Η έννοια του ελάχιστου προνομίου δηλώνει με απλά λόγια ότι όλοι οι χρήστες, οι εφαρμογές και οι διαδικασίες πρέπει να έχουν πρόσβαση μόνο στα ελάχιστα δεδομένα και τους πόρους που χρειάζονται για να εκτελέσουν τη δουλειά τους, και επιπλέον στο ελάχιστο δυνατό χρονικό διάστημα. Σε πολλές περιπτώσεις, το παραπάνω ισοδυναμεί με μία τυπική πρόσβαση χρήστη.
Παρόλα αυτά, πολλές βασικές λειτουργίες του λειτουργικού συστήματος ή βασικές λειτουργίες διαχείρισης, εφαρμογών και λογισμικού (π.χ. utilities ρύθμισης/ διαμόρφωσης) για τις πλατφόρμες Unix και Linux απαιτούν περισσότερα από την τυπική προνομιακή πρόσβαση. Παραδοσιακά, κάτι τέτοιο απαιτούσε από τους τελικούς χρήστες να διαθέτουν αυξημένα προνόμια υπό την έννοια του ονόματος χρήστη και κωδικού πρόσβασης root ή administrator. Για να ξεπεραστεί αυτός ο εγγενής κίνδυνος για την ασφάλεια και τη συμμόρφωση, οι οργανισμοί οφείλουν να άρουν την ανάγκη διανομής και διατήρησης διαπιστευτηρίων root και administration. Σε αυτό το σημείο είναι που εισέρχονται οι τρίτες εμπορικές λύσεις διαχείρισης προνομίων Unix/Linux. Οι Επιχειρησιακής κλάσης λύσεις του είδους, προσφέρουν πολλαπλά οφέλη σε σχέση με τις εγγενείς δυνατότητες των Unix/Linux και τα εργαλεία ανοικτού κώδικα όπως το sudo.
Αλλά από πού ξεκινάτε με τη διαχείριση προνομίων Unix/Linux;
Πως όμως είναι δυνατόν να ξέρετε τι πρέπει να αντιμετωπίσετε πρώτα; Τα 30+ χρόνια πρωτοπορίας της BeyondTrust στην αγορά ελάχιστου προνομίου για Unix/Linux λένε ότι μπορείτε να μειώσετε τις επιφάνειες επιθέσεων Unix/Linux και να βελτιώσετε τη συμμόρφωση κάνοντας πολύ καλά πέντε βασικά πράγματα. Παρακάτω βρίσκονται ορισμένα από τα βασικά χαρακτηριστικά και δυνατότητες του προϊόντος Privilege Management for Unix & Linux της BeyondTrust που σχετίζονται με αυτές τις περιπτώσεις χρήσης.
1) Καταργήστε την ανάγκη να συνδεθείτε ως root
Πολλοί χρήστες συστημάτων και εφαρμογών Unix και Linux χρησιμοποιούν τη φράση «χρειάζομαι (πρόσβαση) root» δηλώνοντας ότι μπορούν να εκτελούν τις καθημερινές τους εργασίες μόνο αν συνδεθούν ως «root», δηλαδή ως ο πιο ισχυρός χρήστης του συστήματος. Το Root αναφέρεται συχνά ως χρήστης «Θεός», καθώς δεν υπάρχουν και πολλά πράγματα που δεν μπορεί να κάνει ο χρήστης root.
Επιτρέποντας τη χρήση του λογαριασμού root περιπλέκει τη δυνατότητα ελέγχου των ενεργειών ενός ατόμου (ουσιαστικά προωθείτε τη κοινή χρήση λογαριασμού) και εμποδίζει τη χρήση ενός ισχυρού, μεταβλητού κωδικού πρόσβασης για τον λογαριασμό root εξαιτίας της ανάγκης χρήσης του λογαριασμού ανά πάσα στιγμή από πολλαπλές ταυτότητες. Τέτοια χαρακτηριστικά αυξάνουν δραματικά τους κινδύνους. Ο οργανισμός αντιμετωπίζει αυξημένο κίνδυνο από εσωτερικές απειλές (insiders) μέσω κακόβουλων ή και ακούσιων συμπεριφορών αλλά και από την επιπρόσθετη έκθεση σε εξωτερικές απειλές λόγω των αδύναμων και απαράλλαχτων κωδικών πρόσβασης. Σε αυτή τη περίπτωση έχουμε να κάνουμε με μηδενική ευθύνη και λογοδοσία όταν χρησιμοποιείται το root για την εκτέλεση διαχειριστικών εργασιών.
Η Διαχείριση Προνομίων για Unix & Linux εφαρμόζει ένα πραγματικό μοντέλο ανάθεσης ελάχιστων προνομίων. Το προϊόν επιτρέπει στους χρήστες να εκτελούν οποιαδήποτε εντολή σε υψηλότερο επίπεδο προνομίου, αρκεί να επιτρέπεται από μια πολιτική που έχει καθοριστεί στον κεντρικό διακομιστή πολιτικών. Καταργώντας την ανάγκη σύνδεσης των χρηστών ως root επιτρέπει την εφαρμογή πολύ πιο αυστηρών ελέγχων ασφαλείας γύρω από τον λογαριασμό χρήστη root. Η ενσωμάτωση ενός συστήματος διαχείρισης προνομιακών κωδικών πρόσβασης, όπως το BeyondTrust Password Safe, προσφέρει επιπλέον πλεονεκτήματα ασφάλειας και παραγωγικότητας με την προληπτική αποθήκευση και διαχείριση των συγκεκριμένων διαπιστευτηρίων.
Το προϊόν Διαχείριση Προνομίων για Unix & Linux (Privilege Management for Unix & Linux) δεν βασίζεται σε εργαλεία κλιμάκωσης προνομίων ανοικτού κώδικα όπως το sudo, μειώνοντας έτσι περαιτέρω τον κίνδυνο κρίσιμης σημασίας ευπαθειών.
2) Ενοποιήστε τα αρχεία καταγραφής συμβάντων και κάντε τα δεδομένα προσβάσιμα γρήγορα και αποτελεσματικά
Είναι ευρέως γνωστό ότι η φύση της γραμμής εντολών των συστημάτων Unix και Linux δεν προσφέρεται για «εύπεπτες» δυνατότητες αναζήτησης. Αυτό το μειονέκτημα γίνεται ιδιαίτερα εμφανές σε πολύ μεγάλα εταιρικά συστήματα με πολλαπλούς διακομιστές καταγραφής συμβάντων που λειτουργούν ταυτόχρονα. Λαμβάνοντας υπόψη τα παραπάνω, η ενοποίηση τεράστιων ποσοτήτων δεδομένων και η εύρεση αυτού που ψάχνετε, αποτελεί κλειδί για τον εντοπισμό λαθών και τον μετριασμό των κινδύνων.
Η BeyondTrust επιλύει αυτό το πρόβλημα μέσω της ισχυρής ενοποίησης του Privilege Management for Unix & Linux και του ElasticSearch/Logstash. Αυτή η ενοποίηση δίνει τη δυνατότητα στους πελάτες να εντοπίσουν αυτό που αναζητούν, γρήγορα και αποτελεσματικά. Το Privilege Management for Unix & Linux στέλνει δεδομένα από τα αρχεία καταγραφής στο ElasticSearch, όπου ευρετηριάζονται σχεδόν σε πραγματικό χρόνο. Τα ευρετηριασμένα δεδομένα μπορούν στη συνέχεια να αναζητηθούν από την αποκλειστική πλατφόρμα διαχείρισης της BeyondTrust.
To ενοποιημένο interface αναζήτησης επιτρέπει στους πελάτες να αναζητούν PMUL log data σε ένα εύχρηστο περιβάλλον αναζήτησης τύπου «Google». Αν και το συντακτικό αναζήτησης μπορεί να είναι απλό, παρέχει προηγμένες δυνατότητες αναζήτησης. Στις λειτουργίες σύνθετης αναζήτησης περιλαμβάνονται Λογικοί τελεστές (ή/ και), Προτεραιότητα, δυνατότητα αναζήτησης μπαλαντέρ, αναζήτηση ειδικών πεδίων ή/και ακριβής αναζήτηση με διπλά εισαγωγικά κ.ά. Τα τμήματα πληροφορικής επωφελούνται από την ορατότητα σε πραγματικό χρόνο που έχουν στα χέρια τους όσον αφορά την κατάσταση του κινδύνου που σχετίζεται με τα προνόμια Unix και Linux.
Τα Privilege Management for Unix & Linux και AD Bridge (η λύση της BeyondTrust για την συγκέντρωση/ κεντρικοποίηση του ελέγχου ταυτότητας ή την αυθεντικοποίηση για περιβάλλοντα Unix/Linux με την επέκταση των δυνατοτήτων ελέγχου ταυτότητας Kerberos και single sign-on του AD) εμφανίζουν τα ενοποιημένα αποτελέσματα αναζήτησης σε ειδικά πλέγματα. Οι τίτλοι επισημαίνουν τον αριθμό των αποτελεσμάτων για κάθε προϊόν και όλα τα αποτελέσματα αναζήτησης θα επισημαίνονται στο πλέγμα και στην κάρτα λεπτομερειών. Όλα τα αποτελέσματα μπορούν να ληφθούν σε μορφή json ή CSV.
Μπορείτε να διαβάσετε περισσότερα για αυτό το χαρακτηριστικό εδώ.
3) Επίτευξη συμμόρφωσης για τον λογαριασμό root – ανεξάλειπτη διαδρομή ελέγχου, μη παραποιήσιμα αρχεία καταγραφής
Κατά καιρούς, οι ανώτεροι διαχειριστές έχουν πραγματική ανάγκη να αξιοποιήσουν τις δυνατότητες root. Αυτές οι ευαίσθητες περιπτώσεις χρήσης μπορεί να περιλαμβάνουν ορισμένους τύπους αλλαγών σε επίπεδο συστήματος ή απλώς να αντικατοπτρίζουν την ad-hoc φύση των εντολών που μπορεί να χρειαστεί να καταχωρήσει. Η πρόκληση είναι ότι οι ομάδες συμμόρφωσης πρέπει να παρακολουθούν ΟΛΕΣ τις δραστηριότητες και να εξασφαλίσουν την υπευθυνότητα/ λογοδοσία για τις όποιες ενέργειες, ειδικά αν λάβουμε υπόψη το επίπεδο προνομίων που χρησιμοποιείται κατά τη διάρκεια αυτών των συνεδριών. Οι ομάδες συμμόρφωσης πρέπει να προσδιορίζουν ξεκάθαρα:
- ποιος χρησιμοποιούσε τον λογαριασμό root
- πότε χρησιμοποιούσαν τον λογαριασμό root
- ποιες δραστηριότητες εκτελέστηκαν/εντολές πληκτρολογήθηκαν από τον λογαριασμό root
Επιτακτική είναι επίσης και η προστασία των αρχείων καταγραφής από κάθε είδους παραβίαση/ παραποίηση. Η αναζήτηση στα αρχεία καταγραφής είναι κρίσιμης σημασίας ώστε η ομάδα συμμόρφωσης να έχει τη δυνατότητα να βρει αυτό που αναζητά γρήγορα και αποτελεσματικά.
Το Privilege Management for Unix & Linux επιτρέπει στους απλούς λογαριασμούς χρηστών να «ανυψώνουν» τα δικαιώματά τους σε επίπεδο root, με πλήρη καταγραφή των συνεδριών και υποστήριξη επαναλήψεων (replays), παρέχοντας μία κεντρική, ανεξάλειπτη και αδιάβλητη διαδρομή ελέγχου και απόλυτη υπευθυνότητα/ λογοδοσία για κάθε μεμονωμένο διαχειριστή συστήματος. Μια εξειδικευμένη πλατφόρμα διαχείρισης προσφέρει μια ισχυρή, ενοποιημένη εμπειρία αναζήτησης όπου όλα τα αρχεία καταγραφής ενοποιούνται και μπορούν να είναι αναζητήσιμα μέσω της ενσωμάτωσης ElasticSearch.
4) Ταχύτερη εγκληματολογική έρευνα, όταν ο χρόνος είναι πολύτιμος
Η καταγραφή όλης της δραστηριότητας των χρηστών Unix/Linux μπορεί γρήγορα να γίνει αβάσταχτη. Όταν διεξάγεται μία εγκληματολογική έρευνα, οργανισμοί και εταιρείες θα χρειαστεί να ξοδέψουν αρκετό χρόνο και να απασχολήσουν ανθρώπινο δυναμικό για την εκτέλεση ερευνών, καθώς ο μεγάλος όγκος των δεδομένων που δημιουργείται ενδέχεται να είναι υπερβολικός.
Με το Privilege Management for Unix & Linux, τα αρχεία καταγραφής συμβάντων μπορούν να ονομάζονται δυναμικά, να βρίσκονται σε μία κεντρική τοποθεσία και η πρόσβαση σε αυτά να ελέγχεται από μία κεντρική κονσόλα διαχείρισης. Το προϊόν της BeyondTrust χρησιμοποιεί το Elastic για την ευρετηρίαση όλων των καταγεγραμμένων συνεδριών ή περιόδων σύνδεσης και όλα τα δεδομένα και οι πληροφορίες είναι προσβάσιμες μέσω της γραμμής εντολών ή του REST API. Τα δεδομένα ευρετηριάζονται σχεδόν σε πραγματικό χρόνο, ώστε οι πελάτες να μπορούν να δημιουργήσουν προληπτικά αναλυτικά στοιχεία χρησιμοποιώντας τον ενσωματωμένο πίνακα ελέγχου Kibana.
5) Καταγράψτε όλες τις συνεδρίες Unix/Linux – όλα όσα πληκτρολογούνται, όλα όσα φαίνονται
Η αρχή του ελάχιστου προνομίου είναι ιδανική για τις περισσότερες ομάδες ασφαλείας, αλλά μερικές φορές, απλώς χρειάζεται να παραχωρήσετε ένα προνομιακό shell, όπως ένα shell σε επίπεδο root. Οι αυστηροί έλεγχοι είναι ένας καλός τρόπος για να κάνετε τους ανθρώπους να συμπεριφέρονται τίμια. Έτσι, για τους διαχειριστές που είναι εμπιστοσύνης, δεν αποτελεί ζήτημα το πλήρες root shell, εφόσον η δραστηριότητά τους καταγράφεται με ασφαλή και απαραβίαστο τρόπο για να καλύπτονται οι ανάγκες συμμόρφωσης.
Μια απλή γραμμή στο Privilege Management for Unix & Linux ενεργοποιεί την πλήρη καταγραφή της συνεδρίας, η οποία στη συνέχεια ονομάζεται δυναμικά και ευρετηριάζεται αυτόματα αξιοποιώντας το ElasticSearch. Χάρη σε αυτή τη δυνατότητα, οι οργανισμοί μπορούν να προβάλλουν τη συνεδρία με πολλούς διαφορετικούς τρόπους:
- με διαδραστική αναπαραγωγή
- με αναπαραγωγή τύπου βίντεο
- με μεταγραφή συνεδρίας
- με ιστορικό εντολών
- με ευρετήριο με δυνατότητα αναζήτησης (αυτή η δυνατότητα παρέχει ευελιξία για γρήγορη ενεργοποίηση και αναζήτηση της δραστηριότητας των χρηστών, μειώνοντας τον κίνδυνο).
Πόσο καλά εκτελείτε καθεμία από αυτές τις πέντε δραστηριότητες σήμερα; Τι σας εμποδίζει;
Μήπως ήρθε η ώρα να αποσύρετε (ή να παραγκωνίσετε) το sudo;
Το sudo υπάρχει εδώ και πολύ καιρό. Καθώς ο αριθμός των συστημάτων και των χρηστών αυξάνεται, η διαχείριση του sudo έχει γίνει ιδιαίτερα χρονοβόρα και μη βιώσιμη ακόμη και σε περιβάλλοντα με μέτρια πολυπλοκότητα. Συνδυάστε τώρα το παραπάνω με τους περιορισμούς που υπάρχουν στα διαθέσιμα στοιχεία ελέγχου στο sudo, και τα συστήματα πλέον μοιάζουν να είναι υπερβολικά εκτεθειμένα σε έναν αυξανόμενο αριθμό εσωτερικών και εξωτερικών απειλών για την ασφάλεια.
Το Privilege Management for Unix & Linux παρέχει μία πολύ πιο ευέλικτη γλώσσα πολιτικής, επιτρέποντας τη δημιουργία απείρως πιο λεπτομερών πολιτικών τόσο σε επίπεδο εντολών όσο και σε επίπεδο συστήματος. Το Privilege Management for Unix & Linux αυξάνει την ασφάλεια με διάφορους τρόπους, με τη μεταφορά της πολιτικής και των δεδομένων καταγραφής εκτός του σταθμού εργασίας ή του διακομιστή των χρηστών, αξιοποιώντας τη πιο πρόσφατη τεχνολογία κρυπτογράφησης για τα δεδομένα τόσο κατά τη μεταφορά τους όσο και όταν βρίσκονται σε κατάσταση ηρεμίας.
Τα οφέλη όσον αφορά τη συμμόρφωση και την ασφάλεια από τη χρήση μιας εμπορικής λύσης ελάχιστου προνομίου έναντι των εγγενών δυνατοτήτων του sudo είναι πολλά και σημαντικά. Και για αυτούς τους οργανισμούς που βρίσκονται σε ένα ταξίδι μηδενικής εμπιστοσύνης, η λύση της BeyondTrust παρέχει όλους τους απαραίτητους ελέγχους ασφαλείας γύρω από τα συστήματα Unix/Linux και τη διαχείριση τους.
Καθώς εξετάζετε το πως να βελτιώσετε την ωριμότητα της ασφάλειας και της συμμόρφωσης του διακομιστή Unix/Linux σας, εξετάστε και τις παραπάνω πέντε περιπτώσεις χρήσης που βρίσκονται σε αυτό το άρθρο.
Πηγή: BeyondTrust