La Caída de CrowdStrike pone de Manifiesto las Vulnerabilidades de la IT Tradicional
El 19 de julio de 2024, una importante falla de IT causada por una actualización defectuosa de CrowdStrike llevó a cortes generalizados que afectaron a unos 8.5 millones de sistemas basados en Windows por todo el mundo. El error de actualización provocó un colapso del sistema conocido coloquialmente como el “Pantallazo Azul de la Muerte” (BSOD). El impacto fue grave. Numerosos sectores, como el aéreo, el sanitario y el financiero, sufrieron importantes retrasos e interrupciones de la actividad. Las consecuencias de este incidente ponen de manifiesto la vulnerabilidad de las configuraciones tradicionales de IT y la necesidad de soluciones más resilientes.
Fuente de la Imagen: https://www.usatoday.com/
En este artículo, analizamos cómo las soluciones de Infraestructura de Escritorio Virtual (VDI), como Sangfor VDI, atenúan el impacto de estas interrupciones. Con VDI, las empresas logran una recuperación rápida, garantizando un rápido retorno a la operación normal en cuestión de minutos en lugar de horas.
En primer lugar, repasemos la causa raíz del problema de CrowdStrike para entender cómo la VDI brinda un enfoque más resistente a la continuidad de la actividad de la empresa y la recuperación ante desastres.
Causa Principal del Fallo de CrowdStrike
La reciente caída de CrowdStrike fue causada por una actualización defectuosa del software Falcon Sensor. Específicamente, se trataba de un error lógico en la actualización del Archivo 291 del Canal, que forma parte de los mecanismos de protección del comportamiento de la plataforma Falcon. Este archivo controla la forma en que el sensor evalúa la ejecución de canalizaciones con nombre en sistemas Windows para detectar actividades maliciosas.
El Sensor Falcon funciona a nivel del kernel, y utiliza un controlador de arranque, lo que significa que necesita cargarse para iniciar el sistema operativo. Como resultado, la actualización defectuosa llevó a un fallo del sistema, en vez de a un fallo de la aplicación, causando la BSOD e impidiendo que los sistemas iniciaran.
Cómo Sangfor VDI Habría Mitigado el Fallo
1. Copias de Seguridad y Recuperación
Cuando ocurre un error en el sistema, una solución habitual es recuperarlo desde una copia de seguridad. Sin embargo, este método suele ser poco práctico con las PC tradicionales por varias limitaciones:
- Consumo de Tiempo y Falta de Disponibilidad del Sistema: El mayor inconveniente de las PC es la necesidad de crear manualmente clones del disco del sistema. Este proceso puede llevar de 10 minutos a varias horas, durante las cuales el sistema queda apagado. Como resultado, pocos usuarios realizan estos backups de forma proactiva.
- Problemas de Almacenamiento Externo: Las soluciones de almacenamiento externo requieren equipamiento adicional. El uso de NAS para los backups puede consumir una cantidad significativa de ancho de banda interna, causando potencialmente congestión en la red.
- Limitaciones del Backup en la Nube: Las copias de seguridad en la nube pueden ayudar, pero generalmente soportan backups de archivos y datos en lugar de copias completas del sistema, y por lo tanto, no es útil para las fallas del sistema.
- Reinicio del Sistema: A menudo es necesario reiniciar el sistema en un entorno de recuperación para restaurar el OS desde un backup. Sin embargo, en el incidente de CrowdStrike, esto fue un problema, ya que el sistema entraba en el pantallazo azul al iniciar.
Así es cómo Sangfor VDI enfrenta estas limitaciones:
- Copia de Seguridad y Snapshot Programados: Sangfor VDI hace automáticamente backups de los escritorios virtuales mediante copias de seguridad programadas de archivos e instantáneas. Las snapshots capturan el estado de un escritorio virtual en un momento específico, asegurando backups rápidos y ligeros con un impacto mínimo en el sistema. Esto permite hacer copias de seguridad más frecuentes y reduce el riesgo de pérdida de datos.
- Separación de los Archivos de Backup: En VDI, los archivos de la copia de seguridad se guardan separados de la máquina virtual (VM) que ejecuta el escritorio. Esto significa que los archivos de backup permanecen seguros y accesibles incluso si la VM encuentra errores críticos, como un pantallazo azul de la muerte.
- Sin Reinicio o Rollback: Sangfor VDI permite a los administradores y usuarios volver a snapshots anteriores sin reiniciar la máquina virtual. Este proceso evita la secuencia de arranque tradicional, lo que sería más eficiente en incidentes como la actualización de CrowdStrike, donde no era posible arrancar la máquina.
- Gestión Centralizada: Los escritorios virtuales en un entorno VDI se gestionan de forma centralizada. Los administradores pueden aplicar actualizaciones, reversiones o configuraciones desde una consola central, eliminando la necesidad de estar físicamente presente en los dispositivos individuales.
Al aprovechar estas capacidades de backup, Sangfor VDI permite a las empresas recuperarse rápidamente de actualizaciones defectuosas inesperadas y otros fallos, restableciendo las operaciones en cuestión de minutos en lugar de horas.
2. Gestión de Perfiles de Usuario
¿Qué pasaría si no todas las computadoras de su organización estuvieran instaladas con la nueva actualización de CrowdStrike? Aunque estos sistemas podrían hacerse cargo de las operaciones de la empresa, es posible que carezcan de los datos y la configuración necesarios para una transición fluida y sin problemas. Preparar estos sistemas y restaurar los datos a partir de backups (por ejemplo: almacenamiento externo o en la nube) puede llevar mucho tiempo y retrasar la recuperación de la empresa. Por no mencionar que podría no haber archivos de backup disponibles.
Sangfor VDI Nuevamente al Rescate
Sangfor VDI aborda los desafíos anteriores con su tecnología de Gestión de Perfiles de Usuario (UPM). Así es como funciona:
- Separación de Datos: La tecnología UPM garantiza que los datos del sistema, las configuraciones del usuario y sus archivos se almacenen separados de la VM que ejecuta el escritorio virtual.
- Asignación Rápida de VMs: En caso de caída del sistema, como en el incidente de CrowdStrike, los administradores pueden asignar rápidamente una nueva VM a los usuarios afectados. El usuario podrá así cargar sus datos de sistema, archivos personales, y configuraciones como si estuviera trabajando en su escritorio virtual original.
- Recuperación Automática de Datos: El proceso es rápido porque la nueva VM recupera automáticamente los datos. Los administradores solo tienen que proporcionar a los usuarios los permisos de acceso y las credenciales.
El enfoque UMP de Sangfor VDI garantiza que las empresas puedan mantener sus operaciones con mínima interrupción, brindando una transición rápida y sin problemas para los usuarios afectados por los fallos o actualizaciones del sistema.
3. Gestión Fuera de Banda
Hasta ahora, hemos aprendido que la VDI permite a los administradores gestionar de forma centralizada y remota los escritorios virtuales. Sin embargo, no todas las soluciones VDI permiten esto como en el caso de la caída de CrowdStrike. Esto depende del protocolo de gestión.
Muchas soluciones VDI utilizan protocolos de gestión en banda, en los que el cliente se conecta directamente a la VM. Esto requiere que la red de VM esté operativa. Si la red de la máquina virtual está caída o no responde, el equipo de IT no puede proporcionar una intervención remota oportuna para dar soporte a la VM. Esta dependencia complica la resolución de problemas como lo sucedido en el incidente CrowdStrike, incluso cuando se utiliza VDI, ya que los protocolos en banda no permitirían el acceso remoto a las VM hasta que se restablezca la red.
Además, los usuarios no pueden ver el proceso de arranque con protocolos en banda. Esto significa que, si la VM tarda en arrancar o no se inicia, los usuarios desconocerán el problema y es posible que tengan que reiniciarla una y otra vez para solucionarlo.
Gestión Fuera de Banda (OOB) de Sangfor VDI
Sangfor VDI usa un protocolo de gestión fuera de banda (OOB), permitiendo al cliente conectarse con el hipervisor en lugar de directamente a la VM. Incluso si la VM experimenta un pantallazo azul u otros problemas de red, el equipo de IT puede acceder remotamente y solucionar los problemas de la VM antes de que reciba una dirección IP.
Esto hubiera sido particularmente ventajoso durante el reciente incidente de CrowdStrike. Los administradores habrían podido acceder a las máquinas virtuales y arreglarlas, aunque su red no funcionara. Esta capacidad es vital para mantener la continuidad del negocio y minimizar el tiempo de inactividad durante fallos críticos del sistema. Además, con los protocolos OOB, los usuarios pueden ver el proceso de arranque estándar. En el caso del fallo de CrowdStrike, verían el BSOD e inmediatamente conocerían el problema.
Lecciones Aprendidas
La reciente caída de CrowdStrike arroja luz sobre las vulnerabilidades inherentes a las configuraciones tradicionales de IT, y la necesidad de contar con soluciones más resilientes. Sangfor VDI ofrece una alternativa sólida. Proporciona funciones de backup y recuperaciones fluidas, gestión flexible de perfiles de usuario y gestión eficiente fuera de banda. Con Sangfor VDI, podrá recuperarse rápidamente de las interrupciones, minimizar el tiempo de inactividad y mantener la continuidad operativa. Invertir en una infraestructura de escritorios virtuales tan avanzada es un movimiento estratégico para proteger su negocio frente a futuros incidentes y mejorar la resistencia general de IT.
Visite la página web de Sangfor VDI para obtener más información o contáctenos si tiene alguna consulta.
