Diseño de un entorno confinado para diferentes perfiles de usuarios en ambientes empresariales y académicos utilizando sandbox y virtualización

Abstract

En este documento se muestra el diseño de un prototipo de Seguridad creado a partir de las necesidades identificadas en los ambientes de desarrollo de software empresariales y académicos. Para diseñar el prototipo se utiliza el concepto de defensa en profundidad o seguridad por niveles y también se utilizan diferentes herramientas disponibles en el mercado de tipo freeware. Primero se realizó investigación de las herramientas que podrían adaptarse al modelo que se planteó, y entre estas se analizó y se eligieron las que eran las mejores opciones y las que ofrecían mejores aportes de seguridad al prototipo. Entre las herramientas seleccionadas están Linux-Vserver y util-Vserver, que fueron utilizadas para aprovechar las características de aislamiento y administración de recursos hardware que ofrece la Virtualización, y también la herramienta SCPOnly que fue utilizada para obtener un segundo nivel de aislamiento, creando un espacio confinado en disco, al cual solo se permite acceso a las personas que lo requieran, y lo cual debería ser validado por el administrador del sistema. En las secciones del documento se muestra como se realizó la elección de herramientas, el proceso de diseño del prototipo, la Implementación del diseño planteado, las pruebas realizadas y el producto final. Por último se advierte que el prototipo creado en este proyecto puede ser optimizado, añadiéndole mejoras en los objetivos de seguridad aquí trabajados, y en los objetivos de seguridad que no se tuvieron en cuenta en el prototipo, para así obtener una maduración de este y hacer que sea más robusto.

In this paper the design of a security prototype that was created from the identified needs in business and academic software development environments is shown. The defense in depth or layered security concept is used for the prototype design and different freeware tools also were used. First, an investigation was conducted in search of tools that could be adapted to the proposed model, and among these were analyzed and were chosen which were the best options and offered best security contributions to the prototype. Among the selected tools are Linux-Vserver and Util-Vserver, that were used to take advantage of isolation and hardware resource management features offered by virtualization, and also the SCPOnly tool that was used to obtain a second isolation level, creating a confined disk space, in which access is permitted only to people to need it, and which should be validated by the system administrator. In the paper sections is shown how the tools choice is done, the prototype design process, the implementation of proposed prototype, the performed tests, and the final product. Finally, it´s advised that the prototype created in this project can be optimized, by adding improves to the security objectives worked here, and also to the security objectives which were not taken into consideration for the prototype, in order to obtain a maturation of this and make it more robust.