Asegurar la red de administración

4

Nos gustaría proteger nuestra red de administración de amenazas persistentes avanzadas y también de administradores deshonestos. Ya he leído las mejores prácticas de SANS Institute, NSA u otras guías.

Tenemos redes físicas separadas para la administración y la producción, y las estaciones de trabajo de administración no tienen conexión a Internet, puertos USB, etc. También tenemos bases de datos cifradas.

En realidad, esto no impide que un administrador no autorizado acceda al servidor de la base de datos para obtener la clave (ya que el descifrado se realiza en el servidor de la base de datos). No pudimos implementar el cifrado del lado de la aplicación ya que es un software propietario.

Quiero implementar una administración de acceso cero para servidores de producción sensibles. Me gustaría hacerlo al hacer que los propios servidores obtengan los scripts de administración y los ejecuten solo si están firmados (pgp) por al menos 2 administradores (con un agente y algo así como un repositorio de git). (como revisión de código pero mejorado con algunos criptográficos). Con eso, creo que obtendremos una red de administración sin ningún punto de falla. Alguien necesitará al menos 2 cuentas de administradores involucrados para ejecutar el código en servidores sensibles.

¿Me gustaría saber si tiene algunos consejos para proteger nuestra red de administración de administradores malintencionados y APT?

También me gustaría saber su opinión sobre este tipo de administración (todas con scripts) y si ya ha implementado algo así (o tiene algunos ejemplos). (es decir, ¿cómo está la NSA después de Snowden?)

¿Hay alguna otra buena práctica para protegerse de las fugas de los administradores (con la restricción de no poder cifrar el lado de la aplicación de datos)?

    
pregunta r00t 23.07.2015 - 00:34
fuente

1 respuesta

3

En los últimos tiempos, ha habido una mejor práctica en la comunidad de DevOps:

Si no está automatizado, no es seguro.

La automatización proporciona beneficios para la seguridad (por ejemplo, acceso limitado y auditado a través de la administración de la configuración, por ejemplo, Puppet, Chef, SaltStack), pero también por la disponibilidad y la facilidad de soporte. En lo que respecta a la disponibilidad, debería ser rápido revertir los cambios, así como el control de calidad para detectar problemas. Para facilitar el soporte, ya no se basa en comandos ssh únicos, etc. ejecutados por administradores del sistema, en cambio, una solución es automática y puede reproducirse fácilmente.

En estos entornos, el acceso remoto a través de SSH, etc. a servidores individuales generalmente está deshabilitado. En su lugar, uno debe usar el sistema de administración de la configuración para impulsar cualquier cambio, o simplemente implementar un nuevo servidor, dependiendo de cómo esté diseñada la pila DevOps.

SELinux también se puede aprovechar para que los administradores del sistema no tengan acceso a los datos reales, solo a las funciones de administrador del sistema. Sin embargo, esto es muy engorroso de mantener y no se practica comúnmente, por lo que sé, fuera de la NSA y otras entidades respaldadas por el estado de alta seguridad.

Para detectar y evitar potencialmente pérdidas / fugas de datos, se puede invocar una solución DLP. Esto se puede instalar en servidores (a través de la administración de la configuración) y se activará si un administrador del sistema intenta descargar datos, etc. Estas soluciones suelen ser caras, pero ofrecen una última línea de defensa contra el personal malintencionado.

La política corporativa también puede abordar los esfuerzos de remediación, si se aclara a los administradores de sistemas qué actividades pueden violar la política corporativa y las sanciones se establecen en la política; esto puede tener un fuerte efecto disuasorio contra posibles fugas.

Sin embargo, al final, un administrador de sistemas lo suficientemente inteligente puede eludir la mayoría de estas protecciones eventualmente. Para citar el viejo aforismo, "Las cerraduras mantienen alejadas a las personas honestas". Puede agregar tantos bloqueos como desee, si tiene personal dedicado a actividades infames, será difícil detenerlos.

    
respondido por el Herringbone Cat 23.07.2015 - 01:11
fuente

Lea otras preguntas en las etiquetas