Red Hat Training

A Red Hat training course is available for RHEL 8

15.2. Mejores prácticas para asegurar las máquinas virtuales

Siguiendo las siguientes instrucciones se reduce significativamente el riesgo de que sus máquinas virtuales se infecten con código malicioso y se utilicen como vectores de ataque para infectar su sistema anfitrión.

On the guest side:

  • Asegure la máquina virtual como si fuera una máquina física. Los métodos específicos disponibles para mejorar la seguridad dependen del SO invitado.

    Si su máquina virtual está ejecutando RHEL 8, consulte Configuración y gestión de la seguridad en RHEL 8 para obtener instrucciones detalladas sobre cómo mejorar la seguridad de su sistema invitado.

On the host side:

  • Cuando gestione las VMs de forma remota, utilice utilidades criptográficas como SSH y protocolos de red como SSL para conectarse a las VMs.
  • Asegúrese de que SELinux está en modo de aplicación:

    # getenforce
    Enforcing

    Si SELinux está deshabilitado o en modo Permissive, consulte el documento Uso de SELinux para obtener instrucciones sobre cómo activar el modo Enforcing.

    Nota

    El modo SELinux Enforcing también habilita la función sVirt RHEL 8. Se trata de un conjunto de booleanos especializados en SELinux para la virtualización, que pueden ajustarse manualmente para la gestión de la seguridad de las máquinas virtuales.

  • Utilice VMs con SecureBoot:

    SecureBoot es una función que garantiza que su máquina virtual ejecute un sistema operativo firmado criptográficamente. Esto evita que las máquinas virtuales cuyo sistema operativo haya sido alterado por un ataque de malware puedan arrancar.

    SecureBoot sólo puede aplicarse cuando se instala una VM Linux que utiliza el firmware OVMF. Para obtener instrucciones, consulte Sección 15.3, “Creación de una máquina virtual SecureBoot”.

  • No utilice los comandos qemu-*, como qemu-img.

    QEMU es un componente esencial de la arquitectura de virtualización en RHEL 8, pero es difícil de gestionar manualmente, y las configuraciones inadecuadas de QEMU pueden causar vulnerabilidades de seguridad. Por lo tanto, el uso de los comandos de qemu-* no está soportado por Red Hat. En su lugar, se recomienda encarecidamente interactuar con QEMU utilizando las utilidades libvirt, como virsh, virt-install, y virt-xml, ya que éstas orquestan QEMU de acuerdo con las mejores prácticas.

Recursos adicionales