Dentro Selinux: Il "nuovo" paradigma della System Security. Il caso TIM - #redhatosd - Red Hat
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Dentro Selinux:
Il “nuovo” paradigma della System
Security. Il caso TIM
Maurizio Pagani
Head Of IT Competence Center for Linux/Cloud/Hyperconverged
Systems And Security / ADS
#redhatosd
In collaborazione con
SICURI DI ESSERE PROTETTI? La maggioranza delle aziende confina la sicurezza su soluzioni “perimetrali” ritenendosi al sicuro. Escludendo cosi un occhio di riguardo sul sistema che è: 1) il reale target dell’attaccante 2) la parte più vulnerabile dell’infrastruttura 3) dove risiede il «dato» 4) dove risiede il core business (applicazioni/database/ecc..) 5) dove vengono effettuate operazioni di installazione software malevolo(rootkit/backdoor/ecc..) Riflessione «Ma se tutte le mie difese perimetrali sono state superate e ormai l’attaccante è riuscito ad accedere ai miei sistemi, cos’altro posso fare?»
LA SOLUZIONE E’:
Mandatory Access Control
Manadatory Non è un software SELinux blocca il SELinux è integrato nel
Access di terze parti da comportamento di un kernel di Linux (RedHat, Unico fornitore e
Control per installare, ma è già exploit, a differenza dei CentoS, Oracle Linux) quindi unico POC
Linux parte integrante del tradizionali HIPS che offrendo cosi il massimo (point of contact)
Kernel (Linux bloccano tramite della compatibilità con il
Security Module) signature (vulnerabilità vostro Linux Enterprise
conosciute)
COS’È L’ACCESS CONTROL?
L’access control è il
sistema di security alla
Default DAC base dei sistemi operativi.
Dove di default troviamo il
Discrectionary Acess
Access Control Control, e come layer
aggiuntivo per amplificare
la nostra sicurezza
SELinux MAC abbiamo il Mandatory
Access ControlDAC VS. MAC
DAC MAC
(Discrectionary Access Control) (Mandatory Access Control)
Nel sistema viene definito un E’ l’access control standard creato per gli
amministratore (Administrator in Windows ambienti militari (Layer aggiuntivo al DAC)
e root per Unix like) Qualsiasi oggetto all’interno del sistema
Gli utenti ordinari hanno permessi come utente, processo, applicazione, file,
solamente sui propri oggetti device, può essere profilato con una policy
Ogni oggetto/utente/applicazione/processo ad-hoc per dare determinati permessi mirati
può interagire con il kernel Gli accessi al Kernel vengono limitati,
profilati, personalizzati, dando un certo
perimetro di azione alle applicazioni, ai
processi, e agli utenti
Policy
Discretionary Access Control Mandatory Access Control
Kernel Once a security exploit gains access Kernel Kernel policy defines application rights,
to privileged system components, Enforcement firewalling applications from compromising
the entire system is compromised the entire systemSELINUX & KERNEL
Software Web Server - Apache
KERNEL KERNEL SELinux
Hardware Memory Addressespartner di riferimento di Red Hat per le soluzioni di
cybersecurity su sistemi Linux e, nello specifico, per
la tecnologia SELinux
SELinux Event Collector SELinux Administration Console
è una Web Console in grado di raccogliere Una Web Console cetnralizzata in grado di
tutti i log SELinux generati dai sistemi del poter amministrare SELinux configurato nei
datacenter, effettuando la correlazione degli sistemi del datacenter del cliente: in questo
stessi e alerting. modo il day-by-day diventa semplice in
termini di competenza e gestibile in termini
di effortSELINUX EVENT COLLECTOR
SELINUX ADMINISTRATION CONSOLE
ADS Group – partner di riferimento di Red Hat per la System Security
Gruppo di aziende specializzato in soluzioni per l'ICT, Security ed IoT. Propone un
portafoglio d'offerta completo e innovativo, che spazia dalle infrastrutture di
telecomunicazione alle tecnologie di rete, dai data center alle piattaforme
applicative, con forte verticalità sulle soluzioni più all'avanguardia in ambito Cyber
Security ed IoT. Alcuni dei mercati di riferimento sono: Telco, Oil&Gas,
Transportation, Media&Gaming, Energy&Utilities, Finance, Defence e PA.
CERTIFICAZIONI ACQUISITE: CAPABILITIES:
Certified System Administrator Implementation and configuration
Certified Engineer Infrastructure as a Services (Iaas)
Certified Virtualization Administrator Tuning and customization on Openstack Juno and
OpenStack Certified Administrator Kilo
OpenShift Certified Administrator Integration with RH storage Ceph
Storage Server Administrator Securization with SELinux
CloudForms Administrator Differences between HP Elion and Openstack
JBoss Application Administrator Orchestration implementation with Cloud FormsGrazie
Maurizio Pagani Michele Vecchione Franco Fornaro
IT Solution /ADS Control Room Platform Infrastructural & ICT Make
Management Director / TIM Solution Platform
Management / TIM
#redhatosd
In collaborazione conPuoi anche leggere
