Embed Size (px)
Citation preview
Автоматизацияcompliance-проверок
AlexanderSekretov &EkaterinaPukhareva
Архитектура
Цикл процесса по управлению уязвимостями
DiscoveryFindingalivehost
AssessmentWhatassets?
AnalysisWhattofixfirst?
RemediationFix the problem
• Сколько времени наобработку?
• Риски?
Сканированиевнешнегоивнутреннегопериметров
Сканированиеассетов:• Рабочиестанции,сервера,сетевоеоборудование
• оценкаCVSS
• Обработка• Принятие риска
Compliance-проверки
Nessus.auditfiles(кастомныеилидоработанныеплагины)- Операционныесистемы(SSH,парольнаяполитика,
локальныеУЗ,аудит,ит.д.)- Базыданных(привилегииит.д.)- Networkdevices(SSH,SNMPит.д.)- др.
ПроверкатехническихтребованийPCIDSSидр.стандартов
Аудит-файлдляDebianLinuxПарольнаяполитика
Аудит-файлдляDebianLinuxНебезопасныепротоколы
Отчеты
Дашборды
Автоматизацияcompliance-проверокVMwarevSphere
СканироватьvSphereчерезvSphereSDK
(SOAPAPI)умеют:
§ MaxPatrol
§ Nessus/SecurityCenter
Недостатки:
o Неполнотапокрытия(~70%контролейESXi)
o Частьоставшихся~30%проверокEnterprise-
решениямогутосуществитьчерезSSH и
локальныйroot
Критичныеконтроли,длякоторыхнеуказан
способпроверкичерезAPI:
§ vSphere-5.x-esxi-remove-authorized-keys
§ vSphere-5.x-esxi-set-password-complexity
§ vSphere-5.x-esxi-create-local-admin
Вариантыреализацииданныхпроверок:
o Вручнуюнакаждомхосте
o ПредоставитьrootдоступсканеруккаждомуESXi и
держатьSSHвключенным(противоречитvSphere-5.x-
esxi-disable-ssh)
ЧемсканироватьvSphere?
§ Python + vSphere SDK (+multi-processing, PostgreSQL, web-interface)
§ Не вносит изменений в vSphere§ Поддержка vSphere 5.x, 6.0§ Проверки выбираются динамически в
зависимости от версии ESXi
§ Проверяет все пункты Hardening Guide через API, в т.ч.:
• SNMP v3 (vSphere-5.5-esxi-config-snmp)• Local Admin (vSphere-5.5-esxi-create-local-admin)• Managed Object Browser (vSphere-5.5-esxi-disable-
mob)• Acceptance Level (vSphere-5.5-esxi-verify-
acceptance-level-*)• Dump Collector (vSphere-5.5-esxi-enable-remote-
dump)• Admin Group (vSphere-5.5-esxi-verify-admin-group)• Kernel modules (vSphere-5.5-esxi-verify-kernel-
modules)• SSH Keys (vSphere-5.5-esxi-remove-authorized-keys)• Password Policies (vSphere-5.5-esxi-set-password-
complexity) - даже в ESXi 5.x• Exception Users (ESXi 6.0)
Внутренняя разработка, которая умеет больше, чем enterprise-решения.
vForge Scanner
УЧЕТНАЯЗАПИСЬНАESXi
Рольс3привилегиямииз253
УЧЕТНАЯЗАПИСЬНАVCENTER
Рольc7привилегиямииз253
ДОСТУППО443ПОРТУ
РаботаетчерезродноеvSphereAPI
vForge Scanner
v C e n t e r S e r v e r
ОбычноодинсерверНастройка- вручную
E S X i
Количествогипервизоровисчисляетсявдесятках.Настройка- вручную
V i r t u a l M a c h i n e s
КоличествоVM– тысячи~50параметровVMXна
каждуюмашину.Необходима
автоматизация
• ВсетребованияHardeningGuideвчастиVMотносятсякизменениюконфигурационногофайлаVMX виртуальноймашины.
• НевсепараметрыVMXотображаютсявсвойствахVM• VMX-файлсчитываетсягипервизоромвмоментинициализациивиртуальноймашины
КакнастроитьvSphere
О Б С У Д И Т Ь V M X - К О Н Ф И Г ИС В Л А Д Е Л Ь Ц А М И V M
С Д Е Л А Т Ь B A C K U PV M X - К О Н Ф И Г О В
В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т ЬН А С Т Р О Й К И
Необходимо согласовать параметры VMX с владельцами виртуальных машин. Где-то в продуктовой среде могут быть необходимы:
§ Floppy/CD/USB устройства§ Диски в режиме Independent Non-persistent§ Различные значения RemoteDisplay.maxConnections
После обсуждения необходимо сформировать внутренний стандарт конфигурации со значениями параметров, индивидуальных для вашей продуктовой среды.
vForge Framework
О Б С У Д И Т Ь V M X - К О Н Ф И Г ИС В Л А Д Е Л Ь Ц А М И V M
С Д Е Л А Т Ь B A C K U PV M X - К О Н Ф И Г О В
Backupудобноделатьскриптом,напримерPython+vSphereSDK.
VMX-конфиги виртуальныхмашиннеобходимоскачиватьнапрямуюсDatastore
vForge Framework
В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т ЬН А С Т Р О Й К И
О Б С У Д И Т Ь V M X - К О Н Ф И Г ИС В Л А Д Е Л Ь Ц А М И V M
С Д Е Л А Т Ь B A C K U PV M X - К О Н Ф И Г О В
В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т ЬН А С Т Р О Й К И
• Windows – есть технологические окна для применения обновлений
• Unix – как правило, задублированы или кластеризованы
• DB – switchover
Время для перезагрузки оставшихся VM (недоменные Windows, testing environment) обсуждается индивидуально с их владельцами
vForge Framework
О Б С У Д И Т Ь V M X - К О Н Ф И Г ИС В Л А Д Е Л Ь Ц А М И V M
С Д Е Л А Т Ь B A C K U PV M X - К О Н Ф И Г О В
В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т ЬН А С Т Р О Й К И
КонфигурацияVM (PowerCLI):
1) VMwareToolsGuestPowerOff*2) Reconfig3) PowerOn
*VMwareToolsдолжныбытьустановлены,впротивномслучаеневозможноплавноевыключениегостевойОС
КонфигурацияTemplate (PowerCLI):
1) ConverttoVM2) Reconfig3) Converttotemplate
vForge Framework
О Б С У Д И Т Ь V M X - К О Н Ф И Г ИС В Л А Д Е Л Ь Ц А М И V M
С Д Е Л А Т Ь B A C K U PV M X - К О Н Ф И Г О В
В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т ЬН А С Т Р О Й К И
vForge Framework
100% 0 18 2формализованных
контролейHardeningGuideпроверяютсячерезvSphere
SDK
привилегированныхУЗнеобходимодлясканирования
минуттребуетсядлясканирования30ESXi и
1200VM
месяцаушлонанастройкувсей
виртуальнойсреды
ПО К РЫ Т И Е С Т А НД А Р Т А
НО ВЫ Е А ДМИНИ С Т Р А Т И В НЫ Е
У З
В Р ЕМЯС К А НИ РО В А НИ Я
В Р ЕМЯНА С Т Р ОЙ К И
Итоги
Навнутреннемпорталесделанвеб-
интерфейссграфиками,
результатамискановифильтром
WEB I N T E R F A C E
Итоги
Навнутреннемпорталесделанвеб-
интерфейссграфиками,
результатамискановифильтром
WEB I N T E R F A C E
Итоги
§ Авто-заведениетикетов вJIRA
§ Аудитуязвимостей(черезvSphereSDK,
никакогоSSH)
§ Проверкаустановленныхпатчей
§ ИнтеграциясVulners.com
§ Виртуальныйapplianceсовсем
функционалом:
- Сканирование- BackupVMX- НастройкаvCenter/ESXi/VM- Отчеты- Графики- Ретроспектива
Планы
Вопросы?
