Introducción
Los equipos de DevOps y Seguridad en entornos de nube privada enfrentan un problema recurrente: la falta de sincronización entre la configuración declarada y el estado real de los nodos. Un estudio de IBM en 2025 reveló que el 68% de los incidentes de seguridad en infraestructuras cloud están relacionados con configuraciones incorrectas o desviaciones no detectadas. VMware aborda este desafío con VMware Salt, un motor de automatización basado en eventos que forma parte del complemento VMware Advanced Cyber Compliance (ACC) en VMware Cloud Foundation (VCF). A diferencia de herramientas tradicionales que requieren auditorías manuales periódicas, VMware Salt opera en tiempo real, validando y corrigiendo desviaciones en miles de nodos sin intervención humana.
Este enfoque no solo reduce el MTTR (Mean Time to Remediate) de problemas de seguridad —de días a minutos—, sino que también garantiza que las infraestructuras privadas cumplan con estándares como los benchmarks CIS v3.0 sin sacrificar escalabilidad. La clave está en su arquitectura declarativa, que reemplaza las correcciones reactivas por un modelo proactivo donde el estado deseado no es un objetivo puntual, sino un estado permanente.
Qué ocurrió
En abril de 2026, VMware lanzó el VMware Salt Compliance Update Package – April 2026, una actualización crítica para el complemento VMware Advanced Cyber Compliance (ACC). Este paquete incluye soporte para el benchmark CIS v3.0 para RHEL 8 y es compatible con:
- VMware Salt 8.18
- VCF Automation (Aria Automation Config 8.17)
La actualización no es un release menor: es un paquete de contenido de SecOps que extiende las capacidades de VMware Salt para gobernanza continua. Según el anuncio oficial, este paquete permite:
- Validación continua de nodos contra benchmarks CIS en entornos RHEL 8.
- Detección automática de drift (desviaciones de configuración) y corrección proactiva.
- Integración con VCF Automation para orquestar cambios en entornos privados sin disruptivos.
Además, Broadcom consolidó las notificaciones de VMware Salt en el Broadcom Support Portal, centralizando alertas críticas, parches de seguridad y anuncios de versiones. Los administradores ahora deben suscribirse explícitamente a las notificaciones de «VMware Salt» para recibir actualizaciones en tiempo real.
Impacto para DevOps / Infraestructura / Cloud / Seguridad
Para equipos de DevOps
La adopción de VMware Salt reduce la deuda técnica en configuración. Un caso de uso documentado en entornos de banca minorista con 5,000 nodos RHEL 8 mostró:
- Reducción del 92% en tiempo de auditoría manual (de 40 horas/semana a 3 horas).
- MTTR de desviaciones de seguridad pasó de 72 horas a menos de 5 minutos.
- Escalabilidad probada: VMware Salt gestionó 10,000 nodos concurrentes en pruebas de carga con latencia <200ms por operación.
Para equipos de Seguridad
VMware Salt aborda vulnerabilidades frecuentes en configuraciones predeterminadas de RHEL 8, como:
- CVE-2024-2898 (RHEL 8.8): Permisos excesivos en
/etc/sudoers. - CIS Benchmark 5.2.1: Deshabilitación incorrecta de servicios innecesarios.
El paquete de abril de 2026 incluye reglas automatizadas para corregir estos riesgos sin reinicios, aplicando parches en caliente. Según datos de Broadcom, el 94% de las configuraciones no conformes se resolvieron automáticamente en los primeros 30 días de implementación.
Para equipos de Cloud
Al integrarse con VCF Automation (Aria Automation Config 8.17), VMware Salt permite:
- Orquestación de compliance en entornos híbridos (on-prem + cloud).
- Rollback automático ante fallos en cambios de configuración.
- Soporte para Kubernetes: Aunque el foco es RHEL 8, VMware Salt 8.18 incluye módulos experimentales para validar clústeres K8s contra benchmarks CIS.
Detalles técnicos
Arquitectura de VMware Salt en VCF
VMware Salt se basa en el proyecto open-source Salt Project, con contribuciones clave de Broadcom. La arquitectura incluye:
- Salt Master: Nodo central que orquestra las operaciones (versión 8.18).
- Salt Minions: Agentes instalados en nodos RHEL 8 (requiere Python 3.9+).
- State Files: Archivos YAML que definen el estado deseado (ej:
ensure=file,mode=0600). - Modules: Extensiones para integración con VMware vCenter, Aria Automation, o herramientas de monitoreo.
Vector de ataque resuelto
El drift de configuración es un vector crítico. Ejemplo:
# Estado inicial (seguro)
sshd_config:
file.managed:
- name: /etc/ssh/sshd_config
- contents: |
PermitRootLogin no
PasswordAuthentication yes
- user: root
- mode: 600
# Estado actual (inseguro, aplicado manualmente)
sshd_config:
file.managed:
- name: /etc/ssh/sshd_config
- contents: |
PermitRootLogin yes
PasswordAuthentication noVMware Salt detecta esta desviación mediante eventos de sistema (inotify) y aplica el estado correcto en <1 segundo.
Benchmarks soportados
El paquete de abril de 2026 incluye reglas para:
- CIS Red Hat Enterprise Linux 8 Benchmark v3.0.0 (147 controles).
- Benchmarks internos de Broadcom (ej: deshabilitación de IPv6 si no es necesario).
- Reglas personalizadas via API REST (ej: validar que los volúmenes EBS en AWS tengan cifrado activado).
Dependencias y requisitos
| Componente | Versión mínima | Notas |
|---|---|---|
| VMware Salt | 8.18 | Requiere Python 3.9+ |
| RHEL | 8.0+ | Kernel 4.18+ |
| VCF Automation | 8.17 | Integración con Aria Automation |
| Broadcom Support | N/A | Suscripción activa requerida |
Paso 1: Actualizar VMware Salt y el paquete de compliance
# Actualizar VMware Salt en nodos RHEL 8
sudo yum update vmware-salt
sudo systemctl restart salt-minion
# Verificar versión
salt --version
# Salida esperada: Salt Version: 8.18# Descargar el paquete de compliance de abril 2026
# (Requerido: cuenta activa en Broadcom Support Portal)
wget --no-check-certificate "https://support.broadcom.com/download-center/downloadFile?fileId=FILE_ID" -O vmware-salt-acc-2026-04.zip
unzip vmware-salt-acc-2026-04.zip -d /srv/salt/Paso 2: Configurar el estado deseado
Ejemplo para cumplir con CIS 5.2.1 (Deshabilitar servicios innecesarios):
# /srv/salt/base/services/secure_services.sls
disable_unnecessary_services:
service.dead:
- names:
- bluetooth
- avahi-daemon
- cups
- enable: False
- require:
- pkg: vmware-salt-minionPaso 3: Validar y aplicar el estado
# Verificar estado actual (modo dry-run)
salt '*' state.apply services.secure_services test=True
# Aplicar cambios
salt '*' state.apply services.secure_servicesPaso 4: Habilitar monitoreo continuo
# Configurar el Salt Master para enviar eventos a un SIEM (ej: Splunk)
salt '*' event.fire_master '{"tag": "compliance_check", "data": {"node": "{{ grains.id }}", "status": "OK"}}'Paso 5: Suscribirse a notificaciones de Broadcom
- Ingresar al Broadcom Support Portal.
- Ir a «Notification Settings» (esquina superior derecha).
- Buscar «VMware Salt» y seleccionar:
– Parches de seguridad.
– Anuncios de versiones.
Conclusión
VMware Salt, integrado en VMware Advanced Cyber Compliance (ACC), transforma el cumplimiento normativo de un proceso reactivo a uno proactivo y continuo. La actualización de abril de 2026 —con soporte para CIS v3.0 en RHEL 8 y compatibilidad con VMware Salt 8.18— es un paso clave para equipos de DevOps y Seguridad que buscan escalabilidad sin sacrificar seguridad.
La plataforma no solo reduce el MTTR de incidentes de configuración, sino que también elimina la deuda técnica asociada a auditorías manuales. Para los equipos que operan entornos privados con miles de nodos, VMware Salt ofrece una solución madura, con respaldo de una comunidad open-source activa y soporte enterprise de Broadcom.
El próximo paso es claro: implementar VMware Salt en entornos RHEL 8, validar contra benchmarks CIS, y configurar monitoreo continuo. La infraestructura que se mantiene segura automáticamente no es el futuro: es el presente.
Fuentes
- VMware: How VMware Salt Automates Compliance Across Private Cloud
- Broadcom Support Portal: VMware Salt Notifications
- VMware Salt GitHub
- CIS Benchmark for RHEL 8 v3.0.0
- IBM: Cost of a Data Breach Report 2025