ClickCease Los servidores en nube también necesitan actualizarse - TuxCare

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Los servidores en nube también necesitan actualizarse

7 de diciembre de 2020 - Equipo de RRPP de TuxCare

Los servidores en nube también necesitan actualizarse

El aprovisionamiento en la nube ha ido sustituyendo a los servidores alojados localmente. Simplemente es mucho más rápido, y a menudo más barato, activar máquinas virtuales Linux alojadas en la nube para gestionar cargas de trabajo y escalar en respuesta a la demanda.

No es de extrañar que el mercado de infraestructura como servicio (IaaS) esté creciendo rápidamente, con Gartner sugiriendo que la facturación de IaaS creció un 37,3% solo en 2019. Pero esta facilidad de uso puede ser engañosa - y dejar a las empresas que operan servidores Linux alojados en la nube en un riesgo masivo de ciberataques.

En este artículo, explicamos por qué los servidores Linux alojados en la nube plantean riesgos de seguridad únicos, lo que esto significa en términos de las responsabilidades de mantenimiento de su empresa, y esbozamos lo que su empresa puede hacer para garantizar que sus servidores Linux en la nube estén siempre actualizados.

 

Contenido:

  1. ¿Qué son las máquinas virtuales en la nube (IaaS)?
  2. Los servicios en nube e IaaS están en peligro
  3. El caso en cuestión: SACK Panic
  4. Es fácil poner en marcha un nuevo sistema, pero el mantenimiento y la seguridad corren de su cuenta
  5. El problema de los parches en el núcleo
  6. Cómo puede ayudar KernelCare
  7. Conclusión

 

¿Qué son las máquinas virtuales en la nube (IaaS)?

¿Qué son las máquinas virtuales en la nube (IaaS)?

Infraestructura como servicio (IaaS) puede definirse como "una infraestructura informática instantánea, aprovisionada y gestionada a través de Internet". Un componente clave de IaaS es la capacidad de comprar el uso de recursos de hardware, como servidores, y desplegar rápidamente estos recursos para satisfacer los requisitos de las aplicaciones de su empresa o de sus clientes.

Alquilar un servidor puede implicar alquilar un servidor físico entero, pero lo más habitual es que las empresas alquilen una infraestructura de hardware virtualizada que da acceso a una cantidad específica de potencia de procesamiento y almacenamiento. Esto lo ofrece el proveedor de IaaS, un proveedor que gestiona de forma flexible el hardware físico utilizando tecnología de virtualización de vanguardia.

Como parte de un paquete de servidor en nube, su proveedor normalmente le ofrecerá cómodas rutas para instalar una distribución de Linux preempaquetada. Además, es muy sencillo: solo tienes que hacer clic para activar la instalación y ya puedes empezar a ejecutar tu carga de trabajo de Linux.

Sin embargo, la instalación puede ser engañosamente sencilla y es fácil asumir que puedes simplemente configurar y luego olvidarte de tu servidor Linux. Pero eso sería correr un riesgo importante.

 

 

Los servicios en nube e IaaS están en peligro

Los servicios en nube e IaaS están en peligro

La reciente encuesta de Sophos El estado de la seguridad en la nube ilustra lo fácil que es dar por sentada la seguridad en la nube, y el coste que ello conlleva. Según la encuesta de Sophos, el 98% de las empresas no habilitaron el paso de seguridad más elemental -la autenticación multifactor (MFA)- en sus cuentas.

Por eso no es de extrañar que, de los 3.200 responsables de TI encuestados, el 70% informara de que habían sido pirateados o de que se habían filtrado datos de sus cuentas.

Las brechas en la seguridad de la nube no dejan de sucederse. Por ejemplo, a principios de este año, un sofisticado grupo pirateó Amazon Web Services (AWS)instalando un rootkit que les permitía controlar a distancia los servidores de AWS.

No es solo AWS, por supuesto. En 2019, la firma israelí NSO Group, creadores del malware Pegasus utilizado para hackear WhatsApp, declaró que fue capaz de vulnerar todos los servicios en la nube de la gran firma tecnológica. En esencia, la compañía afirmó que su software está diseñado para permitir investigaciones de delitos para las fuerzas de seguridad.

En cualquier caso, es un claro indicio de que los servidores en nube son vulnerables. Y uno de los puntos clave de vulnerabilidad son los kernels de Linux.

 

 

Un ejemplo: SACK Panic

También en 2019, el gigante mediático Netflix encontró una serie de vulnerabilidades críticas de red en los núcleos de Linux. Con este exploit, los atacantes podían proceder siempre y cuando pudieran abrir una conexión TCP al servidor - independientemente del servicio en juego. Una de las vulnerabilidades más críticas fue bautizada por Netflix como "SACK Panic".

Cuando se utiliza, un atacante puede forzar el bloqueo de una máquina Linux utilizando tráfico específicamente diseñado para ese fin. Esto ha llevado a muchas de las principales distribuciones, incluyendo Ubuntu y Red Hat, a emitir advertencias contra el exploit del kernel SACK Panic.

El descubrimiento de Netflix pone de manifiesto que los núcleos de Linux son increíblemente vulnerables. Sí, las vulnerabilidades darán lugar a parches del kernel que parchearán eficazmente esas vulnerabilidades, pero los parches tienen una debilidad clave: un parche perfectamente eficaz nunca funcionará si el operador de la máquina Linux no aplica el parche.

 

 

Es fácil poner en marcha un nuevo sistema, pero el mantenimiento y la seguridad corren de su cuenta

Es fácil poner en marcha un nuevo sistema, pero el mantenimiento y la seguridad corren de su cuenta

Una lista exhaustiva de las medidas de seguridad necesarias para asegurar los servicios en la nube (por ejemplo, MFA) está más allá del alcance de este artículo, pero abordaremos un punto crítico aquí: Los parches del kernel de Linux. A la vista del ejemplo anterior, la aplicación de parches al kernel es un aspecto obvio, pero a menudo descuidado, de la seguridad de los servidores en nube.

Cuando las empresas despliegan servidores Linux en la nube confían en los procesos de despliegue rápidos, sencillos y escalables que ofrecen los proveedores de IaaS. Esto implica desplegar una distribución de Linux estándar, aunque a menudo algo anticuada, que inevitablemente no contiene los últimos parches críticos.

Peor aún, los operadores de servidores en nube a veces asumen que el proveedor de IaaS es responsable de los parches en vivo del kernel, cuando en realidad sólo parchean con el reinicio. Como nos muestra SACK Panic, un kernel sin parchear puede dar lugar a una brecha cibernética increíblemente costosa. Como operador de servidores virtuales Linux, su empresa no puede ignorar los parches activos del kernel.

Por desgracia, parchear los núcleos de forma sistemática es más fácil decirlo que hacerlo.

 

 

El problema de los parches en el núcleo

El problema de los parches en el núcleo

En primer lugar, parchear el kernel de un servidor suele requerir un reinicio. Al reiniciarse, el servidor queda fuera de línea y los servicios soportados por él también. Esto desincentiva enormemente la aplicación regular y frecuente de parches: las empresas simplemente no quieren interrumpir los servicios solo para aplicar un parche de seguridad, a menos que sea absolutamente crítico.

Además, la aplicación de parches es un proceso laborioso. No se trata sólo de parchear: hay que supervisar el rendimiento del servidor al reiniciarse y asegurarse de que los parches no interrumpen los servicios críticos. Entre el tiempo de inactividad causado por la aplicación de parches y el esfuerzo que supone, no es de extrañar que la aplicación periódica de parches pase a un segundo plano, lo que genera importantes riesgos de ciberseguridad.

Sin embargo, existe una alternativa a los reinicios del servidor y la aplicación manual de parches.

 

 

Cómo puede ayudar KernelCare

Cómo puede ayudar KernelCare

Automatizar la aplicación de parches a los núcleos para garantizar una aplicación de parches coherente y sin esfuerzo es el primer paso y, en esencia, eso es lo que hace KernelCare. KernelCare supervisa continuamente los parches recién publicados y activa automáticamente el proceso de actualización una vez que se identifica un parche.

Esta automatización elimina el problema del esfuerzo manual: no importa cuántos parches se lancen, sus servidores Linux en la nube siempre estarán parcheados y seguros. Sin embargo, KernelCare va un paso más allá.

A diferencia de muchas otras soluciones automatizadas de aplicación de parches, KernelCare puede realizar parches en vivo. Las empresas que utilizan KernelCare para la aplicación automatizada de parches experimentan un tiempo de inactividad mínimo, ya que KernelCare puede aplicar los parches del núcleo sin necesidad de reiniciar completamente el servidor Linux.

Como resultado, KernelCare garantiza que sus servidores Linux estén siempre parcheados y que no tenga que depender de sus esfuerzos de parcheado o del (probablemente ausente) soporte de su proveedor de IaaS.

 

Conclusión

La aplicación de parches en vivo es un paso clave, pero el mensaje general de este artículo sigue siendo que debe gestionar activamente sus instancias de servidor Linux IaaS. Piénselo dos veces antes de dejar el mantenimiento y la seguridad del servidor en manos de los proveedores que proporcionan la infraestructura. Si lo hace, dejará sus operaciones expuestas a vulnerabilidades de seguridad que pueden resultar muy costosas, y que son completamente evitables.

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín