Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.
Data publikacji: 25-11-2019 | Autor: | Konrad Kubecki |
Cykliczne weryfikowanie poziomu bezpieczeństwa infrastruktury IT oraz wdrażanie poprawek mających na celu uszczelnienie środowiska to standard stosowany coraz szerzej. W parze z chęcią posiadania lepiej zabezpieczonych serwerów i aplikacji nie muszą iść dodatkowe koszty na oprogramowanie i konsultantów.
OpenSCAP to zestaw darmowych narzędzi, które służą do podnoszenia poziomu bezpieczeństwa. Sprawdzają aktualną konfigurację, dostarczają informacji o zagrożeniu i metodzie jego eliminacji. Potrafią nawet wygenerować gotowe skrypty, playbooki Ansible'a oraz manifesty Puppeta do automatycznego uszczelnienia systemu. W skład pakietu OpenSCAP wchodzą m.in. polecenia powłoki, usługa systemowa oraz program z interfejsem graficznym. Narzędzia te stworzono głównie z myślą o dystrybucjach, takich jak Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu, openSUSE i Oracle Linux, ale od pewnego czasu rozwijane są także funkcje związane ze skanowaniem hostów z systemem Windows na pokładzie.
> W OKIENKACH
OpenSCAP Workbench jest aplikacją z interfejsem graficznym, która daje możliwość sprawdzenia konfiguracji systemu lokalnego lub zdalnego. Wynikiem skanu jest raport zawierający szczegółowe podsumowanie. Znajduje się w nim:
Wygenerowany raport można zapisać w formatach HTML, ARF, XCCDF. Aplikacja Workbench tworzy także skrypt, który służy do modyfikacji konfiguracji obszarów zakwalifikowanych jako niedostatecznie chronione. Skrypt zawiera opisy poszczególnych poprawek oraz kod dokonujący zmian w systemie. Administrator może uruchomić ten skrypt, by następnie uszczelnić system adekwatnie do rekomendacji zaproponowanych w wynikach skanu. Tych samych czynności można także dokonać za pomocą Ansible'a oraz Puppeta. Workbench pozwala na zapisanie zgodnych z Ansible'em playbooków w formacie YML oraz obsługiwanych przez Puppeta manifestów w formacie PP. Jedną z funkcji dostępnych w programie Workbench jest remediate, która służy do aplikowania w systemie zmian zgodnych z zaleceniami powstałymi w wyniku skanowania. Funkcja ta jest bardzo wygodna, lecz jednocześnie dość niebezpieczna, nie zaleca się jej stosowania w środowiskach produkcyjnych. Co prawda oferuje ogromną oszczędność czasu w porównaniu z ręcznym poprawianiem konfiguracji systemu, ale automatyczne poprawki mogą negatywnie wpłynąć na stabilność systemu. Dlatego skuteczność tej funkcji warto najpierw sprawdzić na środowiskach testowych, które wiernie odzwierciedlają stan serwerów produkcyjnych.
> KLUCZOWE KNOW-HOW
Sam program OpenSCAP Workbench to tylko narzędzie do wykonywania skanów i generowania raportów podsumowujących stan badanego serwera. Nie dysponuje informacjami, jakie obszary systemu operacyjnego należy zweryfikować i jakie zarekomendować akcje. Za te aspekty odpowiada OpenSCAP Security Guide. Jest to zestaw profilów, które dokładnie opisują, co zweryfikować i jak podsumować napotkaną konfigurację. Każdy z nich ma zdefiniowaną listę kroków, które wykona program Workbench, skanując system punkt po punkcie. OpenSCAP Security Guide jest instalowany automatycznie, jako pakiet zależny podczas instalacji programu Workbench. Oferuje kilka kategorii profilów. W przypadku instalacji w systemie CentOS są to: RHEL 6, RHEL 7, CentOS 6, CentOS 7, JRE, Firefox. Większość kategorii zawiera przynajmniej kilka profilów. Wśród nich są m.in.:
OpenSecurity Guide zawiera więcej profiów, które służą do kompleksowego skanowania podatności m.in. w linuksowych serwerach FTP, środowiskach graficznych, przeglądarkach internetowych. Możliwe jest także wskazanie profilów z zewnętrznych źródeł, które nie zostały zainstalowane razem z bazą.
Analizując bazę reguł dostępnych w narzędziach OpenSCAP, warto przyjrzeć się, co dokładnie jest badane w trakcie skanowania systemu. Zakres jest bardzo szeroki i obejmuje konfigurację usług, parametry i zawartość plików konfiguracyjnych czy dostępność i charakterystykę narzędzi zwiększających poziom bezpieczeństwa. Wśród czynności wykonywanych podczas skanów znajdują się m.in.:
[...]
Specjalista ds. utrzymania infrastruktury i operacji. Zajmuje się problematyką budowy i utrzymania centrów przetwarzania danych oraz zarządzania nimi i koordynowaniem zmian dotyczących krytycznej infrastruktury IT.
Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.
Transmisje online zapewnia: StreamOnline