Cykliczne weryfikowanie poziomu bezpieczeństwa infrastruktury IT oraz wdrażanie poprawek mających na celu uszczelnienie środowiska to standard stosowany coraz szerzej. W parze z chęcią posiadania lepiej zabezpieczonych serwerów i aplikacji nie muszą iść dodatkowe koszty na oprogramowanie i konsultantów.

OpenSCAP to zestaw darmowych narzędzi, które służą do podnoszenia poziomu bezpieczeństwa. Sprawdzają aktualną konfigurację, dostarczają informacji o zagrożeniu i metodzie jego eliminacji. Potrafią nawet wygenerować gotowe skrypty, playbooki Ansible'a oraz manifesty Puppeta do automatycznego uszczelnienia systemu. W skład pakietu OpenSCAP wchodzą m.in. polecenia powłoki, usługa systemowa oraz program z interfejsem graficznym. Narzędzia te stworzono głównie z myślą o dystrybucjach, takich jak Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu, openSUSE i Oracle Linux, ale od pewnego czasu rozwijane są także funkcje związane ze skanowaniem hostów z systemem Windows na pokładzie.

> W OKIENKACH

OpenSCAP Workbench jest aplikacją z interfejsem graficznym, która daje możliwość sprawdzenia konfiguracji systemu lokalnego lub zdalnego. Wynikiem skanu jest raport zawierający szczegółowe podsumowanie. Znajduje się w nim:

• Wynik mierzony w punktach w skali od 0 do 100. Niski wynik oznacza, że w systemie znaleziono wiele podatności. Wysoki wynik oznacza, że system posiada konfigurację odporną na różne zagrożenia.
• Lista przeprowadzonych testów z wynikiem, jakim się zakończyły: pozytywnym bądź negatywnym.
• Zalecenia, których wdrożenie ma skutkować zwiększeniem bezpieczeństwa systemu.

Wygenerowany raport można zapisać w formatach HTML, ARF, XCCDF. Aplikacja Workbench tworzy także skrypt, który służy do modyfikacji konfiguracji obszarów zakwalifikowanych jako niedostatecznie chronione. Skrypt zawiera opisy poszczególnych poprawek oraz kod dokonujący zmian w systemie. Administrator może uruchomić ten skrypt, by następnie uszczelnić system adekwatnie do rekomendacji zaproponowanych w wynikach skanu. Tych samych czynności można także dokonać za pomocą Ansible'a oraz Puppeta. Workbench pozwala na zapisanie zgodnych z Ansible'em playbooków w formacie YML oraz obsługiwanych przez Puppeta manifestów w formacie PP. Jedną z funkcji dostępnych w programie Workbench jest remediate, która służy do aplikowania w systemie zmian zgodnych z zaleceniami powstałymi w wyniku skanowania. Funkcja ta jest bardzo wygodna, lecz jednocześnie dość niebezpieczna, nie zaleca się jej stosowania w środowiskach produkcyjnych. Co prawda oferuje ogromną oszczędność czasu w porównaniu z ręcznym poprawianiem konfiguracji systemu, ale automatyczne poprawki mogą negatywnie wpłynąć na stabilność systemu. Dlatego skuteczność tej funkcji warto najpierw sprawdzić na środowiskach testowych, które wiernie odzwierciedlają stan serwerów produkcyjnych.

> KLUCZOWE KNOW-HOW

Sam program OpenSCAP Workbench to tylko narzędzie do wykonywania skanów i generowania raportów podsumowujących stan badanego serwera. Nie dysponuje informacjami, jakie obszary systemu operacyjnego należy zweryfikować i jakie zarekomendować akcje. Za te aspekty odpowiada OpenSCAP Security Guide. Jest to zestaw profilów, które dokładnie opisują, co zweryfikować i jak podsumować napotkaną konfigurację. Każdy z nich ma zdefiniowaną listę kroków, które wykona program Workbench, skanując system punkt po punkcie. OpenSCAP Security Guide jest instalowany automatycznie, jako pakiet zależny podczas instalacji programu Workbench. Oferuje kilka kategorii profilów. W przypadku instalacji w systemie CentOS są to: RHEL 6, RHEL 7, CentOS 6, CentOS 7, JRE, Firefox. Większość kategorii zawiera przynajmniej kilka profilów. Wśród nich są m.in.:

• Criminal Justice Information Services (CJIS) Security Policy – utrzymywana przez FBI lista zawierająca rekomendacje dotyczące bezpieczeństwa danych.
• United States Government Configuration Baseline – lista rekomendacji, które zostały wdrożone w agencjach federalnych USA. Nadrzędnym celem tej listy jest utrzymywanie odpowiedniego poziomu bezpieczeństwa systemów, ale także ochrona środowiska naturalnego poprzez stosowanie konfiguracji zmniejszającej zużycie energii.
• PCI Security Standards Council – profil bezpieczeństwa w firmach przetwarzających dane posiadaczy kart płatniczych.
• VPP Protection Profile for Virtualization – reguły do wykonywania skanów bezpieczeństwa w środowiskach wirtualizacyjnych wykorzystujących oprogramowanie Red Hat Virtualization.
• Standard System Security Profile for Red Hat Enterprise Linux 7 – profil z rekomendacjami dotyczącymi bezpieczeństwa systemu RHEL 7.
• DISA STIG For Enterprise Linux 7 – rozbudowany profil zawierający wiele obszarów do zweryfikowania w systemie RHEL 7.

OpenSecurity Guide zawiera więcej profiów, które służą do kompleksowego skanowania podatności m.in. w linuksowych serwerach FTP, środowiskach graficznych, przeglądarkach internetowych. Możliwe jest także wskazanie profilów z zewnętrznych źródeł, które nie zostały zainstalowane razem z bazą.

Analizując bazę reguł dostępnych w narzędziach OpenSCAP, warto przyjrzeć się, co dokładnie jest badane w trakcie skanowania systemu. Zakres jest bardzo szeroki i obejmuje konfigurację usług, parametry i zawartość plików konfiguracyjnych czy dostępność i charakterystykę narzędzi zwiększających poziom bezpieczeństwa. Wśród czynności wykonywanych podczas skanów znajdują się m.in.:

• Wyszukiwanie zbędnych usług i rekomendacja ich wyłączenia bądź rekonfiguracji. Podawane są także ogólne przykłady, w jaki sposób taka usługa może być wykorzystana przez intruza.
• Sprawdzanie dostępności usług, które mogą być przydatne do efektywnego zarządzania systemem i diagnostyki problemów związanych z bezpieczeństwem, stabilnością i wydajnością systemu oraz zalecenia dotyczące ich uruchomienia.

[...]

Specjalista ds. utrzymania infrastruktury i operacji. Zajmuje się problematyką budowy i utrzymania centrów przetwarzania danych oraz zarządzania nimi i koordynowaniem zmian dotyczących krytycznej infrastruktury IT.