L`access control
Download
Report
Transcript L`access control
Dentro Selinux:
Il “nuovo” paradigma della System
Security. Il caso TIM
Maurizio Pagani
Head Of IT Competence Center for Linux/Cloud/Hyperconverged
Systems And Security / ADS
#redhatosd
In collaborazione con
SICURI DI ESSERE PROTETTI?
La maggioranza delle aziende confina la sicurezza su soluzioni “perimetrali” ritenendosi al sicuro.
Escludendo cosi un occhio di riguardo sul sistema che è:
1) il reale target dell’attaccante
2) la parte più vulnerabile dell’infrastruttura
3) dove risiede il «dato»
4) dove risiede il core business (applicazioni/database/ecc..)
5) dove vengono effettuate operazioni di installazione software malevolo(rootkit/backdoor/ecc..)
Riflessione
«Ma se tutte le mie difese perimetrali sono state superate e ormai l’attaccante
è riuscito ad accedere ai miei sistemi, cos’altro posso fare?»
LA SOLUZIONE E’:
Mandatory Access Control
Manadatory
Access
Control per
Linux
Non è un software
di terze parti da
installare, ma è già
parte integrante del
Kernel (Linux
Security Module)
SELinux blocca il
comportamento di un
exploit, a differenza dei
tradizionali HIPS che
bloccano tramite
signature (vulnerabilità
conosciute)
SELinux è integrato nel
kernel di Linux (RedHat,
CentoS, Oracle Linux)
offrendo cosi il massimo
della compatibilità con il
vostro Linux Enterprise
Unico fornitore e
quindi unico POC
(point of contact)
COS’È L’ACCESS CONTROL?
Default
DAC
SELinux
MAC
Access Control
L’access control è il
sistema di security alla
base dei sistemi operativi.
Dove di default troviamo il
Discrectionary Acess
Control, e come layer
aggiuntivo per amplificare
la nostra sicurezza
abbiamo il Mandatory
Access Control
DAC VS. MAC
DAC
(Discrectionary Access Control)
Nel sistema viene definito un
amministratore (Administrator in Windows
e root per Unix like)
Gli utenti ordinari hanno permessi
solamente sui propri oggetti
Ogni oggetto/utente/applicazione/processo
può interagire con il kernel
Kernel
Discretionary Access Control
Once a security exploit gains access
to privileged system components,
the entire system is compromised
MAC
(Mandatory Access Control)
E’ l’access control standard creato per gli
ambienti militari (Layer aggiuntivo al DAC)
Qualsiasi oggetto all’interno del sistema
come utente, processo, applicazione, file,
device, può essere profilato con una policy
ad-hoc per dare determinati permessi mirati
Gli accessi al Kernel vengono limitati,
profilati, personalizzati, dando un certo
perimetro di azione alle applicazioni, ai
processi, e agli utenti
Policy
Kernel
Enforcement
Mandatory Access Control
Kernel policy defines application rights,
firewalling applications from compromising
the entire system
SELINUX & KERNEL
Software
Web Server - Apache
KERNEL
KERNEL SELinux
Hardware
Memory Addresses
partner di riferimento di Red Hat per le soluzioni di
cybersecurity su sistemi Linux e, nello specifico, per
la tecnologia SELinux
SELinux Event Collector
SELinux Administration Console
è una Web Console in grado di raccogliere
tutti i log SELinux generati dai sistemi del
datacenter, effettuando la correlazione degli
stessi e alerting.
Una Web Console cetnralizzata in grado di
poter amministrare SELinux configurato nei
sistemi del datacenter del cliente: in questo
modo il day-by-day diventa semplice in
termini di competenza e gestibile in termini
di effort
SELINUX EVENT COLLECTOR
SELINUX ADMINISTRATION CONSOLE
SUCCESS STORY
TIM dopo aver «provato» SELinux, lo ha implementato facendone una soluzione per diverse esigenze legate
all’infrastruttura della Nuvola Italiana:
1) Offerta Ospita Virtuale della Nuvola Italiana – Proteggere l’utente da sé stesso
2) Offerta Hosting Evoluto della Nuvola Italiana – Garantire la compliance
3) Proteggere le applicazioni della Nuvola Italiana dagli 0-day
4) Hardening spinto su OpenStack
NI Ospita Virtuale
Un root che non è root
Impedire all’utente finale di
modificare il networking
Impedire che l’utente finale
possa impattare con
l’interfaccia di rete che
colloquia con la rete TIM
NI Hosting Evoluto
Rispettare le policy di gestione
utenze legato alle normative,
essendo cosi compliance.
Impedire agli amministratori di
poter gestire le utenze
Application Security
Implementare una policy adhoc per ogni applicazione
standard che viene utilizzata
nella Nuvola Italiana
Sviluppo di policy custom per
applicazioni non-standard su
richiesta del cliente finale
Protezione contro gli 0-day
OpenStack Security
Proteggiamo il layer di
virtualizzazione (Nova)
Proteggiamo il layer di
Software defined Network
(Neutron)
Policy ad-hoc per le
applicazioni cloud
Protezione contro gli 0-day
ADS Group – partner di riferimento di Red Hat per la System Security
Gruppo di aziende specializzato in soluzioni per l'ICT, Security ed IoT. Propone un
portafoglio d'offerta completo e innovativo, che spazia dalle infrastrutture di
telecomunicazione alle tecnologie di rete, dai data center alle piattaforme
applicative, con forte verticalità sulle soluzioni più all'avanguardia in ambito Cyber
Security ed IoT. Alcuni dei mercati di riferimento sono: Telco, Oil&Gas,
Transportation, Media&Gaming, Energy&Utilities, Finance, Defence e PA.
CERTIFICAZIONI ACQUISITE:
Certified System Administrator
Certified Engineer
Certified Virtualization Administrator
OpenStack Certified Administrator
OpenShift Certified Administrator
Storage Server Administrator
CloudForms Administrator
JBoss Application Administrator
CAPABILITIES:
Implementation and configuration
Infrastructure as a Services (Iaas)
Tuning and customization on Openstack Juno and
Kilo
Integration with RH storage Ceph
Securization with SELinux
Differences between HP Elion and Openstack
Orchestration implementation with Cloud Forms
Dentro Selinux:
Il “nuovo” paradigma della System
Security. Il caso TIM
Michele Vecchione
Franco Fornaro
Control Room Platform Management
Director / TIM
Infrastructural & ICT Make Solution
Platform Management / TIM
#redhatosd
In collaborazione con
THE CLOUD EVOLUTION MARKET TRENDS
THE TIM ROLE AND THE ROLE OF OPEN-SOURCE
Why Open Source is Important for a CSP like TIM?
•
•
•
•
•
Reduce Operating Costs (Licences)
Reduce dependance from Big SW vendors
Allows competition based on Addictional Value Rather Than Access Price to known SW products
It is open to standardisation
Enable new business models (API economy, Eco-Systems, Market Place, SLA, cloud Federation)
Grazie
Maurizio Pagani
IT Solution /ADS
Michele Vecchione
Franco Fornaro
Control Room Platform Infrastructural & ICT Make
Solution Platform
Management Director / TIM
Management / TIM
#redhatosd
In collaborazione con