Eccoci ancora una volta, la presentazione che segue è stata fatta per un evento V-Valley con Dell, Intel ed APC by Schneider Electric. Si sono tenute diverse date, io ero presente a quelle di Roma e Milano.
Questa Volta si il tema è introduttivo alla security, per descrivere alcune delle aree di interesse legate al Datacenter.
Quando si parla di Datacenter le prime cose che vengono solitamente in mente sono i “server” , NAS\SAS e gli Switch di fascia alta. In realtà le tematiche legate al datacenter coprono una ben più vasta area, e molte sono legate intrinsecamente alle problematiche di sicurezza.
Non pensiamo alla sicurezza come un generico “antivirus” o “firewall”. Quando parliamo di sicurezza intendiamo quell’insieme di architetture, tecnologie, prodotti e processi che servono a far si che i dati siano conservati in maniera, trasmessi e analizzati in modo che non vi siano alterazioni, compromissioni, interruzioni o ingerenze di terzi non autorizzati.
In altre parole i dati che si usano devono poter essere storati e conservati, vi deve poter accedere solo e solamente chi ne ha il diritto, devono poter essere trasportati in maniera che gli stessi non siano copiati o modificati durante il trasporto, e che chi li riceve e chi li invia siano effettivamente le persone autorizzate ad effettuare tale transazione.
La accessibilità , la non compromissione sono temi comuni del datacenter, anche se solitamente non vengono percepiti come termini di sicurezza.
Qualunque sia la dimensione del vostro datacenter, dal più piccolo al più grande, dal fisico al virtuale, alcune problematiche di sicurezza le devrete affrontare in ogni caso.
Ogni singola componente va soggetta a problematiche inerenti la sicurezza, dalla infrastruttura allo storage, alla connettività e potenza di calcolo. Tutto richiede un approccio che tenga presente anche la sicurezza.
Sicurezza che può essere innanzi tutto suddivisa in sicurezza fosica e logica, dove per sicurezza fisica si intende anche la parte di gestione HW mentre quella logica attiene tipicamente al SW.
Facendo questa prima semplice divisione quindi risulta evidente come vi siano questioni di sicurezza da affrontare a tutti i livelli.
Sicurezza Fisica
Iniziando dalla sicurezza fisica ad esempio risulta immediato dover fare considerazioni in merito alla struttura costruttiva del Datacenter stesso.
Il disegno di un Datacenter richiede valutazioni di diverso tipo, dai calcoli sul carico statico che può sostenere il pavimento flottante alla analisi dell’assorbimento della potenza elettrica dei singoli Rack. sapere quante unità possono essere inserite in un rack non è un elemento secondario, se abbiamo grossi numeri da considerare. I calcoli sulla potenza assorbita sono importanti per evitare interruzioni elettriche o maggiori sollecitazioni sigli sbalzi delle tensioni che possono essere particolarmente perniciosi anche nei datacenter più piccoli.
Analogamente i calcoli sul raffeeddamento richiedono un approccio senziente e non estemporaneo, Non si tratta solamente di un discorso di risparmio economico, anche se di solito la bolletta della elettricità è in carico agli affari generali e non direttamente all’IT (a meno che non si sia provveduto ad una analisi contabile con costi di trasferimento e relative metriche di misurazione). Ma un eccessivo riscaldamento anche localizzato può interferire pesantemente anche con le prestazioni, in caso di surriscaldamento prima dello spegnimento spesso si è in presenza di un semplice degradamento delle prestazioni, con abbassamento dei valori di esercizio, ad esempio, delle CPU.
Ne consegue che agire in maniera corretta sui flussi dell’aria e del raffreddamento consente non solo un risparmio in termini di consumo ma anche in termini di maggiore efficienza dell’HW su cui facciamo affidamento sia in termini di performance che di durata.
Sempre relativo al discorso fisico possiamo inserire anche le problematiche di gestione del monitoraggio degli accessi fisici al datacenter, Telecamere, sistemi di accesso tramite controlli fisici (Badge, Key, o semplice chiave?) hanno senso solo se integrati in un discorso più ampio che preveda processi di gestione e controllo dei dati di accesso (anche per essere allineati ai termini di legge).
- Disaster recovery e Backup
E come non considerare termini di sicurezza anche le problematiche di disaster recovery e backup? Entrambe le tecnologie nascono per dare una risposta a problemi di sicurezza riguardanti la affidabilità e continuità del servizio. Anche se solitamente si trascurano alcune componenti legate alla sicurezza logica.
Sicurezza logica
Quando poi ci spostiamo dalla struttura del detcenter intesa come elementi costruttivi e ci muoviamo su casa il datacenter deve fare entriamo nella area tipica della sicurezza logica.
Anche in questo caso sono possibili molteplici divisioni, tutte abbastanza arbitrarie, ma che, come vedremo, presentano tutte caratteristiche abbastanza simili in termini di bisogni di sicurezza.
Se vogliamo fare una prima divisione abbastanza arbitraria, ma utile alla comprensione possiamo usare lo schema che propongo nella immagine precedente e fare una divisione “funzionale”. In questa ottica ha senso iniziare con il primo gradino, i “Server”.
I Server
Innanzi tutto intendiamoci, per server intendo non i pezzi di ferro composti da componenti elettroniche, ma le controparti software, i sistemi operativi.
Apparentemente ogni sistema operativo ha esigenze di sicurezza specifiche, in realtà le esigenze sono generali e comuni, e poi vengono risolte da tecnologie o prodotti specifici.
Non Importa se “fisici” o “virtuali” se microsoft o unix, tutti i sistemi necessitano sicuramente di un occhio dedicato ad esigenze di Hardening, Patching, Antivirus, Antimalware, Encryption, Gestione delle strutture degli account (Active Directory, LDAP, Radius e via dicendo), gestione delle componenti di networking e gestione delle risorse offerte.
Si pensi alle esigenze legate alla protezione dei file, ad esempio, con la possibile ed auspicabile introduzione di servizi che vadano oltre la consueta introduzione di un antivirus, ma che si estendano ad antimalware ed encryption.
Per essere chiari, per antivirus intendo le classiche tecnologie che cercano all’interno di un file stringhe (sequenze) di bit che contengano software potenzialmente dannoso, mentre per antimalware si intende, più genericamente, la analisi delle transazioni che possono portare danni anche se vengono usati metodi “apparentemente” legittimi. L’Antivirus è quinid una tecnologia di analisi “statica” che controlla gli oggetti, l’antimalware al contrario è una tecnologia “dinamica” che entra nel merito dei comandi e scambi di dati.
Molte di queste aree sono comuni a qualsiasi ambito di un Datacenter e vanno affrontate seriamente ed in maniera, possibilmente, coerente: è inutile investire moltissimo su componenti fisiche se poi i blocchi vengono da problematiche software, e viceversa.
Le Applicazioni
Se ci spostiamo di livello e vediamo il mondo delle applicazioni non cambia molto rispetto ai server. Non me ne vogliano i puristi dell’informatica, a livello di semplificazione quando parlo di applicazione parlo genericamente di un programma che viene fatto girare da un sistemas operativo. Lo so che molti di questi “programmi” sono in realtà dei veri e propri server, Mail, Database servers sono i più comuni oggetti in questo senso. Ma se li consideriamo semplici programmi ci accorgiamo che in realtà condividono comunque la stessa natura di problemi che abbiamo visto per i server.
Problematiche comuni si accompagnano poi spesso ad esigenze specifiche inerenti il software che si considera, tipo l’encryption dei dati o specifici moduli di Antivirus e\o antimalware.
La casistica è amplia, si va dagli antivirus per exchange o i mail server in generale, al application security richiesta per proteggere i nostri web server.
Tutte problematiche in realtà presenti anche nel mondo precedente (si pensi alla esigenza, ad esempio, di criptare i dischi o i dati nel cloud per mitigare i problemi legati ad accessi e copie non autorizzate). Ma qui possiamo aggiungere anche esigenze di controllo del flusso delle comunicazioni attraverso tecnologie di DLP, ad esempio.
Network Security
Ovviamente non si può pensare alla sicurezza in un datacenter senza prendere in considerazione la sicurezza della rete, che è il media su cui transitano i nostri dati. La network security è piena di componenti propri che si integrano con tutto quanto descritto prima, con cui condividono alcune esigenze tipo l’Hardening ed il Patching. Pensare di costruire un Datacenter senza mettere in conto le relative componenti di network security è, oggi come oggi, una follia (oltre che una aperta violazione al dettato di legge).
Accessi ed IAM
Se Aumentiamo ulteriormente il livello di astrazione non possimo non incontrare problematiche legate alla gestione del ciclo di vita degli utenti.
Gli utenti vengono creati, poi accedono a risorse di diverso tipo, nel tempo possono cambiare le esigenze di accesso, e poi se ne vanno e quindi devono essere eliminati.
Il numero di dati legati a queste attività è enorme, ed i processi di gestione sono spesso complicati, col risultato che l’errore, sempre presente, si moltiplica. E cosi accessi non coerenti, utenze non cancellate ed ancora attive sono un tipico buco di sicurezza. E si pensi poi alla gestione delle password sulle varie applicazioni, il SSO, single sign on ha senso solo se accompagnato da metodi di strong authentication quali le classiche chiavette in versione fisica o, magari, software in una app sul telefonino (possibilmente gestito… he he he).
l’Identity ed access management, come la gestione di meccanismi di strong authentication sono importanti anche perchè sono legati anche alle esigenze di monitoraggio fisico del datacenter, dagli accessi ai locali alla manutenzione diretta sulle macchine.
Ad essere sinceri, dato il periodo storico in cui viviamo, mi rimane ancora abbastanza incomprensibile come in una qualsiasi azienda gli accessi siano ancora legati adun sistema obsoleto come la coppia username e password, considerando che le notizie e la letteratura riportano ampiamente come un tale sistema sia esposto a rischi di sicurezza piuttosto evidenti.
I protocolli
Ed ancora parlando di datacenter come non considerare le esigenze di gestione dei protocolli, chi non usa DHCP o DNS alzi la mano. Pensare di lasciare scoperta in termini di sicurezza e di gestione questa area è abbastanza discutibile int ermini di sicurezza, e cercare di ovviare con un paio di decine di migliaia di regole sui firewall non è propriamente una scelta illuminata.
In ogni caso quale che sia la differnziazione che voi date risulta evidente come le diverse aree specifiche afferenti alla sicurezza logica presentino aree comuni e ricorrenti, ne siano esempio Patching e ‘Hardening dei sistemi prente in tutte le voci.
Patching
Una delle attiività piu comuni, e spesso poco considerate, all’interno di un datacenter sono quelle di aggiornamento dei sistemi. Per aggiornamento si intende non la sostituzione integrale si un software, ma la sua correzione, tale aggiornamento si definisce Patching.
Fare patching significa quindi apportare quelle differenze di configurazione o di codice che servono a bloccare possibili vulnerabilità o già in essere o recentissime e\o potenziali, tipicamente definite come «0» day.
- Cosa è soggetto al Patching
Tutto ciò che è soggetto a configurazione e basato su software\firmware:
- Sistemi operativi server (Linux, Microsoft Windows, Unix, Android, iOS, MacOS…)
- Sistemi operativi Appliances \ Apparati networking
- Applicazioni (Database SQL , Web Server, CRM, Mail, Videoconferenza…)
- Piattaforme di virtualizzazione (Vmware, HyperV, Virtualbox…)
- Driver, middleware e componenti gestiti
- …
Non esiste area ove non sia, di tanto in tanto, doveroso installare un qualche aggiornamento. E questa attività è, oggigiorno, ancora più importante se pensiamo alla sviluppo delle problematiche di sicurezza legate a nuovi pericoli scoperti quotidianamente.
le ragioni per fare patching sono, quindi, amplie:
- Vulnerabilità Critiche e minori
- Compatibilità Sw\Hw
- Aggiunta nuovi servizi
- Correzione Bug
- …
Ovviamente queste esigenze vanno mediate da una serie di considerazioni ed inserite in un contesto operativo in cui vengono definiti processi, tecnologie e prodotti a supporto.
Il Patching infatti è solo apparentemente una attività banale.
Il ciclo del Patching
Le considerazioni che si devono fare quando si introduce una modifica ad un sistema in produzione sono molteplici, in prima istanza vi sono almeno 4 domande che ci dobbiamo porre.
1) devo fare patch?
l’aggiornamento in questione serve effettivamente ai miei sistemi, un discorso che va affrontato anche in termini di indicazioni del produttore, talvolta talune patch non sono “utili” all’utilizzatore, ma sono propedeutiche a successivi aggiornamenti da parte del vendor. Esiste quindi una casisticha che va valutata di volta in volta.
2) posso fare la patch?
i sistemi non sono mai isolati ma interagiscono uno con l’altro, occorre quindi capire quali siano le conseguenze di introduzione di una patch anche sui sistemi correlati o connessi. Un protocollo o delle API modificate potrebbero bloccare software chiave, il parching va visto, quindi, come una attività con forti esigenze di correlazione.
3) posso fare test?
Fare testing non è una attività aleatoria, ma occorre che sia fatta in maniera coerente ai sistemi in produzione. valutare se sia possibile fare test, o disegnare il sistema perchè preveda fasi di testing, è imperativo in una struttura di rete moderna.
4) posso mettere in produzione?
Chiaramente lo scopo finale è mettere i produzione la patch su tutti i sistemi target, che vanno da specifici servizi o software, a molteplici nodi\client. La modalità di messa in produzione dovrebbe essere ogetto di procedure specifiche.
… e siccome la attività di patching è ciclica, occorre sempre tornare, come nel monopoli, al punto di partenza.
Ogni singola domanda poi può essere esplosa in un processo articolato come da immagine sotto:
le varie considerazioni vanno dalla scelta se mettere o non mettere una patch, all’effettuare attività “alternative” quali workaround o virtual patching con prodotti specifici come, ad esempio, i moduli di virtual patching di Trend Micro presenti in OfficeScan e Deep Security.
Per chiarire ulteriormente il concetto si pensi, ad esempio, alle problematiche derivanti dalla fine del supporto per WindowsXP e per il prossimo anno, delle piattaforme windows server a partire dalla 2008.
L’assenza di patch di sicurezza è sicuramente un problema pesante in termini di security. Ed il fatto che molti HW nuovi non supportano più queste piattaforme obsolete rende il tutto più complesso, una transizione al virtuale con l’applicazione di sistemi di virtual patching risulta una scelta coerente in attesa della sostituzione.
cose da ricordare:
Sempre prudente testare le patch prima di metterle in produzione per evitare spiacevoli problematiche legate a imprevedibili ed impreviste incompatibilitÃ
In ambienti virtuali conviene fare snapshot delle macchine da aggiornare prima e dopo la applicazione della patch
- Faccio snapshot
- Faccio aggiornamento
- Incrocio le dita
- Se tutto va faccio nuovo snapshot altrimenti tiro su l’ultima copia salvata
In ambienti fisici faccio la stessa cosa, meglio se ho software per bare metal backup o simili
Per appliances o apparati di networking è prudente isolare l’apparato onde evitare ripercussioni su tutta la rete in caso di problemi.
Con virtualpatching si intende la introduzione di software terzo che sia in grado di «chiudere» le eventuali falle prodotte dalla mancanza dell’aggiornamento.
Il virtualpatching consente di applicare patch virtuali sia in ambienti «fisici» che virtuali, e può essere di tipo agent based o agentless
Il virtualpatching non è alternativo al patching ma può essere una valida soluzione in caso di mancanza di patch da parte del vendor (ex: windows XP e Windows 2000)
Il virtualpatching copre le necessità di sicurezza, non quelle di compatibilitÃ
Il Virtual Patching può essere usato come tecnologia di supporto al patching per coprire vulnerabilità complesse dipendenti da componenti OS\SW
Hardening
Discorso analogo a quello del patching va fatto per l’Hardening.
Hardening è una parola che, talvolta, viene associata all’Hardware, ma in realtà potrebbe essere ben tradotta con un “rendere estremamente sicuro” “rendere difficile da violare”.
Fare hardening significa operare sui parametri di configurazione di un sistema per «chiudere» tutti i servizi non indispensabili al task assegnato per diminuire la superfice di attacco.
Analogamente al pathcing virtualmente tutto è soggetto all’Hardening:
- Su cosa si deve fare Hardening?
Tutto ciò che è configurabile è soggetto ad hardening
- Sistemi operativi server (Linux, Microsoft Windows, Unix, Android, iOS, MacOS…)
- Sistemi operativi Appliances\Apparati networking
- Applicazioni (Database SQL , Web Server, CRM, Mail, Videoconferenza…)
- Piattaforme di virtualizzazione (Vmware, HyperV, Virtualbox…)
- Driver, middleware e componenti gestiti
- …
Essendo l’Hardening una attività di configurazione risulta evidente che è una operazione che va fatta per consentire l’ottimale funzionamento di una piattaforma. L’Hardening ha ricadute in termini prestazionali e di sicurezza ma richiede un gran lavoro in termini di tempo e competenze necessarie.
- Cosa significa fare hardening:
–Consentire a sistemi operativi, software e servizi di effettuare solo le operazioni previste
–Chiudere tutti i servizi non essenziali al funzionamento
–Assicurarsi che le corrette procedure di accesso siano effettuate da parte di utenti, applicazioni e servizi sulle risorse critiche
–Limitare o monitorare attività di applicazioni e servizi non essenziali allo svolgimento delle funzioni richieste
Per fare hardening di un sistema occorre procedere in maniera metodica ed approfondita analizzando:
- Tutte le funzionalità del sistema operativo in oggetto determinando
–Quali servizi siano indispensabili e quali no
–Dei servizi indispensabili quali caratteristiche siano consentite e quali si voglia bloccare
–Quali siano i parametri di configurazione da modificare
–Quale sia la catena degli oggetti chiamati dal servizio\applicazione
–…
- Tutte le applicazioni che girano sul sistema operativo in oggetto
–Vanno monitorate le applicazioni proprietarie, quelle installate e quelle legacy
–Per ogni applicazione occorre definire se ne è consentita l’esecuzione o no
–Per ogni applicazione di cui è consentita l’esecuzione occorre definire l’elenco delle caratteristiche consentite e non, l’ambito e l’ambiente di esecuzione
–Occorre modificare i parametri di configurazione delle singole applicazioni per ottenere i risultati richiesti.
–…
L’attività può essere particolarmente pesante in quanto vanno controllati tutti gli eseguibili ma diventa indispensabile se consideriamo l’enorme numero di vulnerabilità scoperte ogni giorno. Un monitoraggio costante e l’utilizzo di prodotti pensati specificamente per questo compito, come Datacenter Security di Symantec, sono in questo senso dei complementi indispensabili. Si pensi ancora una volta alla esigenza di proteggere piattaforme obsolete quali WindowsXP o Windows Server 2008 dove la necessità di fare Hardening cresce esponenzialmente visto che non vi sono più aggiornamenti predisposti da Microsoft.
Per chiarire l’estensione del problema si pensi al numero di eseguibili presenti in una installazione standard (exe, bat, dll e via dicendo), si parla mi migliaia di files da controllare.
- Fare Hardening è difficile perché:
–Richiede conoscenze approfondite dell’ambiente software\applicativo
–Richiede una conoscenza approfondita di tutte le inerenze fra i vari componenti
–Richiede un controllo estremamente puntuale di tutto il parco software installato, gli accessi e le utenze
–Non tutte le configurazioni sono raggiungibili tramite una GUI o da comandi via CLI
–A volte la scrittura di codice è necessaria
–…
Ma…
–
–Esistono sul mercato piattaforme software che servono per venirci in contro nella attività di hardening sia dal lato monitoring che dal lato discovery.
Esistono anche software dedicati all’Hardening di sistemi operativi ed applicazioni in grado di effettuare la maggior parte dei task richiesti, quali discovery del software, parametrizzazione e securizzazione….
Come si vede, quindi, il Datacenter presenta molteplici esigenze di sicurezza da affrontare e indirizzare attraverso una corretta pianificazone e progettazione e l’uso di prodotti specifici atti ad indirizzare esigenze quali Hardening e Patching ad esempio spesso trascurate.
Grazie della attenzione ed ancora una volta vi invito a visitare il sito di V-Valley per tenervi aggiornati sulle prossime novità .
