Respon forensik dan insiden

Generasi dan koleksi log merupakan komponen penting untuk memantau infrastruktur OpenStack secara aman. Log memberikan visibilitas ke tindakan administrator, penyewa, dan tamu sehari-hari, selain aktivitas dalam penghitungan, jaringan, dan penyimpanan dan komponen lainnya yang menyusun penerapan OpenStack Anda.

Log tidak hanya bermanfaat untuk keamanan proaktif dan aktivitas kepatuhan yang berkelanjutan, namun juga merupakan sumber informasi yang berharga untuk menyelidiki dan merespons insiden.

Misalnya, menganalisis log akses dari layanan Identity atau sistem autentikasi penggantiannya akan mengingatkan kita pada login, frekuensi, IP asal yang salah, apakah kejadian dibatasi untuk memilih akun dan informasi terkait lainnya. Analisis log mendukung deteksi.

Tindakan dapat dilakukan untuk mengurangi potensi aktivitas berbahaya seperti memasukkan alamat IP ke daftar hitam, merekomendasikan penguatan kata sandi pengguna, atau menonaktifkan akun pengguna jika dianggap tidak aktif.

Memantau kasus penggunaan

Pemantauan kejadian adalah pendekatan yang lebih proaktif untuk mengamankan lingkungan, memberikan deteksi dan respons real-time. Beberapa alat ada yang bisa membantu dalam pemantauan.

Dalam kasus instance awan OpenStack, kita perlu memantau perangkat keras, layanan OpenStack, dan penggunaan sumber daya awan. Yang terakhir ini berasal dari keinginan untuk menjadi elastis, untuk disesuaikan dengan kebutuhan dinamis pengguna.

Berikut adalah beberapa kasus penggunaan penting yang perlu dipertimbangkan saat menerapkan agregasi, analisis dan pemantauan log. Kasus penggunaan ini dapat diimplementasikan dan dipantau melalui berbagai aplikasi, peralatan atau skrip. Ada solusi open source dan komersial dan beberapa operator mengembangkan solusi in-house mereka sendiri. Alat dan skrip ini dapat menghasilkan event (kejadian) yang dapat dikirim ke administrator melalui email atau dilihat di dasbor terpadu. Penting untuk mempertimbangkan kasus penggunaan tambahan yang mungkin berlaku untuk jaringan spesifik Anda dan apa yang mungkin Anda anggap sebagai perilaku anomali.

  • Mendeteksi tidak adanya generasi log adalah peristiwa bernilai tinggi. Peristiwa semacam itu akan menunjukkan kegagalan layanan atau bahkan penyusup yang mematikan sementara logging atau memodifikasi tingkat log untuk menyembunyikan jejak mereka.

  • Event aplikasi seperti memulai atau menghentikan event yang tidak terjadwal juga merupakan event untuk memantau dan memeriksa kemungkinan implikasi keamanan.

  • Event sistem operasi pada mesin layanan OpenStack seperti login pengguna atau restart juga memberikan wawasan berharga tentang penggunaan sistem yang tepat dan tidak tepat.

  • Mampu mendeteksi beban pada server OpenStack juga memungkinkan untuk merespons dengan cara menambahkan server tambahan untuk load balancing guna memastikan ketersediaan yang tinggi.

  • Event lain yang dapat ditindaklanjuti adalah jaringan jembatan yang mati, tabel ip disiram (flushed) pada node perhitungan dan hilangnya akses terhadap instance yang mengakibatkan pelanggan yang tidak bahagia.

  • Untuk mengurangi risiko keamanan dari instance tanpa induk (orphan) pada pengguna, penyewa, atau penghapusan domain di layanan Identity, ada diskusi untuk menghasilkan pemberitahuan di sistem dan apakah komponen OpenStack merespons kejadian ini jika sesuai, misalnya menghentikan instance, melepaskan volume terikat, reklamasi CPU dan sumber daya penyimpanan dan sebagainya.

Awan akan meng-host banyak instance virtual, dan memantau instance ini melampaui pemantauan perangkat keras dan file log yang mungkin berisi kejadian CRUD.

Kontrol pemantauan keamanan seperti perangkat lunak deteksi intrusi, perangkat lunak antivirus, dan deteksi spyware dan utilitas penghapusan dapat menghasilkan log yang menunjukkan kapan dan bagaimana serangan atau gangguan terjadi. Penerapan alat ini pada mesin awan memberikan nilai dan perlindungan. Pengguna awan, mereka yang menjalankan instance di atas awan, mungkin juga ingin menjalankan alat semacam itu pada instance mereka.

Bibliografi

Siwczak, Piotr. Some Practical Considerations for Monitoring in the OpenStack Cloud. 2012.

blog.sflow.com, sflow: Host sFlow distributed agent. 2012.

blog.sflow.com, sflow: LAN and WAN. 2009.

blog.sflow.com, sflow: Rapidly detecting large flows sFlow vs. NetFlow/IPFIX. 2013.