SlideShare une entreprise Scribd logo

Sicurezza negli ambienti virtualizzati

M
Marco Vanino
Technologie
1  sur  27
Télécharger pour lire hors ligne
Open Source Day 2013 La sicurezza negli ambienti virtualizzati Marco Vanino mvan@spin.it
Sicurezza in ambiente virtualizzato Virtualizzazione 1 computer fisico = 1 computer logico 1 computer fisico = N computer logici
Sicurezza in ambiente virtualizzato Implicazioni di sicurezza – maggiore impatto in caso di guasti, sovraccarico, violazione del host/hypervisor – maggiore superficie di attacco
Sicurezza in ambiente virtualizzato Il livello di sicurezza di un sistema virtualizzato è dipendente dai livelli di sicurezza di ogni suo singolo componente  Host e Hypervisor  Storage  Rete  Gestione del sistema
Sicurezza fisica Chiunque abbia accessibilità diretta agli host, ai dispositivi di storage e agli apparati di rete può potenzialmente ottenere autorizzazioni privilegiate
Sicurezza fisica controllo dell'accesso a locali e/o armadi ● serrature “tradizionali” – – – ● chiavi lucchetti combinazioni controllo elettronico – – codici di accesso dispositivi di identificazione personale
Sicurezza fisica registrazione degli accessi – registri cartacei – log ● ● file database Data Nome Ingresso Uscita Motivo 29/11/2013 Marco Vanino 08:30 09:30 Upg. RAM SRV023 29/11/2013 Mario Rossi 09:45 12:15 Collegamento nuovo datastore 29/11/2013 Laura Bianchi 14:00 14:15 Test manuale UPS
Host e Hypervisor Hardware ● rimuovere o disabilitare i dispositivi non necessari Sistema operativo ● installazione minimale del sistema operativo ● ● ● kernel e relativi moduli applicazioni utility ● disinstallare o disabilitare i servizi non necessari ● configurare policy di sicurezza (SELinux/AppArmor) ● aggiornamento costante
Host e Hypervisor Management – limitare l'accesso diretto con credenziali privilegiate – interfaccia di rete dedicata ● – filtri (ACL) a livello IP ● ● – subnet dedicata out-of-band o VLAN separata limitare l'accesso ai soli amministratori permettere il collegamento solamente ai dispositivi strettamente necessari alla gestione accesso dall'esterno via VPN
Storage Array di dischi – Sicurezza dati ● ● – RAID6/RAIDZ2 RAID7/RAIDZ3 Sicurezza dati e prestazioni ● ● RAID10/ZFS Striped mirror Soluzioni precedenti + SSD caching
Storage Immagini dei dischi virtuali su file – indipendenza dal hardware – facilità di copia/esportazione – ripristino in tempi rapidi delle VM – furto dei dati semplificato
Storage Reti dedicate ● ● migliori prestazioni maggiore sicurezza Ridondanza delle connessioni ● ● multipath interface bonding
Storage Accesso controllato a LUN e/o condivisioni di rete ● iSCSI – – – ● NFS – ● ACL per IP LUN masking (IQN/EUI/NAA) CHAP (unidirezionale/bidirezionale) exports (IP, nome DNS) Fiber Channel – – zoning (port o WWN) LUN masking (WWN)
Storage backup – piano di backup/recovery ● ● ● – cosa copiare come copiare (immagini dischi, file, dump db) policy di retention e archiviazione conservazione copie ● ● locali o edifici esterni siti remoti
Storage backup – copie applicazioni “complesse” (db, AD, MS-Exchange) ● ● ● database dump agenti Volume Shadow Copy – replica/sincronizzazione remota – protezione e cifratura copie – verifica restore
Rete ● VLAN dedicata per management ● Accesso controllato agli apparati – Autenticazione, Autorizzazione e Accounting (AAA) ● ● RADIUS, LDAP, TACACS Ridondanza dei collegamenti LAN/WAN – gestione failover – incremento delle prestazioni
Rete Protezione VM – zone di sicurezza (VLAN, switch e firewall virtuali) – ACL sulle porte degli switch virtuali Perimetro e accesso remoto – Firewall/UTM ● – controlli a L3 o superiore VPN ● ● IPSec, SSL controllo accessi (RADIUS, LDAP)
Rete ● gestione di QoS ● monitoraggio apparati fisici e virtuali – ● SNMP, NetFlow/IPFIX, SPAN/RSPAN gestione centralizzata degli apparati – SDN (OpenFlow)
Gestione del sistema Amministrazione – limitare l'accesso diretto alla console – separazione dei ruoli amministrativi ● ● ● ● – hypervisor datastore rete VM politiche di accesso role based (RBAC)
Gestione del sistema Amministrazione – assegnazione pool di risorse per utente/gruppo ● ● ● ● ● – numero massimo di istanze CPU memoria storage Networking controllo centralizzato degli accessi ● AD, LDAP (389 Directory Server, FreeIPA)
Gestione del sistema Evitare la proliferazione incontrollata delle VM – definire il ciclo di vita delle macchine virtuali – mantenere un inventario aggiornato – documentare (e mantenere aggiornate le informazioni) – utilizzo di Configuration Management Database (CMDB)
Gestione del sistema monitoraggio dell'utilizzo delle risorse ● ● ● ● CPU RAM storage rete gestione avvisi e allarmi ● ● email SMS bilanciamento del carico ● distribuzione delle risorse sugli hypervisor
Gestione del sistema gestione dei log – log centralizzati – sincronizzazione dell'orario via NTP – analisi sistematica dei log utilizzo di IDS/IPS – individuare attacchi o infezioni dovute a malware – individuare traffico di rete anomalo
Gestione del sistema Amministrazione VM – limitare l'utilizzo diretto alla console delle VM ● – preferire l'accesso via RDP o SSH aggiornamenti ● ● sistemi operativi applicativi
Gestione del sistema Amministrazione VM – Protezione ● ● ● – antivirus antimalware firewall interno Resilienza ● configurazioni high availability – – gestite dal sistema di virtualizzazione cluster (heartbeat)
Piano di emergenza sito di ripristino – disponibilità hardware (server, SAN/NAS, dispositivi di rete) kit di ripristino – tastiera, mouse, monitor, USB hub, HBA, cavi, adattatori, chiavi/contatti per l'accesso ai locali – supporti di installazione (CD, DVD, USB key) – software di supporto (driver, software di restore) – documentazione cartacea aggiornata
Piano di emergenza kit di ripristino: documentazione – definizione dei compiti (chi deve fare, cosa deve fare) – come e dove recuperare l'hardware (server, SAN/NAS, apparati di rete) – come e dove recuperare le copie e come utilizzarle – credenziali – priorità di ripristino dei servizi – descrizione delle operazioni – check list post installazione

Recommandé

BYTE Engineering Services presentation
BYTE Engineering Services presentationBYTE Engineering Services presentation
BYTE Engineering Services presentationDino Fornaciari
 
Proteggi il tuo cammino verso l’industria 4.
Proteggi il tuo cammino verso l’industria 4. Proteggi il tuo cammino verso l’industria 4.
Proteggi il tuo cammino verso l’industria 4.Jordi García
 
Open Security
Open SecurityOpen Security
Open SecurityFrancesco Taurino
 
Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Antonio Capobianco
 
Network Security
Network SecurityNetwork Security
Network SecurityReal Comm
 
Overview monitoraggio servizi erogati in rete tramite Nagios
Overview monitoraggio servizi erogati in rete tramite NagiosOverview monitoraggio servizi erogati in rete tramite Nagios
Overview monitoraggio servizi erogati in rete tramite NagiosLuca Lomi
 
Simple Network Management Protocol
Simple Network Management ProtocolSimple Network Management Protocol
Simple Network Management Protocolmichelemanzotti
 
Monitoraggio di rete con nagios
Monitoraggio di rete con nagiosMonitoraggio di rete con nagios
Monitoraggio di rete con nagiosCe.Se.N.A. Security
 

Recommandé

BYTE Engineering Services presentation
BYTE Engineering Services presentationBYTE Engineering Services presentation
BYTE Engineering Services presentationDino Fornaciari
 
Proteggi il tuo cammino verso l’industria 4.
Proteggi il tuo cammino verso l’industria 4. Proteggi il tuo cammino verso l’industria 4.
Proteggi il tuo cammino verso l’industria 4.Jordi García
 
Open Security
Open SecurityOpen Security
Open SecurityFrancesco Taurino
 
Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Antonio Capobianco
 
Network Security
Network SecurityNetwork Security
Network SecurityReal Comm
 
Overview monitoraggio servizi erogati in rete tramite Nagios
Overview monitoraggio servizi erogati in rete tramite NagiosOverview monitoraggio servizi erogati in rete tramite Nagios
Overview monitoraggio servizi erogati in rete tramite NagiosLuca Lomi
 
Simple Network Management Protocol
Simple Network Management ProtocolSimple Network Management Protocol
Simple Network Management Protocolmichelemanzotti
 
Monitoraggio di rete con nagios
Monitoraggio di rete con nagiosMonitoraggio di rete con nagios
Monitoraggio di rete con nagiosCe.Se.N.A. Security
 
Virtualizzazione e Network Management Open Source
Virtualizzazione e Network Management Open SourceVirtualizzazione e Network Management Open Source
Virtualizzazione e Network Management Open SourceMarco Vanino
 
Nagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceNagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceBabel
 
Network Monitoring e Nagios®
Network Monitoring e Nagios®Network Monitoring e Nagios®
Network Monitoring e Nagios®Nicholas Pocher
 
Monitoraggio servizi OVERnetwork
Monitoraggio servizi OVERnetworkMonitoraggio servizi OVERnetwork
Monitoraggio servizi OVERnetworkLuca Lomi
 
Un prototipo di integrazione fra CMDBuild e NetEye / Nagios
Un prototipo di integrazione fra CMDBuild e NetEye / NagiosUn prototipo di integrazione fra CMDBuild e NetEye / Nagios
Un prototipo di integrazione fra CMDBuild e NetEye / NagiosCMDBuild org
 
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job? Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job? Stanford GSB Corporate Governance Research Initiative
 
Sentinet3 ver4.0
Sentinet3 ver4.0 Sentinet3 ver4.0
Sentinet3 ver4.0 Antonio Capobianco
 
Dal monitoraggio dell’infrastruttura it al business service management
Dal monitoraggio dell’infrastruttura it al business service managementDal monitoraggio dell’infrastruttura it al business service management
Dal monitoraggio dell’infrastruttura it al business service managementStefano Arduini
 
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)ciii_inginf
 
Servizi a Rete TOUR 2023 - 28 settembre | GORI + WONDERWARE
Servizi a Rete TOUR 2023 - 28 settembre | GORI + WONDERWAREServizi a Rete TOUR 2023 - 28 settembre | GORI + WONDERWARE
Servizi a Rete TOUR 2023 - 28 settembre | GORI + WONDERWAREServizi a rete
 
Monitoraggio completo dell'infrastruttura IT - User Conference Italia 2013
Monitoraggio completo dell'infrastruttura IT - User Conference Italia 2013Monitoraggio completo dell'infrastruttura IT - User Conference Italia 2013
Monitoraggio completo dell'infrastruttura IT - User Conference Italia 2013ManageEngine Italia
 
Monitoraggio completo dell'infrastruttura it
Monitoraggio completo dell'infrastruttura itMonitoraggio completo dell'infrastruttura it
Monitoraggio completo dell'infrastruttura itStefano Arduini
 
The Missing Link
The Missing LinkThe Missing Link
The Missing LinkSandro Fontana
 
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico Integrato
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico IntegratoLa Cyber Security a servizio del Telecontrollo nel Servizio Idrico Integrato
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico IntegratoServizi a rete
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open sourceMarco Ferrigno
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Securityraffaele_forte
 
Seqrite utm(ita)
Seqrite utm(ita)Seqrite utm(ita)
Seqrite utm(ita)netWork S.a.s
 
Cyber security IT e OT nelle utility - ATI, Servitecno
Cyber security IT e OT nelle utility - ATI, ServitecnoCyber security IT e OT nelle utility - ATI, Servitecno
Cyber security IT e OT nelle utility - ATI, ServitecnoServizi a rete
 
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution... Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...festival ICT 2016
 
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico Integrato
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico IntegratoLa Cyber Security a servizio del Telecontrollo nel Servizio Idrico Integrato
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico IntegratoServizi a rete
 

Contenu connexe

En vedette

Virtualizzazione e Network Management Open Source
Virtualizzazione e Network Management Open SourceVirtualizzazione e Network Management Open Source
Virtualizzazione e Network Management Open SourceMarco Vanino
 
Nagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceNagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceBabel
 
Network Monitoring e Nagios®
Network Monitoring e Nagios®Network Monitoring e Nagios®
Network Monitoring e Nagios®Nicholas Pocher
 
Monitoraggio servizi OVERnetwork
Monitoraggio servizi OVERnetworkMonitoraggio servizi OVERnetwork
Monitoraggio servizi OVERnetworkLuca Lomi
 
Un prototipo di integrazione fra CMDBuild e NetEye / Nagios
Un prototipo di integrazione fra CMDBuild e NetEye / NagiosUn prototipo di integrazione fra CMDBuild e NetEye / Nagios
Un prototipo di integrazione fra CMDBuild e NetEye / NagiosCMDBuild org
 

En vedette (6)

Virtualizzazione e Network Management Open Source
Virtualizzazione e Network Management Open SourceVirtualizzazione e Network Management Open Source
Virtualizzazione e Network Management Open Source
 
Nagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceNagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open source
 
Network Monitoring e Nagios®
Network Monitoring e Nagios®Network Monitoring e Nagios®
Network Monitoring e Nagios®
 
Monitoraggio servizi OVERnetwork
Monitoraggio servizi OVERnetworkMonitoraggio servizi OVERnetwork
Monitoraggio servizi OVERnetwork
 
Un prototipo di integrazione fra CMDBuild e NetEye / Nagios
Un prototipo di integrazione fra CMDBuild e NetEye / NagiosUn prototipo di integrazione fra CMDBuild e NetEye / Nagios
Un prototipo di integrazione fra CMDBuild e NetEye / Nagios
 
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job? Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
 

Similaire à Sicurezza negli ambienti virtualizzati

Dal monitoraggio dell’infrastruttura it al business service management
Dal monitoraggio dell’infrastruttura it al business service managementDal monitoraggio dell’infrastruttura it al business service management
Dal monitoraggio dell’infrastruttura it al business service managementStefano Arduini
 
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)ciii_inginf
 
Servizi a Rete TOUR 2023 - 28 settembre | GORI + WONDERWARE
Servizi a Rete TOUR 2023 - 28 settembre | GORI + WONDERWAREServizi a Rete TOUR 2023 - 28 settembre | GORI + WONDERWARE
Servizi a Rete TOUR 2023 - 28 settembre | GORI + WONDERWAREServizi a rete
 
Monitoraggio completo dell'infrastruttura IT - User Conference Italia 2013
Monitoraggio completo dell'infrastruttura IT - User Conference Italia 2013Monitoraggio completo dell'infrastruttura IT - User Conference Italia 2013
Monitoraggio completo dell'infrastruttura IT - User Conference Italia 2013ManageEngine Italia
 
Monitoraggio completo dell'infrastruttura it
Monitoraggio completo dell'infrastruttura itMonitoraggio completo dell'infrastruttura it
Monitoraggio completo dell'infrastruttura itStefano Arduini
 
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico Integrato
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico IntegratoLa Cyber Security a servizio del Telecontrollo nel Servizio Idrico Integrato
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico IntegratoServizi a rete
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open sourceMarco Ferrigno
 
Cyber security IT e OT nelle utility - ATI, Servitecno
Cyber security IT e OT nelle utility - ATI, ServitecnoCyber security IT e OT nelle utility - ATI, Servitecno
Cyber security IT e OT nelle utility - ATI, ServitecnoServizi a rete
 
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution... Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...festival ICT 2016
 
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico Integrato
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico IntegratoLa Cyber Security a servizio del Telecontrollo nel Servizio Idrico Integrato
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico IntegratoServizi a rete
 
Workshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity Solutions
Workshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity SolutionsWorkshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity Solutions
Workshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity SolutionsSENECA
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceNaLUG
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 

Similaire à Sicurezza negli ambienti virtualizzati (20)

Sentinet3 ver4.0
Sentinet3 ver4.0 Sentinet3 ver4.0
Sentinet3 ver4.0
 
Dal monitoraggio dell’infrastruttura it al business service management
Dal monitoraggio dell’infrastruttura it al business service managementDal monitoraggio dell’infrastruttura it al business service management
Dal monitoraggio dell’infrastruttura it al business service management
 
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
 
Servizi a Rete TOUR 2023 - 28 settembre | GORI + WONDERWARE
Servizi a Rete TOUR 2023 - 28 settembre | GORI + WONDERWAREServizi a Rete TOUR 2023 - 28 settembre | GORI + WONDERWARE
Servizi a Rete TOUR 2023 - 28 settembre | GORI + WONDERWARE
 
Monitoraggio completo dell'infrastruttura IT - User Conference Italia 2013
Monitoraggio completo dell'infrastruttura IT - User Conference Italia 2013Monitoraggio completo dell'infrastruttura IT - User Conference Italia 2013
Monitoraggio completo dell'infrastruttura IT - User Conference Italia 2013
 
Monitoraggio completo dell'infrastruttura it
Monitoraggio completo dell'infrastruttura itMonitoraggio completo dell'infrastruttura it
Monitoraggio completo dell'infrastruttura it
 
The Missing Link
The Missing LinkThe Missing Link
The Missing Link
 
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico Integrato
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico IntegratoLa Cyber Security a servizio del Telecontrollo nel Servizio Idrico Integrato
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico Integrato
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Security
 
Seqrite utm(ita)
Seqrite utm(ita)Seqrite utm(ita)
Seqrite utm(ita)
 
Cyber security IT e OT nelle utility - ATI, Servitecno
Cyber security IT e OT nelle utility - ATI, ServitecnoCyber security IT e OT nelle utility - ATI, Servitecno
Cyber security IT e OT nelle utility - ATI, Servitecno
 
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution... Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...
 
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico Integrato
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico IntegratoLa Cyber Security a servizio del Telecontrollo nel Servizio Idrico Integrato
La Cyber Security a servizio del Telecontrollo nel Servizio Idrico Integrato
 
Workshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity Solutions
Workshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity SolutionsWorkshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity Solutions
Workshop 25.05.2016 a SPS Italia - SENECA LET'S - VPN Connectivity Solutions
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open Source
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
 

Dernier

Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Associazione Digital Days
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Associazione Digital Days
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Associazione Digital Days
 
ScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIinfogdgmi
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Associazione Digital Days
 
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Associazione Digital Days
 

Dernier (6)

Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
 
ScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AI
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
 
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
 

Sicurezza negli ambienti virtualizzati

  • 1. Open Source Day 2013 La sicurezza negli ambienti virtualizzati Marco Vanino mvan@spin.it
  • 2. Sicurezza in ambiente virtualizzato Virtualizzazione 1 computer fisico = 1 computer logico 1 computer fisico = N computer logici
  • 3. Sicurezza in ambiente virtualizzato Implicazioni di sicurezza – maggiore impatto in caso di guasti, sovraccarico, violazione del host/hypervisor – maggiore superficie di attacco
  • 4. Sicurezza in ambiente virtualizzato Il livello di sicurezza di un sistema virtualizzato è dipendente dai livelli di sicurezza di ogni suo singolo componente  Host e Hypervisor  Storage  Rete  Gestione del sistema
  • 5. Sicurezza fisica Chiunque abbia accessibilità diretta agli host, ai dispositivi di storage e agli apparati di rete può potenzialmente ottenere autorizzazioni privilegiate
  • 6. Sicurezza fisica controllo dell'accesso a locali e/o armadi ● serrature “tradizionali” – – – ● chiavi lucchetti combinazioni controllo elettronico – – codici di accesso dispositivi di identificazione personale
  • 7. Sicurezza fisica registrazione degli accessi – registri cartacei – log ● ● file database Data Nome Ingresso Uscita Motivo 29/11/2013 Marco Vanino 08:30 09:30 Upg. RAM SRV023 29/11/2013 Mario Rossi 09:45 12:15 Collegamento nuovo datastore 29/11/2013 Laura Bianchi 14:00 14:15 Test manuale UPS
  • 8. Host e Hypervisor Hardware ● rimuovere o disabilitare i dispositivi non necessari Sistema operativo ● installazione minimale del sistema operativo ● ● ● kernel e relativi moduli applicazioni utility ● disinstallare o disabilitare i servizi non necessari ● configurare policy di sicurezza (SELinux/AppArmor) ● aggiornamento costante
  • 9. Host e Hypervisor Management – limitare l'accesso diretto con credenziali privilegiate – interfaccia di rete dedicata ● – filtri (ACL) a livello IP ● ● – subnet dedicata out-of-band o VLAN separata limitare l'accesso ai soli amministratori permettere il collegamento solamente ai dispositivi strettamente necessari alla gestione accesso dall'esterno via VPN
  • 10. Storage Array di dischi – Sicurezza dati ● ● – RAID6/RAIDZ2 RAID7/RAIDZ3 Sicurezza dati e prestazioni ● ● RAID10/ZFS Striped mirror Soluzioni precedenti + SSD caching
  • 11. Storage Immagini dei dischi virtuali su file – indipendenza dal hardware – facilità di copia/esportazione – ripristino in tempi rapidi delle VM – furto dei dati semplificato
  • 12. Storage Reti dedicate ● ● migliori prestazioni maggiore sicurezza Ridondanza delle connessioni ● ● multipath interface bonding
  • 13. Storage Accesso controllato a LUN e/o condivisioni di rete ● iSCSI – – – ● NFS – ● ACL per IP LUN masking (IQN/EUI/NAA) CHAP (unidirezionale/bidirezionale) exports (IP, nome DNS) Fiber Channel – – zoning (port o WWN) LUN masking (WWN)
  • 14. Storage backup – piano di backup/recovery ● ● ● – cosa copiare come copiare (immagini dischi, file, dump db) policy di retention e archiviazione conservazione copie ● ● locali o edifici esterni siti remoti
  • 15. Storage backup – copie applicazioni “complesse” (db, AD, MS-Exchange) ● ● ● database dump agenti Volume Shadow Copy – replica/sincronizzazione remota – protezione e cifratura copie – verifica restore
  • 16. Rete ● VLAN dedicata per management ● Accesso controllato agli apparati – Autenticazione, Autorizzazione e Accounting (AAA) ● ● RADIUS, LDAP, TACACS Ridondanza dei collegamenti LAN/WAN – gestione failover – incremento delle prestazioni
  • 17. Rete Protezione VM – zone di sicurezza (VLAN, switch e firewall virtuali) – ACL sulle porte degli switch virtuali Perimetro e accesso remoto – Firewall/UTM ● – controlli a L3 o superiore VPN ● ● IPSec, SSL controllo accessi (RADIUS, LDAP)
  • 18. Rete ● gestione di QoS ● monitoraggio apparati fisici e virtuali – ● SNMP, NetFlow/IPFIX, SPAN/RSPAN gestione centralizzata degli apparati – SDN (OpenFlow)
  • 19. Gestione del sistema Amministrazione – limitare l'accesso diretto alla console – separazione dei ruoli amministrativi ● ● ● ● – hypervisor datastore rete VM politiche di accesso role based (RBAC)
  • 20. Gestione del sistema Amministrazione – assegnazione pool di risorse per utente/gruppo ● ● ● ● ● – numero massimo di istanze CPU memoria storage Networking controllo centralizzato degli accessi ● AD, LDAP (389 Directory Server, FreeIPA)
  • 21. Gestione del sistema Evitare la proliferazione incontrollata delle VM – definire il ciclo di vita delle macchine virtuali – mantenere un inventario aggiornato – documentare (e mantenere aggiornate le informazioni) – utilizzo di Configuration Management Database (CMDB)
  • 22. Gestione del sistema monitoraggio dell'utilizzo delle risorse ● ● ● ● CPU RAM storage rete gestione avvisi e allarmi ● ● email SMS bilanciamento del carico ● distribuzione delle risorse sugli hypervisor
  • 23. Gestione del sistema gestione dei log – log centralizzati – sincronizzazione dell'orario via NTP – analisi sistematica dei log utilizzo di IDS/IPS – individuare attacchi o infezioni dovute a malware – individuare traffico di rete anomalo
  • 24. Gestione del sistema Amministrazione VM – limitare l'utilizzo diretto alla console delle VM ● – preferire l'accesso via RDP o SSH aggiornamenti ● ● sistemi operativi applicativi
  • 25. Gestione del sistema Amministrazione VM – Protezione ● ● ● – antivirus antimalware firewall interno Resilienza ● configurazioni high availability – – gestite dal sistema di virtualizzazione cluster (heartbeat)
  • 26. Piano di emergenza sito di ripristino – disponibilità hardware (server, SAN/NAS, dispositivi di rete) kit di ripristino – tastiera, mouse, monitor, USB hub, HBA, cavi, adattatori, chiavi/contatti per l'accesso ai locali – supporti di installazione (CD, DVD, USB key) – software di supporto (driver, software di restore) – documentazione cartacea aggiornata
  • 27. Piano di emergenza kit di ripristino: documentazione – definizione dei compiti (chi deve fare, cosa deve fare) – come e dove recuperare l'hardware (server, SAN/NAS, apparati di rete) – come e dove recuperare le copie e come utilizzarle – credenziali – priorità di ripristino dei servizi – descrizione delle operazioni – check list post installazione