La tendencia a preocuparse por la seguridad es una realidad creciente. Cada vez se auditan más entornos en busca de fallos en la seguridad, y la monitorización no es ajena a este hecho.
Ahora surgen esos detalles a los que al principio no les dimos importancia, pero que son fundamentales para mantener nuestros entornos lo más seguros posible.
Así pues, empezamos con esos aspectos que debemos tener en cuenta para mejorar la seguridad de nuestro entorno de monitorización:
SNMP
- No usar las comunidades por defecto en los dispositivos, como “PUBLIC” o “PRIVATE”.
- Principio del mínimo privilegio. Para la monitorización, es suficiente con requerimientos de acceso de lectura.
- ACL. La mayoría de los dispositivos permiten gestionar una lista de control de acceso al protocolo SNMP. Lo ideal es habilitarla y dar permiso solo a la IP desde la cual vamos a monitorizar el dispositivo.
WMI
- Principio del mínimo privilegio. Para la monitorización, debemos disponer de un usuario con solo los permisos necesarios para acceder por WMI, sin más. Este usuario debe ser exclusivo para el entorno de monitorización y adecuarse a la normativa interna (cambio de contraseña periódica, complejidad, etc.).
SSH
- Principio del mínimo privilegio. Para monitorizar, solo se necesita un usuario simple con permisos limitados a las herramientas necesarias.
- Certificado SSL. La utilización de certificados SSL mejora la seguridad frente a las credenciales de usuario y contraseña.
Bases de datos
- Principio del mínimo privilegio. Hay que restringir los usuarios a solo lectura y únicamente a las bases de datos y/o tablas que necesitemos consultar.
APIRest
- Principio del mínimo privilegio. Los permisos de lectura son suficientes para la monitorización. Además, debemos asegurar que el acceso sea seguro: usando SSL, activando algún tipo de lista de control de acceso, habilitando únicamente un origen en firewall, y otras medidas que puedan limitar el acceso (teniendo en cuenta que no todos los dispositivos o aplicaciones disponen de todas estas medidas).
Accesos y auditorías
No debemos olvidar que, en todos los casos, los accesos requeridos para la monitorización deben ser únicamente para este propósito. En una futura auditoría, puede ser muy útil diferenciar entre accesos realizados por la plataforma de monitorización u otras herramientas (de inventario, auditoría, etc.).
Recomendaciones para la herramienta de monitorización
Además de estas recomendaciones, también podemos sugerir acciones sobre la herramienta:
- Mantener la herramienta actualizada con todos los parches de seguridad disponibles.
- Habilitar únicamente el acceso SSL para el entorno web.
- Utilizar contraseñas complejas para los usuarios locales.
- Si tenemos integración con el LDAP, utilizar puertos seguros como el LDAPs.
- No dejar en la herramienta y/o el “appliance” de monitorización los usuarios y contraseñas por defecto entregadas por el suministrador del software.
Cumplimiento de normativas y legislaciones
Hasta ahora hemos hecho referencia solo a la parte técnica, pero no hay que olvidar el cumplimiento de normativas y legislaciones. Por lo tanto, debemos asegurar que todos los contratos y normativas vigentes se cumplen. Los departamentos legales de las diferentes organizaciones deben responsabilizarse de esta parte, aunque como responsables del servicio, los departamentos técnicos deben de garantizar su cumplimiento.
Estas recomendaciones alegrarán el día al CISO y CSO, y a nosotros no ahorrarán dolores de cabeza.