios virtualizados

El desktop….

Autenticación en local con el DNIe. Acceso seguro a servicios virtualizados

José Luis Santamaría




2010 finalizará con más de 19,5 M de DNIe en España

Al final de 2009, casi 9M de personas disponían de DNIe

En la actualidad aprox. el 96% de los trámites se pueden realizar de modo telemático en el ámbito de la Administración Central

Como otros mecanismos deautenticación puede permitir:•Control de acceso a recursos locales•Control de acceso a aplicaciones/datos de la Empresa

•Acceso a aplicaciones predefinidas por colaborador/trabajador•Autenticación unívoca por role•Acceso a servicios virtualizados de modo específico

DNIe




La conjunción de ambos escenarios permite…Planteamientos de teletrabajo

Colaboradores externosVipsTransacciones bancariasOficina sin papeles… e-Adminsitración

Cualquier servicio a cliente final/proveedor final….



Vicente Gonzalbo


Gestión de Identidades y accesos para entornos virtualizados1.Simulación de políticas

Capacidad de predecir qué puede suponer un cambio en las políticas de seguridad.

2.Análisis de Separación de deberes automático.Alerta y bloqueo proactivo de la adquisición de permisos que van

en contra el negocio y/o legislación

3.Disponibilidad de distintos tipos de rol y entitlements.a)Roles estáticos,

b)dinámicos (asignados según los permisos efectivos del usurios

c)Jerárquicos

4.Control y Gestión de usuarios privilegiados.a)Retirar todos los permisos a los administradores de sistemas

b)para asignarlos solo en el momento, lugar, persona y durante el tiempo apropiado

5.Ciclo completa de certificación de políticas de seguridadCapacidad de auditar y generar informes automáticos de toda la

actividad del proceso


Vicente Gonzalbo


Las contraseñas …Las contraseñas …

No son seguras y generan muchos costes de soporte.No son seguras y generan muchos costes de soporte.En sistemas virtualizados, SSO, gestión de identidades, etc. se En sistemas virtualizados, SSO, gestión de identidades, etc. se convierten en el eslabón más débil de la cadena.convierten en el eslabón más débil de la cadena.

Las tarjetas inteligentes + certificados digitales …Las tarjetas inteligentes + certificados digitales …

Pueden reemplazar a las diferentes contraseñas de los usuarios Pueden reemplazar a las diferentes contraseñas de los usuarios en diferentes aplicaciones o escenarios (consiguiendo hasta 40% en diferentes aplicaciones o escenarios (consiguiendo hasta 40% ahorro en costes de CAU según algunos estudios).ahorro en costes de CAU según algunos estudios).Aportan autenticación fuerte (algo que se tiene y algo que se Aportan autenticación fuerte (algo que se tiene y algo que se sabe).sabe).Permiten otras aplicaciones como la firma electrónica reconocida Permiten otras aplicaciones como la firma electrónica reconocida o el cifrado (con claves asimétricas) con un elemento seguro.o el cifrado (con claves asimétricas) con un elemento seguro.

Sus aplicaciones y escenarios de uso posibles …Sus aplicaciones y escenarios de uso posibles …

Autenticación virtualización distribuida. Autenticación virtualización distribuida. Autenticación antes del arranque del S.O. (Pre-Boot Autenticación antes del arranque del S.O. (Pre-Boot Authentication) en portátiles.Authentication) en portátiles.Autenticación en la cuenta de usuario del sistema operativo y Autenticación en la cuenta de usuario del sistema operativo y bloqueo automático de la sesión al extraer la tarjeta (cumpliendo bloqueo automático de la sesión al extraer la tarjeta (cumpliendo política de pantallas limpias).política de pantallas limpias).Autenticación en aplicaciones y accesos remotos: cliente de Autenticación en aplicaciones y accesos remotos: cliente de correo y correo web (OWA, iNotes,…), Intranet, ERP, servicios correo y correo web (OWA, iNotes,…), Intranet, ERP, servicios web de terceros, VPN, cliente SSL, etcweb de terceros, VPN, cliente SSL, etc


Las tarjetas inteligentes son los soportes más apropiados para contener Las tarjetas inteligentes son los soportes más apropiados para contener las credenciales de los usuarios en los entornos lógico y físico: las credenciales de los usuarios en los entornos lógico y físico: certificados digitales, contraseñas, claves, números de identificación, ...certificados digitales, contraseñas, claves, números de identificación, ...

Pago$€

Y

Protección de laInformación (cifrado)

Acceso remotoControl de

presencia

Acceso lógico

local Acceso físico

Workflows internos

Identificación visual

Firma electrónica


Riesgos

Tipos y Riesgo•Información•Comunicación•Transacción

Riesgos en Banca y Administraciones

•Estratégicos•Transacciones•Cumplimiento•Reputación•Seguridad de la

Información•Banca: Crédito, Interesas,

Liquidez, Precios, Cambio.

Gestión de los riesgos

Gestión y CuadrosControles de Seguridad•Autenticación•No Repudio•División de perfiles

Legal y Reputación

La virtualización en los servicios al usuario. Una oportunidad

para la Banca y Administración electrónica 7x24

Pablo Estevan



para la Banca y Administración electrónica 7x24

Amenazas

Ataques LocalesAtaques RemotosAtaques Mixtos

Virtualización como Respuesta

Sistema conocidoSistema actualizadoSistema seguroSistema controlado

Pablo Estevan



para la Banca y Administración electrónica 7x24Ejemplo. Cloud Personality (Cloud

Banking)

Grupo mínimo de aplicaciones permitidas

Cifrado, actualizado y securizado.

Entorno aislado.Enlaces predefinidos y

fijados a webs online.Zitralia: Autenticaciones

extendidas: DNIEe, token, multifactor

Pablo Estevan

ZITRALIA

Manuel Tovar, 16 28034 Madrid

www.zitralia.com

T: +34 91 417 07 10


Foro de la virtualización. ibm forum madrid v3

Technology

juan santesmases

administracin

perdida de

una nica vez

gestin de

sincronizacin

cifrado de

gestin de