Seguridad en servidores empresariales. Control y análisis de configuraciones de seguridad y de vulnerabilidades

Abstract

La seguridad de los servidores empresariales es de vital importancia para el funcionamiento de las empresas. La no disponibilidad de las aplicaciones alojadas en los servidores puede suponer importantes pérdidas económicas y de prestigio para las empresas. Por este motivo es muy importante para las empresas mantener un elevado nivel de seguridad en sus servidores. El objetivo principal de este trabajo es la definición de los procesos para la validación continua de la seguridad de los servidores, principalmente validando: la correcta configuración de seguridad de los mismos y sus posibles vulnerabilidades por versiones de sistema operativo o aplicaciones instaladas no actualizadas. Este trabajo se realiza en la sucursal española de una empresa multinacional, que tiene definidas a nivel corporativo políticas de seguridad basadas en la ISO27001. Uno de los controles pendientes de implementar hace referencia a la seguridad de los servidores, y se alinea totalmente con los objetivos del trabajo. En la empresa existen unos 100 servidores virtuales, la mayoría de los cuales utilizan como sistema operativo alguna versión de Windows server. Se realizará un estudio de mercado para seleccionar las posibles soluciones a utilizar para el control de vulnerabilidades y configuraciones de seguridad. Se evaluarán soluciones de distribución libre y también comerciales. Una vez seleccionadas las soluciones se ha procedido a probarlas, configurarlas y definir el proceso para el control continuo de la seguridad de los servidores.

Enterprise server's security is critical for enterprise operation. The non-availability of applications hosted on servers can cause significant economic and prestige impact for the companies. For this reason, it is very important for companies to maintain a high level of security in their servers. The main objective of this work is the definition of the processes for the continuous validation of the security of the servers, mainly validating the correct security configuration and their possible vulnerabilities due operating system versions or installed applications not updated. This work is done in the Spanish branch of a multinational company, which has corporate security policies based on ISO27001. One of the pending controls to implement refers to the security of the servers, which is completely aligned with the objectives of this work. There are about 100 virtual servers in the company, most of which use a version of Windows server as their operating system. A market study will be conducted to select the possible solutions to be used for the vulnerability and security configuration control. Open Source and commercial solutions will be evaluated. Once the solutions have been selected, they have been tested, configured and a process has been defined for the continuous control of server security.

La seguretat dels servidors empresarials és de vital importància per al funcionament de les empreses. La no disponibilitat de les aplicacions allotjades en els servidors pot suposar importants pèrdues econòmiques i de prestigi per a les empreses. Per aquest motiu és molt important per a les empreses mantenir un elevat nivell de seguretat en els seus servidors. L'objectiu principal d'aquest treball és la definició dels processos per a la validació contínua de la seguretat dels servidors, principalment validant: la correcta configuració de seguretat dels mateixos i les seves possibles vulnerabilitats per versions de sistema operatiu o aplicacions instal·lades no actualitzades. Aquest treball es realitza en la sucursal espanyola d'una empresa multinacional, que té definides a nivell corporatiu polítiques de seguretat basades en l'ISO27001. Un dels controls pendents d'implementar fa referència a la seguretat dels servidors, i s'alinea totalment amb els objectius del treball. En l'empresa existeixen uns 100 servidors virtuals, la majoria dels quals utilitzen com a sistema operatiu alguna versió de Windows server. Es realitzarà un estudi de mercat per a seleccionar les possibles solucions a utilitzar per al control de vulnerabilitats i configuracions de seguretat. S'avaluaran solucions de distribució lliure i també comercials. Una vegada seleccionades les solucions s'ha procedit a provar-les, configurar-les i definir el procés per al control continu de la seguretat dels servidors.