Dentro Selinux: Il "nuovo" paradigma della System Security. Il caso TIM - #redhatosd - Red Hat
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Dentro Selinux:
Il “nuovo” paradigma della System
Security. Il caso TIM
Maurizio Pagani
Head Of IT Competence Center for Linux/Cloud/Hyperconverged
Systems And Security / ADS
#redhatosd
In collaborazione con
SICURI DI ESSERE PROTETTI? La maggioranza delle aziende confina la sicurezza su soluzioni “perimetrali” ritenendosi al sicuro. Escludendo cosi un occhio di riguardo sul sistema che è: 1) il reale target dell’attaccante 2) la parte più vulnerabile dell’infrastruttura 3) dove risiede il «dato» 4) dove risiede il core business (applicazioni/database/ecc..) 5) dove vengono effettuate operazioni di installazione software malevolo(rootkit/backdoor/ecc..) Riflessione «Ma se tutte le mie difese perimetrali sono state superate e ormai l’attaccante è riuscito ad accedere ai miei sistemi, cos’altro posso fare?»
LA SOLUZIONE E’:
Mandatory Access Control
Manadatory Non è un software SELinux blocca il SELinux è integrato nel
Access di terze parti da comportamento di un kernel di Linux (RedHat, Unico fornitore e
Control per installare, ma è già exploit, a differenza dei CentoS, Oracle Linux) quindi unico POC
Linux parte integrante del tradizionali HIPS che offrendo cosi il massimo (point of contact)
Kernel (Linux bloccano tramite della compatibilità con il
Security Module) signature (vulnerabilità vostro Linux Enterprise
conosciute)
COS’È L’ACCESS CONTROL?
L’access control è il
sistema di security alla
Default DAC base dei sistemi operativi.
Dove di default troviamo il
Discrectionary Acess
Access Control Control, e come layer
aggiuntivo per amplificare
la nostra sicurezza
SELinux MAC abbiamo il Mandatory
Access Control
DAC VS. MAC
DAC MAC
(Discrectionary Access Control) (Mandatory Access Control)
Nel sistema viene definito un E’ l’access control standard creato per gli
amministratore (Administrator in Windows ambienti militari (Layer aggiuntivo al DAC)
e root per Unix like) Qualsiasi oggetto all’interno del sistema
Gli utenti ordinari hanno permessi come utente, processo, applicazione, file,
solamente sui propri oggetti device, può essere profilato con una policy
Ogni oggetto/utente/applicazione/processo ad-hoc per dare determinati permessi mirati
può interagire con il kernel Gli accessi al Kernel vengono limitati,
profilati, personalizzati, dando un certo
perimetro di azione alle applicazioni, ai
processi, e agli utenti
Policy
Discretionary Access Control Mandatory Access Control
Kernel Once a security exploit gains access Kernel Kernel policy defines application rights,
to privileged system components, Enforcement firewalling applications from compromising
the entire system is compromised the entire systemSELINUX & KERNEL
Software Web Server - Apache
KERNEL KERNEL SELinux
Hardware Memory Addressespartner di riferimento di Red Hat per le soluzioni di
cybersecurity su sistemi Linux e, nello specifico, per
la tecnologia SELinux
SELinux Event Collector SELinux Administration Console
è una Web Console in grado di raccogliere Una Web Console cetnralizzata in grado di
tutti i log SELinux generati dai sistemi del poter amministrare SELinux configurato nei
datacenter, effettuando la correlazione degli sistemi del datacenter del cliente: in questo
stessi e alerting. modo il day-by-day diventa semplice in
termini di competenza e gestibile in termini
di effortSELINUX EVENT COLLECTOR
SELINUX ADMINISTRATION CONSOLE
SUCCESS STORY
TIM dopo aver «provato» SELinux, lo ha implementato facendone una soluzione per diverse esigenze legate
all’infrastruttura della Nuvola Italiana:
1) Offerta Ospita Virtuale della Nuvola Italiana – Proteggere l’utente da sé stesso
2) Offerta Hosting Evoluto della Nuvola Italiana – Garantire la compliance
3) Proteggere le applicazioni della Nuvola Italiana dagli 0-day
4) Hardening spinto su OpenStack
NI Ospita Virtuale NI Hosting Evoluto Application Security OpenStack Security
Un root che non è root Rispettare le policy di gestione Implementare una policy ad- Proteggiamo il layer di
Impedire all’utente finale di utenze legato alle normative, hoc per ogni applicazione virtualizzazione (Nova)
modificare il networking essendo cosi compliance. standard che viene utilizzata Proteggiamo il layer di
Impedire che l’utente finale Impedire agli amministratori di nella Nuvola Italiana Software defined Network
possa impattare con poter gestire le utenze Sviluppo di policy custom per (Neutron)
l’interfaccia di rete che applicazioni non-standard su Policy ad-hoc per le
colloquia con la rete TIM richiesta del cliente finale applicazioni cloud
Protezione contro gli 0-day Protezione contro gli 0-dayADS Group – partner di riferimento di Red Hat per la System Security
Gruppo di aziende specializzato in soluzioni per l'ICT, Security ed IoT. Propone un
portafoglio d'offerta completo e innovativo, che spazia dalle infrastrutture di
telecomunicazione alle tecnologie di rete, dai data center alle piattaforme
applicative, con forte verticalità sulle soluzioni più all'avanguardia in ambito Cyber
Security ed IoT. Alcuni dei mercati di riferimento sono: Telco, Oil&Gas,
Transportation, Media&Gaming, Energy&Utilities, Finance, Defence e PA.
CERTIFICAZIONI ACQUISITE: CAPABILITIES:
Certified System Administrator Implementation and configuration
Certified Engineer Infrastructure as a Services (Iaas)
Certified Virtualization Administrator Tuning and customization on Openstack Juno and
OpenStack Certified Administrator Kilo
OpenShift Certified Administrator Integration with RH storage Ceph
Storage Server Administrator Securization with SELinux
CloudForms Administrator Differences between HP Elion and Openstack
JBoss Application Administrator Orchestration implementation with Cloud FormsDentro Selinux:
Il “nuovo” paradigma della System
Security. Il caso TIM
Michele Vecchione Franco Fornaro
Control Room Platform Management Infrastructural & ICT Make Solution
Director / TIM Platform Management / TIM
#redhatosd
In collaborazione conTHE CLOUD EVOLUTION MARKET TRENDS
THE TIM ROLE AND THE ROLE OF OPEN-SOURCE Why Open Source is Important for a CSP like TIM? • Reduce Operating Costs (Licences) • Reduce dependance from Big SW vendors • Allows competition based on Addictional Value Rather Than Access Price to known SW products • It is open to standardisation • Enable new business models (API economy, Eco-Systems, Market Place, SLA, cloud Federation)
Grazie
Maurizio Pagani Michele Vecchione Franco Fornaro
IT Solution /ADS Control Room Platform Infrastructural & ICT Make
Management Director / TIM Solution Platform
Management / TIM
#redhatosd
In collaborazione conPuoi anche leggere
