dentro selinux: il “nuovo” paradigma della system security ...nella nuvola italiana sviluppo di...
Post on 24-Jul-2020
0 Views
Preview:
TRANSCRIPT
Dentro Selinux: Il “nuovo” paradigma della System
Security. Il caso TIM
#redhatosd In collaborazione con
Maurizio Pagani
Head Of IT Competence Center for Linux/Cloud/Hyperconverged Systems And Security / ADS
La maggioranza delle aziende confina la sicurezza su soluzioni “perimetrali” ritenendosi al sicuro. Escludendo cosi un occhio di riguardo sul sistema che è: 1) il reale target dell’attaccante 2) la parte più vulnerabile dell’infrastruttura 3) dove risiede il «dato» 4) dove risiede il core business (applicazioni/database/ecc..) 5) dove vengono effettuate operazioni di installazione software malevolo(rootkit/backdoor/ecc..)
«Ma se tutte le mie difese perimetrali sono state superate e ormai l’attaccante è riuscito ad accedere ai miei sistemi, cos’altro posso fare?»
Riflessione
SICURI DI ESSERE PROTETTI?
Mandatory Access Control
LA SOLUZIONE E’:
Manadatory Access
Control per Linux
Non è un software di terze parti da
installare, ma è già parte integrante del
Kernel (Linux Security Module)
SELinux blocca il comportamento di un
exploit, a differenza dei tradizionali HIPS che
bloccano tramite signature (vulnerabilità
conosciute)
SELinux è integrato nel kernel di Linux (RedHat, CentoS, Oracle Linux)
offrendo cosi il massimo della compatibilità con il vostro Linux Enterprise
Unico fornitore e quindi unico POC (point of contact)
COS’È L’ACCESS CONTROL?
L’access control è il sistema di security alla
base dei sistemi operativi. Dove di default troviamo il
Discrectionary Acess Control, e come layer
aggiuntivo per amplificare la nostra sicurezza
abbiamo il Mandatory Access Control
Access Control
Default
SELinux
DAC
MAC
DAC (Discrectionary Access Control)
Nel sistema viene definito un amministratore (Administrator in Windows e root per Unix like) Gli utenti ordinari hanno permessi solamente sui propri oggetti Ogni oggetto/utente/applicazione/processo può interagire con il kernel
E’ l’access control standard creato per gli ambienti militari (Layer aggiuntivo al DAC) Qualsiasi oggetto all’interno del sistema come utente, processo, applicazione, file, device, può essere profilato con una policy ad-hoc per dare determinati permessi mirati Gli accessi al Kernel vengono limitati, profilati, personalizzati, dando un certo perimetro di azione alle applicazioni, ai processi, e agli utenti
MAC (Mandatory Access Control)
DAC VS. MAC
Kernel Discretionary Access Control Once a security exploit gains access to privileged system components, the entire system is compromised
Kernel Policy
Enforcement
Mandatory Access Control Kernel policy defines application rights, firewalling applications from compromising the entire system
SELINUX & KERNEL
Software
Web Server - Apache
Hardware
Memory Addresses
KERNEL
KERNEL SELinux
partner di riferimento di Red Hat per le soluzioni di cybersecurity su sistemi Linux e, nello specifico, per la tecnologia SELinux
Una Web Console cetnralizzata in grado di poter amministrare SELinux configurato nei sistemi del datacenter del cliente: in questo modo il day-by-day diventa semplice in termini di competenza e gestibile in termini di effort
SELinux Administration Console SELinux Event Collector
è una Web Console in grado di raccogliere tutti i log SELinux generati dai sistemi del datacenter, effettuando la correlazione degli stessi e alerting.
SELINUX EVENT COLLECTOR
SELINUX ADMINISTRATION CONSOLE
TIM dopo aver «provato» SELinux, lo ha implementato facendone una soluzione per diverse esigenze legate all’infrastruttura della Nuvola Italiana: 1) Offerta Ospita Virtuale della Nuvola Italiana – Proteggere l’utente da sé stesso 2) Offerta Hosting Evoluto della Nuvola Italiana – Garantire la compliance 3) Proteggere le applicazioni della Nuvola Italiana dagli 0-day 4) Hardening spinto su OpenStack
SUCCESS STORY
NI Ospita Virtuale NI Hosting Evoluto Application Security OpenStack Security Un root che non è root Impedire all’utente finale di modificare il networking Impedire che l’utente finale possa impattare con l’interfaccia di rete che colloquia con la rete TIM
Rispettare le policy di gestione utenze legato alle normative, essendo cosi compliance. Impedire agli amministratori di poter gestire le utenze
Implementare una policy ad-hoc per ogni applicazione standard che viene utilizzata nella Nuvola Italiana Sviluppo di policy custom per applicazioni non-standard su richiesta del cliente finale Protezione contro gli 0-day
Proteggiamo il layer di virtualizzazione (Nova) Proteggiamo il layer di Software defined Network (Neutron) Policy ad-hoc per le applicazioni cloud Protezione contro gli 0-day
ADS Group – partner di riferimento di Red Hat per la System Security
Gruppo di aziende specializzato in soluzioni per l'ICT, Security ed IoT. Propone un portafoglio d'offerta completo e innovativo, che spazia dalle infrastrutture di telecomunicazione alle tecnologie di rete, dai data center alle piattaforme applicative, con forte verticalità sulle soluzioni più all'avanguardia in ambito Cyber Security ed IoT. Alcuni dei mercati di riferimento sono: Telco, Oil&Gas, Transportation, Media&Gaming, Energy&Utilities, Finance, Defence e PA.
CERTIFICAZIONI ACQUISITE: ¾ Certified System Administrator ¾ Certified Engineer ¾ Certified Virtualization Administrator ¾ OpenStack Certified Administrator ¾ OpenShift Certified Administrator ¾ Storage Server Administrator ¾ CloudForms Administrator ¾ JBoss Application Administrator
CAPABILITIES: 9 Implementation and configuration 9 Infrastructure as a Services (Iaas) 9 Tuning and customization on Openstack Juno and
Kilo 9 Integration with RH storage Ceph 9 Securization with SELinux 9 Differences between HP Elion and Openstack 9 Orchestration implementation with Cloud Forms
Franco Fornaro
Infrastructural & ICT Make Solution Platform Management / TIM
Dentro Selinux: Il “nuovo” paradigma della System
Security. Il caso TIM
#redhatosd In collaborazione con
Michele Vecchione
Control Room Platform Management Director / TIM
THE CLOUD EVOLUTION MARKET TRENDS
THE TIM ROLE AND THE ROLE OF OPEN-SOURCE
Why Open Source is Important for a CSP like TIM? • Reduce Operating Costs (Licences) • Reduce dependance from Big SW vendors • Allows competition based on Addictional Value Rather Than Access Price to known SW products • It is open to standardisation • Enable new business models (API economy, Eco-Systems, Market Place, SLA, cloud Federation)
Grazie
Maurizio Pagani
IT Solution /ADS
Michele Vecchione
Control Room Platform Management Director / TIM
#redhatosd
Franco Fornaro
Infrastructural & ICT Make Solution Platform
Management / TIM
In collaborazione con
top related