Resumen
Este artículo aclará algunas de las principales dudas referentes a la protección del agente de seguridad Apex One en ambientes virtualizados (VDI) VMware, VMware Workstation, Hyper V, VirtualBox, entre otros. Se presentan las preguntas junto con su respuesta/aclaración.
Detalles
-
Si un dispositivo Windows Desktop/Server (físico) crea otro dispositivo Windows Desktop/Server (virtualizado) en su infraesctructura ¿El agente antivirus instalado en el equipo físico protege al sistema operativo instalado en el equipo virtual?
R: El agente de seguridad Apex One instalado en el SO del dispositivo físico, no sería capaz de proteger al SO del dispositivo virtualizado. Esto se debe a que el agente de seguridad solamente podría analizar y proteger la arquitectura Windows en el cual se encuentra instalado. Siendo que el SO virtualizado constituye una arquitectura diferente y, en términos lógicos, un ordenador diferente, no podría proteger al mismo ante, por ejemplo, una amenaza de Ransomware que secuestre al SO del dispositivo virtualizado.
Lo único que posiblemente pudiera "proteger", sería el tráfico de la tarjeta de red, y esto podría variar en función de si dicha tarjeta de red en el equipo virtualizado, cuenta con tráfico de red hacia el equipo físico.
-
Al instalar el agente de seguridad Apex One en un VDI ¿Este agente cuenta como una licencia adicional en la consola Apex One?
R: Necesariamente si. Esto debido a que la instalación de un agente Apex One en un dispositivo virtualizado, constituye netamente a una instalación independiente en un nuevo SO, en donde el agente poseerá una GUI única que será vinculada con la consola del servidor Apex One.
-
En relación al escenario anterior ¿Existe algún riesgo real de seguridad que afecte a ambos equipos?
R: Esto dependerá completamente de la configuración del dispositivo físico y virtualizado pero, en principio, si existe un riesgo significativo de seguridad debido a que estarías ejecutando una instancia Windows virtualizada sin un agente de seguridad Apex One que lo proteja, y este dispositivo virtualizado se encuentra hosteado en el dispositivo físico que le provee los recursos.
-
¿Cuál es el alcance del agente de seguridad Apex One ante un escenario VDI?
R: El agente de seguridad Apex One solamente puede detectar amenazas las cuales pasen directamente a través del SO en el cual se encuentra instalado, configurado y administrando. Esta interacción puede ser, por ejemplo, la navegación a través de un sitio web malicioso en donde existe una conexión mediante internet (Http, Https) y un intercambio de paquetes en tiempo real el cual el agente de seguridad si puede detectar y análizar. Ahora bien, en este mismo ejemplo, el agente de seguridad no puede analizar el entorno que se encuentra detrás de dicho sitio web malicioso. De la misma manera funciona en ambientes virtualizados, en donde puede existir un análisis y protección del tráfico que pasa a través de la tarjeta de red que posee el dispositivo físico Windows (limitado según la configuración), más no la arquitectura del otro SO virtualizado que posea conexión con el dispositivo físico.
-
¿Cómo funcionan las políticas de la consola Apex One en el SO del equipo físico Windows y el dispositivo virtualizado?
R: Las políticas desplegadas desde la consola hacia el agente Apex One, solo tendrían impacto en el SO del dispositivo físico, no en el SO virtualizado.
-
¿Significa entonces que el agente de seguridad Apex One protege el tráfico entrante del SO virtualizado a través de la tarjeta de red?
R: Dependiendo de la configuración del dispositivo, esto podría ser posible pero sería bastante limitado con respecto a lo que se está protegiendo. Algo como el monitoreo de la red no tendría impacto en el dispositivo virtualizado si, por ejemplo, descargara ransomware. El dispositivo Windows físico que aloja el SO virtualizado, no se daría cuenta de que esto sucede dentro de la estructura de este SO, por lo que no se tomaría ninguna medida.
-
¿Cuál es la acción recomendada a tomar en este tipo de escenarios con VDI?
R: Si tiene un SO o incluso si se ejecuta un VDI en un dispositivo físico que tiene el agente de seguridad Apex One instalado, también necesitaría el agente de seguridad Apex One ejecutándose en el dispositivo VDI mismo.
Un ejemplo práctico puede ser, si tuvieramos un servidor que hospedara dispositivos VDI, solamente la acción de colocar el agente de seguridad Apex One en el servidor que hospeda y virtualiza no protegerá la ejecución de las VDI en el dispositivo. Necesariamente, necesitará instalar el agente de seguridad Apex One en todas las plataformas VDI que se ejecutan en el dispositivo de alojamiento.
-
¿Existe documentación oficial por parte de Trend Micro que trate este tema en mayor profundidad?
R: La documentación referente al funcionamiento del agente de seguridad Apex One, se encuentra pública a través del portal de soporte de Trend Micro https://success.trendmicro.com/, así como en la página de documentación oficial de los productos de Trend Micro para sus diferentes gamas y líneas de comercialización https://docs.trendmicro.com/
En cuanto a documentación oficial relacionada con la protección del agente de seguridad en un dispositivo que virtualiza otros SO, no se encuentra disponible ningún artículo que aborde el tema específicamente. Sin embargo, existe documentación oficial por parte de Trend Micro que aborda con profundidad, algunas prácticas y recomendaciones de configuración al instalar un agente de seguridad Apex One en un VDI. Puede consultarlo a través del siguiente enlace:
Enlace: Best practice for setting up Virtual Desktop Infrastructure (VDI) in Apex One/OfficeScan
Si posee dudas adicionales, o desea solicitar nuestra ayuda y/o acompañamiento para la implementación, configuración y despliegue de los agentes de seguridad Apex One, puede crear una solicitud de servicio a través de nuestro cómodo portal de HelpDesk https://servicios.nextcomsystems.com/
Artículos relacionados
Controlling the performance of the Virtual Desktop Infrastructure (VDI) environment