Dentro Selinux: Il “nuovo” paradigma della System

Security. Il caso TIM

#redhatosd In collaborazione con

Maurizio Pagani

Head Of IT Competence Center for Linux/Cloud/Hyperconverged Systems And Security / ADS

La maggioranza delle aziende confina la sicurezza su soluzioni “perimetrali” ritenendosi al sicuro. Escludendo cosi un occhio di riguardo sul sistema che è: 1) il reale target dell’attaccante 2) la parte più vulnerabile dell’infrastruttura 3) dove risiede il «dato» 4) dove risiede il core business (applicazioni/database/ecc..) 5) dove vengono effettuate operazioni di installazione software malevolo(rootkit/backdoor/ecc..)

«Ma se tutte le mie difese perimetrali sono state superate e ormai l’attaccante è riuscito ad accedere ai miei sistemi, cos’altro posso fare?»

Riflessione

SICURI DI ESSERE PROTETTI?

Mandatory Access Control

LA SOLUZIONE E’:

Manadatory Access

Control per Linux

Non è un software di terze parti da

installare, ma è già parte integrante del

Kernel (Linux Security Module)

SELinux blocca il comportamento di un

exploit, a differenza dei tradizionali HIPS che

bloccano tramite signature (vulnerabilità

conosciute)

SELinux è integrato nel kernel di Linux (RedHat, CentoS, Oracle Linux)

offrendo cosi il massimo della compatibilità con il vostro Linux Enterprise

Unico fornitore e quindi unico POC (point of contact)

COS’È L’ACCESS CONTROL?

L’access control è il sistema di security alla

base dei sistemi operativi. Dove di default troviamo il

Discrectionary Acess Control, e come layer

aggiuntivo per amplificare la nostra sicurezza

abbiamo il Mandatory Access Control

Access Control

Default

SELinux

DAC

MAC

DAC (Discrectionary Access Control)

Nel sistema viene definito un amministratore (Administrator in Windows e root per Unix like) Gli utenti ordinari hanno permessi solamente sui propri oggetti Ogni oggetto/utente/applicazione/processo può interagire con il kernel

E’ l’access control standard creato per gli ambienti militari (Layer aggiuntivo al DAC) Qualsiasi oggetto all’interno del sistema come utente, processo, applicazione, file, device, può essere profilato con una policy ad-hoc per dare determinati permessi mirati Gli accessi al Kernel vengono limitati, profilati, personalizzati, dando un certo perimetro di azione alle applicazioni, ai processi, e agli utenti

MAC (Mandatory Access Control)

DAC VS. MAC

Kernel Discretionary Access Control Once a security exploit gains access to privileged system components, the entire system is compromised

Kernel Policy

Enforcement

Mandatory Access Control Kernel policy defines application rights, firewalling applications from compromising the entire system

SELINUX & KERNEL

Software

Web Server - Apache

Hardware

Memory Addresses

KERNEL

KERNEL SELinux

partner di riferimento di Red Hat per le soluzioni di cybersecurity su sistemi Linux e, nello specifico, per la tecnologia SELinux

Una Web Console cetnralizzata in grado di poter amministrare SELinux configurato nei sistemi del datacenter del cliente: in questo modo il day-by-day diventa semplice in termini di competenza e gestibile in termini di effort

SELinux Administration Console SELinux Event Collector

è una Web Console in grado di raccogliere tutti i log SELinux generati dai sistemi del datacenter, effettuando la correlazione degli stessi e alerting.

SELINUX EVENT COLLECTOR

SELINUX ADMINISTRATION CONSOLE

TIM dopo aver «provato» SELinux, lo ha implementato facendone una soluzione per diverse esigenze legate all’infrastruttura della Nuvola Italiana: 1) Offerta Ospita Virtuale della Nuvola Italiana – Proteggere l’utente da sé stesso 2) Offerta Hosting Evoluto della Nuvola Italiana – Garantire la compliance 3) Proteggere le applicazioni della Nuvola Italiana dagli 0-day 4) Hardening spinto su OpenStack

SUCCESS STORY

NI Ospita Virtuale NI Hosting Evoluto Application Security OpenStack Security Un root che non è root Impedire all’utente finale di modificare il networking Impedire che l’utente finale possa impattare con l’interfaccia di rete che colloquia con la rete TIM

Rispettare le policy di gestione utenze legato alle normative, essendo cosi compliance. Impedire agli amministratori di poter gestire le utenze

Implementare una policy ad-hoc per ogni applicazione standard che viene utilizzata nella Nuvola Italiana Sviluppo di policy custom per applicazioni non-standard su richiesta del cliente finale Protezione contro gli 0-day

Proteggiamo il layer di virtualizzazione (Nova) Proteggiamo il layer di Software defined Network (Neutron) Policy ad-hoc per le applicazioni cloud Protezione contro gli 0-day

ADS Group – partner di riferimento di Red Hat per la System Security

Gruppo di aziende specializzato in soluzioni per l'ICT, Security ed IoT. Propone un portafoglio d'offerta completo e innovativo, che spazia dalle infrastrutture di telecomunicazione alle tecnologie di rete, dai data center alle piattaforme applicative, con forte verticalità sulle soluzioni più all'avanguardia in ambito Cyber Security ed IoT. Alcuni dei mercati di riferimento sono: Telco, Oil&Gas, Transportation, Media&Gaming, Energy&Utilities, Finance, Defence e PA.

CERTIFICAZIONI ACQUISITE: ¾ Certified System Administrator ¾ Certified Engineer ¾ Certified Virtualization Administrator ¾ OpenStack Certified Administrator ¾ OpenShift Certified Administrator ¾ Storage Server Administrator ¾ CloudForms Administrator ¾ JBoss Application Administrator

CAPABILITIES: 9 Implementation and configuration 9 Infrastructure as a Services (Iaas) 9 Tuning and customization on Openstack Juno and

Kilo 9 Integration with RH storage Ceph 9 Securization with SELinux 9 Differences between HP Elion and Openstack 9 Orchestration implementation with Cloud Forms

Franco Fornaro

Infrastructural & ICT Make Solution Platform Management / TIM

Dentro Selinux: Il “nuovo” paradigma della System

Security. Il caso TIM

#redhatosd In collaborazione con

Michele Vecchione

Control Room Platform Management Director / TIM

THE CLOUD EVOLUTION MARKET TRENDS

THE TIM ROLE AND THE ROLE OF OPEN-SOURCE

Why Open Source is Important for a CSP like TIM? • Reduce Operating Costs (Licences) • Reduce dependance from Big SW vendors • Allows competition based on Addictional Value Rather Than Access Price to known SW products • It is open to standardisation • Enable new business models (API economy, Eco-Systems, Market Place, SLA, cloud Federation)

Grazie

Maurizio Pagani

IT Solution /ADS

Michele Vecchione

Control Room Platform Management Director / TIM

#redhatosd

Franco Fornaro

Infrastructural & ICT Make Solution Platform

Management / TIM

In collaborazione con