Además de seguir las mejores prácticas de seguridad de VMware, ¿existen otras tecnologías de seguridad recomendadas que tengan como objetivo la seguridad y el cumplimiento en entornos virtuales? Vormetric viene a la mente, pero ¿existen otras soluciones de terceros recomendadas?
La "mejor práctica de seguridad" depende de muchos factores, ya que su entorno de control (por ejemplo, atención médica, sistemas de pago, etc.) tendrá diferentes regulaciones y estándares que deben seguirse. (por ejemplo, HIPAA, PCI-DSS, etc.)
Además de seguir las mejores prácticas de seguridad de VMware
Supongo que te refieres a las guías de fortalecimiento disponibles aquí: enlace
Si ese es el caso, estos son principalmente controles técnicos, muy buenos controles para implementar si es posible, y no cubren muchos de los controles descritos en algo como ISO 27001/2 o COBIT. Una vez más, la distancia y profundidad con las que debe ir con la seguridad y el cumplimiento depende de su entorno de control.
hay otras tecnologías de seguridad recomendadas que están dirigidas ¿En seguridad y cumplimiento en entornos virtuales?
VMware ofrece algunos verificadores de cumplimiento gratuitos para cosas como la Guía de refuerzo (mencionada anteriormente), DISA y HIPAA. Recomiendo estos para comenzar. Existe una herramienta de comprobación de PCI, pero está un poco desactualizada:
Para reducir lo que es mejor para su entorno de control, sugeriría buscar documentos técnicos en su industria. Hice una búsqueda rápida de "vmware security partners" y vi que Symantec tiene una oferta para ayudar con la seguridad y el cumplimiento: Control Compliance Suite - enlace
Para mejoras de seguridad específicas, hay productos como McAfee MOVE que mueve la carga de análisis antivirus al hipervisor en lugar de a la máquina virtual.
También tenga en cuenta que lo que puede hacer con VMware y las ofertas de terceros también depende del tipo de licencia que tenga, si no está utilizando Enterprise, por ejemplo, puede haber algunos "errores" en el camino. Por ejemplo, si necesita un conmutador distribuido, que se requiere para algo como NSX, entonces debe tener una licencia de empresa. El Symantec Control Compliance Suite que mencioné anteriormente también requiere una licencia de VMware Enterprise.
No creo que encuentre una solución que abarque todo, pero una buena estrategia sería comprender su entorno de control y amenazas, realizar una evaluación de brechas, analizar la cantidad de esfuerzo necesario para remediarlo (es decir, mitigar, aceptar, transferir el riesgos) las brechas, y luego vea si existe una solución de terceros que pueda ayudarlo a ahorrar tiempo y dinero al remediar los riesgos que deben mitigarse.
Lea otras preguntas en las etiquetas virtualization compliance