číst dál

Bílá kniha – bezpečnostní výhody Puppetu
Bílá kniha
■ Správa
■
maximalizace konfigurací ■
IT bezpečnostní výhody Puppetu■
Bílá kniha – bezpečnostní výhody Puppetu
Obsah
Obecný přehled.................................................................................................3
Stanovení standardního provozního prostředí (SOE) a splnění bezpečnostních
standardů. ....................................................................................................... 3
Správa hlášení o odchylkách konfigurace..........................................................4
Cyklus odchylek konfigurace............................................................................. 5
Získání znalostí o konfiguracích a zjednodušení správy oprav...........................5
Základy distribuce oprav................................................................................... 6
Důležitost dodržení správy konfigurace............................................................6
Správa konfigurace Puppetu.............................................................................. 7
Závěr................................................................................................................ 7
Vyzkoušejte Puppet Enterprise.......................................................................... 8
Výkon Puppetu vytvořeného pro váš podnik a cloudová prostředí......................8
O Puppet Labs...................................................................................................8
Bílá kniha – bezpečnostní výhody Puppetu
Obecný přehled
Nehledě na to, jakým odvětvím se vaše organizace zabývá, zda jde o správu zaměstnaneckých
desktopů anebo zavádění virtualizované serverové farmy v cloudu, hraje IT bezpečnost podstatnou
roli v plánování a rozhodování o rozpočtech. Navzdory velkým investicím do technologií a
kvalifikací zaměstnanců, problém s bezpečností IT stále přetrvává. Týká se organizací širokého
spektra odvětví, které se stávají obětmi útoků. Výdaje na bezpečnost odráží stále nákladnější
hrozby. eWeek nedávno citoval statistiku Forrester research, která vykazuje růst výdajů na
bezpečnost z 8.2% v roce 2007 na 14% v roce 2010 z celkového IT rozpočtu 1.
Zatímco samotná bezpečnost zahrnuje široké spektrum technologií a specifické organizační
požadavky, bude nejvýhodnější začlenit do praxe bezpečnostní plán pomocí procesu správy
konfigurací a technologií. Základ správy konfigurací je stanovení a zachování konzistentního stavu
fyzických a softwarových prvků na jakémkoliv zdroji. Pokud jde o IT bezpečnost, správa
konfigurací může splňovat mnoho rolí. Je důležitou součástí v následujících prvcích architektury
informační bezpečnosti:
–
–
–
–
stanovení standardního provozního prostředí (SOE) a splnění IT bezpečnostních standardů
hlášení o odchylkách konfigurací, jejich kontrola a nápravy změn
podpora požadavků auditu a forenzních analýz
pomocí znalostí konfigurací a jejich znalostí poskytovat pomoc s řízením bezpečnostních
oprav
Dokument bude zkoumat klíčové bezpečnostní výhody pro správu konfigurace a jak je
maximalizovat pomocí Puppetu.
Stanovení standardního provozního prostředí (SOE) a splnění bezpečnostních
standardů.
Jednou z hlavních rolí, kterými správa konfigurací přispívá k celkové architektuře informační
bezpečnosti a politice dodržování předpisů organizace, je stanovení standardního provozního
prostředí (SOE). SOE není komplikované, je to “termín, kterým se dříve popisovala standardní
implementace operačního systému a s ní spojeného softwaru.2” SOE pomáhá IT infrastrukturním a
bezpečnostním týmům stanovit konzistentní a automatizované prostředí, řízené bezpečnostními
standardy organizace. Stanovení zvládnutelného počtu SOE napříč různými platformami organizace
poskytuje několik klíčových výhod:
–
–
–
–
poskytuje klíčový prvek pro úspěšný program řízení zranitelností
zkracuje dobu, snižuje náklady na nasazení a správu aplikací nebo počítačů v organizaci
urychluje distribuci oprav pomocí snižování odlišných konfigurací a automatizuje jejich
nasazení
urychluje hlášení o IT bezpečnostních incidentech
Používání nástrojů správy konfigurací a pro podporu SOE v organizaci, jako je Puppet, je důležitým
prvkem pro dodržení mnoha bezpečnostních standardů. Dobrým příkladem je průmyslový
bezpečnostní standard správy dat pro platební karty (PCI DSS) a požadavek na “program správy
1 Source: eWeek “Security: Security Spending Priorities for 2011 to Include Firewalls, Blocking Tools,” http://www.eweek.com/
2 Source: Wikipedia “Standard Operating Environment,” http://en.wikipedia.org/wiki/Standard_operating_environment
Bílá kniha – bezpečnostní výhody Puppetu
bezpečnostních zranitelnosti3.” V požadavku 6 tohoto standardu se od organizace vyžaduje, aby
“vyvíjela a spravovala bezpečné systémy a aplikace4.” Požadavek zahrnuje řadu bezpečnostních
opatření a výslovně se zabývá řízením změn, správou oprav, a posouzením zranitelnosti. Týká se tak
všech prvků podporovaných procesem správy konfigurací a údržbou SOE.
Dokument PCI DSS není jediným standardem, který vyzývá ke stanovení bezpečného prostředí.
Zachování známé konfigurace na počítačích organizace a definice procesů pro řízení jejich změn je
nejlepší postup IT bezpečnosti a lze ho nalézt ve většině bezpečnostních předpisů. Je to jedna z
věcí, kterou Puppet ovládá prvotřídně.
Puppet umožňuje organizaci definovat žádaný stav své infrastruktury a rychlé nasazení na tisících
serverech a stolních počítačích. Puppet podporuje řízení změn a umožňuje organizacím, aby
definovaly a aktualizovaly požadovaný stav infrastruktury ve formě znovupoužitelných modulů,
které mohou předvídatelně udržovat a aktualizovat výpočetní zdroje.
Správa hlášení o odchylkách konfigurace
SOE a řízení změn úzce souvisí s hrozbou odchylek v konfiguraci. Jednoduše řečeno, odchylky
konfigurace jsou změny, které se objevují v konfiguracích softwaru a hardwaru a nejsou v souladu
se standardní konfigurací. V prostředí dnešních datových center a rozsáhlých podnikových prostředí
je taková změna nevyhnutelná a samozřejmá, standardně ji lze během provozu zaznamenat.
Nebezpečí konfiguračních odchylek tví v tom, že pokud jsou změny odchýleny od aktuální, známé
a bezpečné konfigurace, může dojít k narušení požadavků na vysokou dostupnost anebo na obnovu
po havárii. Důvodem převažujících odchylek konfigurace je fakt, že většina organizací nedokáže
změny objevit před tím, než způsobí problém.
Organizace, které chtějí zavést postupy své správy konfigurace a také předejít odchylkám
konfigurace by se měly ujistit, že splňují následující cíle:
–
–
–
Zavedení a zajištění výchozích standardních konfigurací. Jedná se o výchozí SOE, které
by mělo být definováno požadavky každé SOE skupiny. Konfigurace by měla zaručit
homogenní prostředí a měla by být aktualizována pouze na základě známých a osvědčených
předpokladů.
Zjištění a ohlášení konfigurační odchylky. Organizace by měla vlastnit nástroje
rozpoznávající systémy, které přestaly dodržovat plánované SOE, a ohlásit to příslušnému
administrátorovi
Poskytnutí možnosti nápravy změn. Zjištěné změny v SOE by měly mít možnost vrátit se
zpět do schváleného SOE.
Nástroje automatizace správy konfigurace, jako je Puppet, hrají významnou roli v minimalizaci
dopadu odchylek konfigurace a zachování známého SOE u počítačových zdrojů.
3 Source: “PCI DSS Requirements and Security Assessment Procedures, Version 2.0,” October 2010, p. 37
4 Source: “PCI DSS Requirements and Security Assessment Procedures, Version 2.0,” October 2010, p. 38
Bílá kniha – bezpečnostní výhody Puppetu
Cyklus odchylek konfigurace
Získání znalostí o konfiguracích a zjednodušení správy oprav
Jedním z aspektů zdrojů, náročnějších na správu IT prostředků, je správa bezpečnostních oprav.
Tempo šíření botnetů a malware je stále vyšší, zajištění identifikace a oprav nebylo nikdy před tím
tak důležité jako je dnes. V roce 2010 McAfee identifikovali přes 14 miliónů jedinečných případů
malwaru5. McAfee uvádí, že za jeden měsíc zaznamenali na síti přes 6 000 000 botnetů 6. V
důsledku toho každý hlavní bezpečnostní standard a předpis obsahuje požadavky, jak bojovat s
malwarem pomocí správy oprav.
Často jsou bezpečnostní opravy distribuovány jako výsledky často časově citlivých ohrožení a na
základě cvičných poplachů, které spotřebovávají IT zdroje. Nejčastěji působí problémy jednoduše
určit zdroj, který má být opraven. Příslušné nástroje správy konfigurace spojené se známým SOE
tento proces značně zjednodušují.
Pokud jde o distribuci IT bezpečnostních oprav, váš software správy konfigurace by měl být
schopen usnadnit následující procesy:
– Stanovení a sledování SOE. Efektivní správa oprav začíná znalostí aktuálního stavu vaší
konfigurace a IT prostředků. SOE snižuje množství spravovaných konfigurací, dohled
ohlašuje změny konfigurace a opravuje odchylky základních konfigurací.
– Určování priorit pro distribuci oprav. Distribuce bezpečnostních oprav začíná definicí
dotčených SOE a IT prostředků. IT administrátoři budou okamžitě vědět, které zdroje
vyžadují aktualizaci místo toho, aby se dotazovali na každém koncovém bodu.
– Testování opravy v SOE. Testování bezpečnostních oprav často zabírá velmi mnoho času.
V důsledku reakce na změny a zajištění rychlé distribuce IT bezpečnostních oprav, je
nezbytné opravy testovat. Zajistit, že nebudou mít negativní vliv na kritický hardware,
software anebo nezpůsobí nové bezpečnostní ohrožení. Bez redukované řady známých SOE
je to téměř nemožný úkol. Známé konfigurace umožňují IT skupinám, aby testovaly
ovlivněné konfigurace rychle a efektivně pro zajištění rychlé distribuce.
– Distribuce oprav jako část procesu kontroly změn. Jakmile jsou určeny cíle pro opravy a
oprava je otestována, může být distribuována vhodnému hostiteli. Jako část standardního
procesu kontroly změn, SOE jsou aktualizovány a váš software správy konfigurací by měl
okamžitě zaznamenat aktualizované konfigurace.
5 Source: “McAfee Threats Report: Third Quarter 2010,” p.10
6 IBID p.5
Bílá kniha – bezpečnostní výhody Puppetu
Základy distribuce oprav
Důležitost dodržení správy konfigurace
Jak jsme se již zmínili v několika částech výše, správa konfigurace hraje důležitou roli v mnoha IT
bezpečnostních pravidlech a jejich individuálních požadavcích. Důležité je oddělit reklamní
vychvalování produktu, jež se často objevuje u nástrojů splňujících zákonné požadavky (anebo
požadavky předpisů). Neexistuje jediný nástroj, který by uměl magicky splnit požadavky daného
předpisu. Regulační předpisy zahrnují svou povahou široké rozpětí IT bezpečnostních procesů a
technologií. Konfigurační management, jako je Puppet, může být použit pro dodržení
bezpečnostních předpisů. Typicky požadavky spadají do jedné z následujících skupin:
–
–
–
Kontrola změn. Mnoho předpisů určuje implementaci procesu kontroly změn. Jedním
příkladem je PCI DSS standard. Požadavek 6.4 vyžaduje, aby organizace “ sledovala
procesy kontroly změn a postupy všech změn do systémových komponent7.” Požadavky pro
kontrolu změn je možno nalézt také v NIST 800-53 požadavku CM-3 Configuration Change
Control8 a mnoho dalších předpisů.
Požadavky auditu. Drtivá většina IT bezpečnostních standardů vyžaduje audit. Specifické
požadavky se liší podle standardů, ale zachovávají záznam IT bezpečnostních oprav a
změny SOE organizace. Nástroje správy konfigurace, jako je Puppet, zaznamenávají změny
až k poslední konfiguraci a uživatele, který změnu provedl.
Správa zranitelnosti. Správa zranitelnosti a připravenost na anti-malware jsou jednotně
7 Source: “PCI DSS Requirements and Security Assessment Procedures, Version 2.0,” October 2010, p. 40
8 Source: NIST Special Publication 800-53 Revision 3 “Recommended Security Controls for Federal Information Systems and Organizations,” p.F39
Bílá kniha – bezpečnostní výhody Puppetu
začleněny do IT standardů. Požadavky na obranu počítačů před útoky a jejich stálá
aktualizace nejnovějšími opravami jsou základním kamenem pro bezpečnostní předpisy v
IT.
Ať už organizace pracuje na splnění PCI DSS, NIST 800-53, Sarbanes-Oxley, HIPAA, GLBA nebo
jiných IT bezpečnostních standardů, procesy a nástroje správy konfigurace hrají v tomto procesu
důležitou roli. Puppet pomohl velkému počtu zákazníků, aby splnili požadavky bezpečnosti a
poskytli snadno analyzovatelné auditní stopy a zprávy. Zákaznici tak mohli dokázat dodržování
specifických pokynů.
Správa konfigurace Puppetu
Pokud někdo zkoumá specifický nástroj správy konfigurací z hlediska IT bezpečnosti, zaměřuje se
právě na souhrn bezpečnostních vlastností. Komunita a tým Puppetu se výborně vyznají v otázkách
bezpečnosti. Puppet byl založen, aby usnadnil škálovatelný, předvídatelný a bezpečný proces
správy konfigurace.
Především, Puppet přináší následující vlastnosti, které podporují bezpečné počítačové prostředí:
–
–
–
–
–
Škálovatelná architektura. Škálovatelný, modulově řízený přístup Puppetu umožňuje
administrátorům, aby konfigurovali systémy pomocí definice cílového požadovaného stavu,
ve formě znovupoužitelných modulů, které mohou být rychle nasazeny napříč tisíci servery.
Hlášení o prostředcích. Vizuální grafické rozhraní Puppetu a nástroje pro reportování
zpřístupňují automaticky udržovaný inventář prostředků, všechny vztahy mezi jednotlivými
komponentami a hlásí každou změnu
Kontrola změn. Puppet může stanovit a prosadit Standard Operating Environment (SOE),
zajistí tak znalost administrátorů v jakékoli době o stavu výpočetních zdrojů a infrastruktury.
Všechny změny v konfiguracích nebo softwaru jsou zaznamenávány a Puppet může být
použit k zachování IT zdrojů v jeho požadovaném stavu.
Šifrovaná komunikace. Puppet šifruje všechny komunikační kanály mezi centrálním
místem správy a jednotlivými koncovými body.
Kontrolovaná distribuce konfigurace. Na rozdíl od mnoha řešení správy konfigurace,
která udržují nepotřebné konfigurace na jednotlivých nodech, Puppet omezuje informace
správy konfigurace pouze na specifickou konfiguraci, kterou používá a potřebuje jednotlivý
nod.
Závěr
Nástroje a procesy správy konfigurace hrají důležitou roli v podpoře bezpečnosti podniku. Nehledě
na to, zda je vaším cílem stanovit SOE, kontrolu odchylek konfigurace, spravovat a kontrolovat
proces řízení změn anebo podporovat správu bezpečnostních hrozeb a distribuci oprav, nástroje
správy konfigurace jako je Puppet jsou základním prvkem takového řešení.
Bílá kniha – bezpečnostní výhody Puppetu
Vyzkoušejte Puppet Enterprise
Puppet Enterprise má veškerý výkon open sourcové distribuce Puppetu včetně vestavěných
vlastností, které urychlují instalaci a údržbu a zvyšují stabilitu komplexní a rychle rostoucí
podnikové infrastruktury.
Výkon Puppetu vytvořeného pro váš podnik a cloudová prostředí
www.puppetlabs.com/go-enterprise
O Puppet Labs
Společnost Puppet Labs vyvíjí a komerčně podporuje Puppet, přední open sourcovou platformu pro
správu podnikových systémů. S miliony nodů pod správou tisíců společností včetně společností
Twitter, Digg, Zynga, Genentech, Match.com, NYU a Oracle, Puppet Labs se spoléhá na Puppet,
který standardizuje způsob, jakým jejich IT zaměstnanci nasazují a spravují infrastrukturu v
podniku a cloudu.
PUPPET labs
411 NW Park, Suite 500
Portland, OR 97209
(877) 380-6882
www.puppetlabs.com