Forensik und Vorfallreaktion

Die Erzeugung und Sammlung von Protokollen ist ein wichtiger Bestandteil der sicheren Überwachung einer OpenStack-Infrastruktur. Logs bieten neben der Aktivität in der Compute-, Networking- und Storage- und anderen Komponenten, die Ihre OpenStack-Implementierung umfassen, die täglichen Aktionen von Administratoren, Tenants und Gästen.

Logs sind nicht nur wertvoll für proaktive Sicherheit und kontinuierliche Compliance-Aktivitäten, sondern sie sind auch eine wertvolle Informationsquelle für die Untersuchung und Reaktion auf Zwischenfälle.

Zum Beispiel würde die Analyse der Zugriffsprotokolle des Identitätsdienstes oder seines Ersatz-Authentifizierungssystems uns auf fehlgeschlagene Anmeldungen, Häufigkeit, Ursprungs-IP, benachrichtigen, ob die Ereignisse auf ausgewählte Konten und andere relevante Informationen beschränkt sind. Log-Analyse unterstützt die Erkennung.

Es können Maßnahmen ergriffen werden, um potenzielle böswillige Aktivitäten wie etwa die Blacklisting einer IP-Adresse zu mildern, die Stärkung von Benutzerpasswörtern zu empfehlen oder ein Benutzerkonto zu deaktivieren, wenn es als ruhenden gilt.

Überwachung von Anwendungsfällen

Event-Monitoring ist ein pro-aktiver Ansatz zur Sicherung einer Umgebung, die Echtzeit-Erkennung und Reaktion. Es gibt mehrere Werkzeuge, die bei der Überwachung helfen können.

Im Falle einer OpenStack Cloud-Instanz müssen wir die Hardware, die OpenStack-Services und die Cloud-Ressourcennutzung überwachen. Letzteres stammt aus dem Wunsch, elastisch zu sein, um die dynamischen Bedürfnisse der Nutzer zu skalieren.

Hier sind einige wichtige Anwendungsfälle bei der Implementierung von Log Aggregation, Analyse und Monitoring zu berücksichtigen. Diese Anwendungsfälle können durch verschiedene Anwendungen, Werkzeuge oder Skripte implementiert und überwacht werden. Es gibt Open Source und kommerzielle Lösungen und einige Betreiber entwickeln ihre eigenen internen Lösungen. Diese Tools und Scripts können Ereignisse generieren, die an Administratoren per E-Mail gesendet werden können oder im integrierten Dashboard angezeigt werden. Es ist wichtig, zusätzliche Anwendungsfälle zu berücksichtigen, die für Ihr spezifisches Netzwerk gelten können und was Sie anomales Verhalten betrachten können.

  • Das Erkennen der Abwesenheit der Protokollgenerierung ist ein Ereignis mit hohem Wert. Ein solches Ereignis würde einen Dienstausfall oder sogar einen Eindringling anzeigen, der die Protokollierung vorübergehend ausgeschaltet hat oder die Log-Ebene geändert hat, um ihre Spuren zu verbergen.

  • Anwendungsereignisse wie Start- oder Stop-Events, die nicht geplant waren, wären auch Ereignisse zur Überwachung und Prüfung auf mögliche Sicherheitsimplikationen.

  • Betriebssystem-Events auf den OpenStack-Service-Maschinen wie Benutzer-Logins oder Neustarts bieten auch einen wertvollen Einblick in die ordnungsgemäße und unsachgemäße Nutzung von Systemen.

  • Die Möglichkeit, die Belastung der OpenStack-Server zu erkennen, ermöglicht auch die Implementierung von zusätzlichen Servern zur Lastverteilung, um eine hohe Verfügbarkeit zu gewährleisten.

  • Andere Ereignisse, die umsetzbar sind, sind Netzwerk-Brücken, die nach unten gehen, IP-Tabellen, die auf Compute-Knoten gelöscht werden, und folglicher Verlust des Zugriffs auf Instanzen, die zu unglücklichen Kunden führen.

  • Um die Sicherheitsrisiken von Orphan-Instanzen auf Benutzer-, Tenant- oder Domain-Deletion im Identity-Service zu reduzieren, gibt es Diskussionen, um Benachrichtigungen im System zu generieren und OpenStack-Komponenten auf diese Ereignisse zu reagieren, wie z. B. das Beenden von Instanzen, das Trennen der angehängten Volumes, die Wiederherstellung der CPU und Speicherressourcen und so weiter.

Eine Cloud wird viele virtuelle Instanzen hosten, und die Überwachung dieser Instanzen geht über Hardware-Monitoring und Log-Dateien, die nur CRUD-Ereignisse enthalten können.

Sicherheitsüberwachungssteuerungen wie Intrusion Detection Software, Antivirensoftware und Spyware-Erkennungs- und Entfernungsprogramme können Protokolle erzeugen, die zeigen, wann und wie ein Angriff oder ein Eindringen stattgefunden hat. Die Bereitstellung dieser Tools auf den Cloud-Maschinen bietet Wert und Schutz. Cloud-Benutzer, die laufende Instanzen auf der Cloud, können auch solche Tools auf ihren Instanzen laufen lassen.

Literaturverzeichnis

Siwczak, Piotr. Some Practical Considerations for Monitoring in the OpenStack Cloud. 2012.

blog.sflow.com, sflow: Host sFlow distributed agent. 2012.

blog.sflow.com, sflow: LAN and WAN. 2009.

blog.sflow.com, sflow: Rapidly detecting large flows sFlow vs. NetFlow/IPFIX. 2013.