Bílá kniha – bezpečnostní výhody Puppetu
Bílá kniha ■ Správa ■
maximalizace konfigurací ■ IT bezpečnostní výhody Puppetu■
Bílá kniha – bezpečnostní výhody Puppetu
Obsah Obecný přehled.................................................................................................3 Stanovení standardního provozního prostředí (SOE) a splnění bezpečnostních standardů. ....................................................................................................... 3 Správa hlášení o odchylkách konfigurace..........................................................4 Cyklus odchylek konfigurace............................................................................. 5 Získání znalostí o konfiguracích a zjednodušení správy oprav...........................5 Základy distribuce oprav................................................................................... 6 Důležitost dodržení správy konfigurace............................................................6 Správa konfigurace Puppetu.............................................................................. 7 Závěr................................................................................................................ 7 Vyzkoušejte Puppet Enterprise.......................................................................... 8 Výkon Puppetu vytvořeného pro váš podnik a cloudová prostředí......................8 O Puppet Labs...................................................................................................8
Bílá kniha – bezpečnostní výhody Puppetu
Obecný přehled Nehledě na to, jakým odvětvím se vaše organizace zabývá, zda jde o správu zaměstnaneckých desktopů anebo zavádění virtualizované serverové farmy v cloudu, hraje IT bezpečnost podstatnou roli v plánování a rozhodování o rozpočtech. Navzdory velkým investicím do technologií a kvalifikací zaměstnanců, problém s bezpečností IT stále přetrvává. Týká se organizací širokého spektra odvětví, které se stávají obětmi útoků. Výdaje na bezpečnost odráží stále nákladnější hrozby. eWeek nedávno citoval statistiku Forrester research, která vykazuje růst výdajů na bezpečnost z 8.2% v roce 2007 na 14% v roce 2010 z celkového IT rozpočtu 1. Zatímco samotná bezpečnost zahrnuje široké spektrum technologií a specifické organizační požadavky, bude nejvýhodnější začlenit do praxe bezpečnostní plán pomocí procesu správy konfigurací a technologií. Základ správy konfigurací je stanovení a zachování konzistentního stavu fyzických a softwarových prvků na jakémkoliv zdroji. Pokud jde o IT bezpečnost, správa konfigurací může splňovat mnoho rolí. Je důležitou součástí v následujících prvcích architektury informační bezpečnosti: – – – –
stanovení standardního provozního prostředí (SOE) a splnění IT bezpečnostních standardů hlášení o odchylkách konfigurací, jejich kontrola a nápravy změn podpora požadavků auditu a forenzních analýz pomocí znalostí konfigurací a jejich znalostí poskytovat pomoc s řízením bezpečnostních oprav
Dokument bude zkoumat klíčové bezpečnostní výhody pro správu konfigurace a jak je maximalizovat pomocí Puppetu.
Stanovení standardního provozního prostředí (SOE) a splnění bezpečnostních standardů. Jednou z hlavních rolí, kterými správa konfigurací přispívá k celkové architektuře informační bezpečnosti a politice dodržování předpisů organizace, je stanovení standardního provozního prostředí (SOE). SOE není komplikované, je to “termín, kterým se dříve popisovala standardní implementace operačního systému a s ní spojeného softwaru.2” SOE pomáhá IT infrastrukturním a bezpečnostním týmům stanovit konzistentní a automatizované prostředí, řízené bezpečnostními standardy organizace. Stanovení zvládnutelného počtu SOE napříč různými platformami organizace poskytuje několik klíčových výhod: – – – –
poskytuje klíčový prvek pro úspěšný program řízení zranitelností zkracuje dobu, snižuje náklady na nasazení a správu aplikací nebo počítačů v organizaci urychluje distribuci oprav pomocí snižování odlišných konfigurací a automatizuje jejich nasazení urychluje hlášení o IT bezpečnostních incidentech
Používání nástrojů správy konfigurací a pro podporu SOE v organizaci, jako je Puppet, je důležitým prvkem pro dodržení mnoha bezpečnostních standardů. Dobrým příkladem je průmyslový bezpečnostní standard správy dat pro platební karty (PCI DSS) a požadavek na “program správy 1 Source: eWeek “Security: Security Spending Priorities for 2011 to Include Firewalls, Blocking Tools,” http://www.eweek.com/ 2 Source: Wikipedia “Standard Operating Environment,” http://en.wikipedia.org/wiki/Standard_operating_environment
Bílá kniha – bezpečnostní výhody Puppetu
bezpečnostních zranitelnosti3.” V požadavku 6 tohoto standardu se od organizace vyžaduje, aby “vyvíjela a spravovala bezpečné systémy a aplikace4.” Požadavek zahrnuje řadu bezpečnostních opatření a výslovně se zabývá řízením změn, správou oprav, a posouzením zranitelnosti. Týká se tak všech prvků podporovaných procesem správy konfigurací a údržbou SOE. Dokument PCI DSS není jediným standardem, který vyzývá ke stanovení bezpečného prostředí. Zachování známé konfigurace na počítačích organizace a definice procesů pro řízení jejich změn je nejlepší postup IT bezpečnosti a lze ho nalézt ve většině bezpečnostních předpisů. Je to jedna z věcí, kterou Puppet ovládá prvotřídně. Puppet umožňuje organizaci definovat žádaný stav své infrastruktury a rychlé nasazení na tisících serverech a stolních počítačích. Puppet podporuje řízení změn a umožňuje organizacím, aby definovaly a aktualizovaly požadovaný stav infrastruktury ve formě znovupoužitelných modulů, které mohou předvídatelně udržovat a aktualizovat výpočetní zdroje.
Správa hlášení o odchylkách konfigurace SOE a řízení změn úzce souvisí s hrozbou odchylek v konfiguraci. Jednoduše řečeno, odchylky konfigurace jsou změny, které se objevují v konfiguracích softwaru a hardwaru a nejsou v souladu se standardní konfigurací. V prostředí dnešních datových center a rozsáhlých podnikových prostředí je taková změna nevyhnutelná a samozřejmá, standardně ji lze během provozu zaznamenat. Nebezpečí konfiguračních odchylek tví v tom, že pokud jsou změny odchýleny od aktuální, známé a bezpečné konfigurace, může dojít k narušení požadavků na vysokou dostupnost anebo na obnovu po havárii. Důvodem převažujících odchylek konfigurace je fakt, že většina organizací nedokáže změny objevit před tím, než způsobí problém. Organizace, které chtějí zavést postupy své správy konfigurace a také předejít odchylkám konfigurace by se měly ujistit, že splňují následující cíle: –
– –
Zavedení a zajištění výchozích standardních konfigurací. Jedná se o výchozí SOE, které by mělo být definováno požadavky každé SOE skupiny. Konfigurace by měla zaručit homogenní prostředí a měla by být aktualizována pouze na základě známých a osvědčených předpokladů. Zjištění a ohlášení konfigurační odchylky. Organizace by měla vlastnit nástroje rozpoznávající systémy, které přestaly dodržovat plánované SOE, a ohlásit to příslušnému administrátorovi Poskytnutí možnosti nápravy změn. Zjištěné změny v SOE by měly mít možnost vrátit se zpět do schváleného SOE.
Nástroje automatizace správy konfigurace, jako je Puppet, hrají významnou roli v minimalizaci dopadu odchylek konfigurace a zachování známého SOE u počítačových zdrojů.
3 Source: “PCI DSS Requirements and Security Assessment Procedures, Version 2.0,” October 2010, p. 37 4 Source: “PCI DSS Requirements and Security Assessment Procedures, Version 2.0,” October 2010, p. 38
Bílá kniha – bezpečnostní výhody Puppetu
Cyklus odchylek konfigurace
Získání znalostí o konfiguracích a zjednodušení správy oprav Jedním z aspektů zdrojů, náročnějších na správu IT prostředků, je správa bezpečnostních oprav. Tempo šíření botnetů a malware je stále vyšší, zajištění identifikace a oprav nebylo nikdy před tím tak důležité jako je dnes. V roce 2010 McAfee identifikovali přes 14 miliónů jedinečných případů malwaru5. McAfee uvádí, že za jeden měsíc zaznamenali na síti přes 6 000 000 botnetů 6. V důsledku toho každý hlavní bezpečnostní standard a předpis obsahuje požadavky, jak bojovat s malwarem pomocí správy oprav. Často jsou bezpečnostní opravy distribuovány jako výsledky často časově citlivých ohrožení a na základě cvičných poplachů, které spotřebovávají IT zdroje. Nejčastěji působí problémy jednoduše určit zdroj, který má být opraven. Příslušné nástroje správy konfigurace spojené se známým SOE tento proces značně zjednodušují. Pokud jde o distribuci IT bezpečnostních oprav, váš software správy konfigurace by měl být schopen usnadnit následující procesy: – Stanovení a sledování SOE. Efektivní správa oprav začíná znalostí aktuálního stavu vaší konfigurace a IT prostředků. SOE snižuje množství spravovaných konfigurací, dohled ohlašuje změny konfigurace a opravuje odchylky základních konfigurací. – Určování priorit pro distribuci oprav. Distribuce bezpečnostních oprav začíná definicí dotčených SOE a IT prostředků. IT administrátoři budou okamžitě vědět, které zdroje vyžadují aktualizaci místo toho, aby se dotazovali na každém koncovém bodu. – Testování opravy v SOE. Testování bezpečnostních oprav často zabírá velmi mnoho času. V důsledku reakce na změny a zajištění rychlé distribuce IT bezpečnostních oprav, je nezbytné opravy testovat. Zajistit, že nebudou mít negativní vliv na kritický hardware, software anebo nezpůsobí nové bezpečnostní ohrožení. Bez redukované řady známých SOE je to téměř nemožný úkol. Známé konfigurace umožňují IT skupinám, aby testovaly ovlivněné konfigurace rychle a efektivně pro zajištění rychlé distribuce. – Distribuce oprav jako část procesu kontroly změn. Jakmile jsou určeny cíle pro opravy a oprava je otestována, může být distribuována vhodnému hostiteli. Jako část standardního procesu kontroly změn, SOE jsou aktualizovány a váš software správy konfigurací by měl okamžitě zaznamenat aktualizované konfigurace. 5 Source: “McAfee Threats Report: Third Quarter 2010,” p.10 6 IBID p.5
Bílá kniha – bezpečnostní výhody Puppetu
Základy distribuce oprav
Důležitost dodržení správy konfigurace Jak jsme se již zmínili v několika částech výše, správa konfigurace hraje důležitou roli v mnoha IT bezpečnostních pravidlech a jejich individuálních požadavcích. Důležité je oddělit reklamní vychvalování produktu, jež se často objevuje u nástrojů splňujících zákonné požadavky (anebo požadavky předpisů). Neexistuje jediný nástroj, který by uměl magicky splnit požadavky daného předpisu. Regulační předpisy zahrnují svou povahou široké rozpětí IT bezpečnostních procesů a technologií. Konfigurační management, jako je Puppet, může být použit pro dodržení bezpečnostních předpisů. Typicky požadavky spadají do jedné z následujících skupin: –
–
–
Kontrola změn. Mnoho předpisů určuje implementaci procesu kontroly změn. Jedním příkladem je PCI DSS standard. Požadavek 6.4 vyžaduje, aby organizace “ sledovala procesy kontroly změn a postupy všech změn do systémových komponent7.” Požadavky pro kontrolu změn je možno nalézt také v NIST 800-53 požadavku CM-3 Configuration Change Control8 a mnoho dalších předpisů. Požadavky auditu. Drtivá většina IT bezpečnostních standardů vyžaduje audit. Specifické požadavky se liší podle standardů, ale zachovávají záznam IT bezpečnostních oprav a změny SOE organizace. Nástroje správy konfigurace, jako je Puppet, zaznamenávají změny až k poslední konfiguraci a uživatele, který změnu provedl. Správa zranitelnosti. Správa zranitelnosti a připravenost na anti-malware jsou jednotně
7 Source: “PCI DSS Requirements and Security Assessment Procedures, Version 2.0,” October 2010, p. 40 8 Source: NIST Special Publication 800-53 Revision 3 “Recommended Security Controls for Federal Information Systems and Organizations,” p.F39
Bílá kniha – bezpečnostní výhody Puppetu
začleněny do IT standardů. Požadavky na obranu počítačů před útoky a jejich stálá aktualizace nejnovějšími opravami jsou základním kamenem pro bezpečnostní předpisy v IT. Ať už organizace pracuje na splnění PCI DSS, NIST 800-53, Sarbanes-Oxley, HIPAA, GLBA nebo jiných IT bezpečnostních standardů, procesy a nástroje správy konfigurace hrají v tomto procesu důležitou roli. Puppet pomohl velkému počtu zákazníků, aby splnili požadavky bezpečnosti a poskytli snadno analyzovatelné auditní stopy a zprávy. Zákaznici tak mohli dokázat dodržování specifických pokynů.
Správa konfigurace Puppetu Pokud někdo zkoumá specifický nástroj správy konfigurací z hlediska IT bezpečnosti, zaměřuje se právě na souhrn bezpečnostních vlastností. Komunita a tým Puppetu se výborně vyznají v otázkách bezpečnosti. Puppet byl založen, aby usnadnil škálovatelný, předvídatelný a bezpečný proces správy konfigurace. Především, Puppet přináší následující vlastnosti, které podporují bezpečné počítačové prostředí: – – –
– –
Škálovatelná architektura. Škálovatelný, modulově řízený přístup Puppetu umožňuje administrátorům, aby konfigurovali systémy pomocí definice cílového požadovaného stavu, ve formě znovupoužitelných modulů, které mohou být rychle nasazeny napříč tisíci servery. Hlášení o prostředcích. Vizuální grafické rozhraní Puppetu a nástroje pro reportování zpřístupňují automaticky udržovaný inventář prostředků, všechny vztahy mezi jednotlivými komponentami a hlásí každou změnu Kontrola změn. Puppet může stanovit a prosadit Standard Operating Environment (SOE), zajistí tak znalost administrátorů v jakékoli době o stavu výpočetních zdrojů a infrastruktury. Všechny změny v konfiguracích nebo softwaru jsou zaznamenávány a Puppet může být použit k zachování IT zdrojů v jeho požadovaném stavu. Šifrovaná komunikace. Puppet šifruje všechny komunikační kanály mezi centrálním místem správy a jednotlivými koncovými body. Kontrolovaná distribuce konfigurace. Na rozdíl od mnoha řešení správy konfigurace, která udržují nepotřebné konfigurace na jednotlivých nodech, Puppet omezuje informace správy konfigurace pouze na specifickou konfiguraci, kterou používá a potřebuje jednotlivý nod.
Závěr Nástroje a procesy správy konfigurace hrají důležitou roli v podpoře bezpečnosti podniku. Nehledě na to, zda je vaším cílem stanovit SOE, kontrolu odchylek konfigurace, spravovat a kontrolovat proces řízení změn anebo podporovat správu bezpečnostních hrozeb a distribuci oprav, nástroje správy konfigurace jako je Puppet jsou základním prvkem takového řešení.
Bílá kniha – bezpečnostní výhody Puppetu
Vyzkoušejte Puppet Enterprise Puppet Enterprise má veškerý výkon open sourcové distribuce Puppetu včetně vestavěných vlastností, které urychlují instalaci a údržbu a zvyšují stabilitu komplexní a rychle rostoucí podnikové infrastruktury.
Výkon Puppetu vytvořeného pro váš podnik a cloudová prostředí www.puppetlabs.com/go-enterprise
O Puppet Labs Společnost Puppet Labs vyvíjí a komerčně podporuje Puppet, přední open sourcovou platformu pro správu podnikových systémů. S miliony nodů pod správou tisíců společností včetně společností Twitter, Digg, Zynga, Genentech, Match.com, NYU a Oracle, Puppet Labs se spoléhá na Puppet, který standardizuje způsob, jakým jejich IT zaměstnanci nasazují a spravují infrastrukturu v podniku a cloudu. PUPPET labs 411 NW Park, Suite 500 Portland, OR 97209 (877) 380-6882 www.puppetlabs.com
