Protección entornos virtuales con Critical System Protection Jose Carlos Cerezo TSO Principal System Engineer David Fernandez Business Developer Manager for TRM
Agenda 1 2 3 4 5 6 Que es Symantec Critical System Protection Entendiendo las amenazas Infraestructura vsphere / ESX Protegiendo tu entorno virtual Revisión de las políticas Eventos e informes 2
Protección entornos virtuales con Critical System Protection Que es Symantec Critical System Protection
Symantec Critical System Protection Beneficios Reducir indisponibilidad Aumentar seguridad Ayudar Cumplimiento Respuesta Brechas Mejora del programa de seguridad Virtual Patching Sistemas legacy Solución para proteger Hipervisor Unix, Windows, Linux Monitorización en tiempo real de integridad de ficheros Monitorización en tiempo real de los eventos del sistema / aplicaciones Identifica actividad sospechosa Respuesta automática cuando una política de prevención es incumplida Mejora la monitorización - Detección Controla / restringe a los administradores Bastionado entornos 4
Como funciona CSP Control de comportamiento Control del sistema Protección de red Auditoría y alerta Restringir aplicaciones y comportamiento s de OS Protección del sistema contra Buffer Overflow Protección con los ataques de día cero Whitelisting Prevención Exploit Prevención Locks down configuraciones Aplicación de políticas de seguridad De-escalado de privilegios de usuarios Prevención de uso de dispositivos externos Re Limitar las conexiones de red por aplicaciones Restringir el tráfico de entrada y salida Cerrar puertas traseras Detección Monitorización de logs y eventos Consolidar logs y reenvió para almacenamiento y reporting Monitorización de la integridad de ficheros en tiempo real Envío alertas vía SNMP / SMTP Visibilidad en tiempo real. Máximo control
Cómo protegemos Sandboxing crond Programas del sistema Servicios CORE OS RPC LPD Printer Aplicaciones Mail Web La mayoría de los programas requieren un conjunto de acceso a recursos y permisos limitados para su funcionamiento Pero la inmensa mayoría tienen acceso a recursos y permisos mas haya de sus necesidades. Atacantes usan este GAP Restricciones de acceso Ficheros Registro Lectura / Escritura sobre ficheros de datos Solo lectura información de configuración Programas interactivos RSH Shell Browser Crean sandbox o jaulas de contención para uno o mas programas (procesos) usando políticas que definen controles de mínimos privilegio o aceptable en los accesos a recursos Red Dispositi vos Memoria Uso de puertos y dispositivos seleccionados Process Access Control
Como monitorizamos RTFIM Sistemas Operaciones de sistemas Como funciona Servicios Core OS crond RPC LPD Printer Aplicaciones Web Mail Email Client Office IE Browser System, Application & Security Events Settings Files 1. 2. 1. 2. 3. 3. SCSP recolecta eventos y los compara con un conjunto de reglas IDS (personalizables o librería), Monitoriza y registra what, where, when y whom hizo los cambios, Logging avanzado E/S de OS System & Text Logs Create/Modify/Delete Settings Create/Modify/Delete Files Envio de alertas a consola Programas interactivos Toma de accion cuando ocurre coincidencia Alamacenamiento evento en SCSP log local
Solución probada y reconocida Capture The Flag Challenge: Black Hat Conference, 2011, 2012 Desafio: Flag oculta en un equipo sin parches (XP y 2000) Protegido con Symantec CSP out-ofthe box activado política de prevención Hackers/Pen-testers se les desafía a capturar la flag Resultado: Nadie fue capaz de capturar la Flag (vulnerar el equipo) Incluso con acceso físico al mismo si hubiésemos sabido que estaba protegido por un sistema SandBoxing Ni lo hubiésemos intentado 8
Protección entornos virtuales con Critical System Protection Entendiendo las amenazas
Problemática tradicionales entornos físicos Monitorización ficheros y configuraciones - BLOQUEO Malware instalado para capturar datos y cambiar configuraciones Monitorización de comportamientos de aplicaciones / procesos - BLOQUEO Ataques con exploit a aplicaciones para obtener acceso Prevención de ejecución de aplicaciones no autorizadas Infección a través de un adjunto o link Monitorizar los cambios en permisos de acceso - BLOQUEO Acceso no autorizado a servidores File Server Email Server Application Server Web Server Cambios no autorizados en configuraciones y robo de información Monitorizar cambios inapropiados - BLOQUEO Domain Controller Server Database Server SOURCE: NIST Guide to General Server Security Internet Puertas traseras que habilitan acceso no autorizados Monitorizar acceso inapropiado - BLOQUEO 10
Problemática entornos virtuales (I/II) Administradores de la infraestructuras virtualización son todo poderosos - Quién los controla? Borrar máquinas virtuales accidentalmente Realizar copias de las máquina virtuales pudiendo ocasionar una fuga de información Cambios de parámetros accidentales en configuraciones de las máquinas impactar al rendimiento y disponibilidad
Problemática entornos virtuales (II/II) Hypervisor (Host) comprometido Todas las máquinas virtutales (Guest) comprometidas Maquina virtual comprometida (Guest) Puede comprometer el Hypervisor (Host)
Protección entornos virtuales con Critical System Protection Infraestructura vsphere / ESX
VMware vsphere arquitectura y SCSP vsphere Web Client (Browser-based Adobe Flex/Flash) vcenter Database vcenter Server vcenter Linked Mode Cluster Datastores ESX/ESXi Host vsphere Client Update Manager and other plug-ins vsphere CLI vcenter Server Inventory Service vcenter Orchestrator Datastores vsphere PowerCLI vcenter Database vsphere Protection Policy vsphere Application Detection Policy vsphere Windows Baseline Detection Policy Update Manager Database Support Tools Update Manager Web Client Syslog Collector ESXi Dump Collector Auto Deploy Authentication Proxy Datacenter vsphere ESXi/ESX Detection Policies vsphere ESX Protection Policy VM guest Template Detection and prevention Policies
VMware Guías de bastionado VSH01 Maintain supported operating system, database, and hardware for vcenter VSH02 Keep VMware center system properly patched VSH03 Provide Windows system protection on VMware vcenter server host VSH04 Avoid user login to VMware vcenter server system VSH06 Restrict usage of vsphere administrator privilege VSH10 Clean up log files after failed installations of VMware vcenter server VSC03 Restrict access to SSL certificates VSC05 Restrict network access to VMware vcenter server system VSC06 Block access to ports not being used by VMware vcenter VUM03 Provide Windows system protection on Update Manager system VUM04 Avoid user login to Update Manager system HMT03 Establish and maintain ESXi configuration file integrity HMT15 the messages kernel log file should be monitored for specific errors 15
Protección entornos virtuales con Critical System Protection Protegiendo tu entorno virtual - VMware
Desde el punto de vista ESX Arquitectura VMware ESX Protección maquinas virtuales (VM Guest) CSP puede ser instalado en cada una de las máquinas virtuales para proteger los sistemas a través de entornos de ejecución y bloqueo de configuraciones. Service Console Hardware Monitoring Agents System Management Agents CLI Commands for Config and Support Infrastructure Agents (NTP, Syslog, etc.) VMware Management Framework VMware ESX VMkernel VM Support and Resource Management Protección infraestructura de virtualización CSP es desplegado sobre ESX Service Console (RHEL) con las políticas IDS e IPS activas Políticas IPS - Highlights: Protege los ficheros / directorios críticos de ESX, los puertos de red y los procesos claves. Control de ejecución de la shell de comandos de Vmware y utilidades. Proveer la capacidad para limitar las conexiones de programas no-esx Políticas IDS - Highlights: Out-of-the box políticas de prevención y detección basadas en el conjunto de buenas prácticas de VMware Monitorizar eventos de seguridad detectar sintomatología de amenazas. Monitorizar los fichero de configuración críticas de los VMware host. 17
Desde el punto de vista de ESXi Arquitectura VMware ESXi WMWare Management Framework VMkernel Infrastructure Agents (NTP, Syslog, etc.) VMware ESXi VM support and Resource Management CSP Agent OS vcli vcli for Config and Support Agentless Systems Mgmt Agentless Hardware Monitoring Protección maquinas virtuales (VM Guest) CSP puede ser instalado en cada una de las máquinas virtuales para proteger los sistemas a través de entornos de ejecución y bloqueo de configuraciones. Protección infraestructura de virtualización Agente CSP como una VM guest para monitorizar ESXi Monitorizar múltiples ESXi (data center) Mecanismos para monitorizar ESXi: Usa vcli para acceder a los ficheros de configuración y log ESXi a travñes del CSP Agent Acceder a los ficheros de configuración de las VM guest a través de los interfaz vcli a través del SCSP agent CSP desplega un agente para monitorizar el host ESXi y la configuración de las VM guest usando vcli Informes predefinidos de configuración para ESXi Políticas IDS - Highlights: Monitoriza todos los ficheros de configuración críticos de la suite completa de Vmware (22) accesibles a través de vcli. 18
Desde el punto de vista del servidor vcenter Agente CSP desplegado en vcenter Server con políticas out-of-the-box vcenter políticas IPS - Highlights: vcenter Server SQL DB VMWare vcenter Server 5.0 (64 bit Windows) vcenter Server LDAP 64-bit Windows OS Tomcat Web Service Política para proteger los componentes de la aplicación (vcenter Server, vcenter Orchestrator, vcenter Update Mgr) Política para proteger los componentes de la infraestructura (SQL Express DB, Tomcat, JRE). Restringir los puertos de conexión al vcenter para solo programas confiables. Proteger el acceso a las utilidades de vcenter. Protección de los ficheros de configuración y directorios críticos (eje. Certificados y logs). vcenter políticas IDS - Highlights: vcenter Windows Detection Policy Política predefinida para detectar cambios en usuarios / grupos, logins fallidos vcenter Application Detection Policy Política para realizar RTFIM de los binarios y configuración de vcenter y monitorizar los logs de vcenter. 19
Protección entornos virtuales con Critical System Protection Revisión de las políticas vcenter, ESX, ESXi
ESX detection policy 21
ESXi detection policy 22
vsphere vcenter detection policy for the application 23
vsphere vcenter detection policy for the Windows 24
ESX prevention policy 25
ESX prevention policy 26
vsphere vcenter prevention policy 27
vsphere vcenter prevention policy 28
Protección de las VM Guest No es complicado!!! Plantillas por defecto para la protección Core Strict Limited Execution Prevención - Default Core OS Protección con compatibilidad max. de aplicaciones Protección a los ataques de aplicaciones y procesos mas comunes + Protección Buffer Overflow (BO) Todos los programas desconocidos son tratados en un entorno de ejecución seguro monitorizado Strict OS yprotección con control de aplicaciones Protección a los ataques de aplicaciones y procesos mas comunes + Protección Buffer Overflow (BO) + Bloqueo de red (no entrada y salida 80, 135, 389 & 443) Todos los programas desconocidos confinados No pueden escribir sobre fichero críticos del sistema ni ejecutables Limits execution de aplicaciones Mismo que stric, solo que todas las aplicaciones desconocidas son denegadas excepto aquellas definidas por whitelist Prevencion a lo desconocido Toda aplicación desconocida es confinada a un DEFAULT PSET. Entorno de ejecución aislado y protegido 29
Protección entornos virtuales con Critical System Protection Eventos e informes
Instalación vcenter Server usando una cuenta de servicion en vez de una cuenta built-in Windows (VSH05)
vcenter Acceso a la clave SSL (VSC02)
vsphere Software Tamper Protection
vsphere Reporting Queries All VMware Systems vsphere Mgt Systems ESXi Hosts Virtual Machines Dashboard Report
ESXi Trends, Top 10, Event Counts Eventos específicos para los cambios de configuración de ESXi y monitorización de log; inlcuyendo logins consola y actividad shell
ESXi Trends, Top 10, Event Counts FIM Event Counts Log Event Counts Event Counts by Host
ESXi Drill Down Event Details FIM Event Details including Diff Text Login Event Details including source log message Shell Usage Event Details including source log message
VMX Changes Policy Digest and Event Details Policy Digest Información de las reglas y conteo de eventos por HOST. Practico para observar la cobertura de la política de bastionado: VMX Configuration changes including Diff Text
VMX Location/Movement Report Using change details to track coming and going of VMx VM Current Location VM Move Tracking ESXi Host List of Current VMs
Top vsphere Resources and Processes and Event Counts Events related to vsphere configuration changes, resource accesses and log monitoring Protecting your Virtual Environments with Symantec Critical System Protection
Multi-Page VMware Infrastructure Report Example Trends and Top n Dashboard View Protecting your Virtual Environments with Symantec Critical System Protection
Resumen VM1 VM2 VM3 APP APP APP Protegemos las máquinas virtuales (VM Guest) OS OS OS Monitorizamos y protegemos el Hipervisor ESX/ESXi vcenter Protegemos vcenter en base a las guías de bastionado de VMware 42
Thank you! Josecarlos_cerezo@symantec.com TSO Principal System Engineer David_fernandez@symantec.com Business Developer Manager for TRM Copyright 2011 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. 43