フォレンジングとインシデント対応

ログの生成と収集は OpenStack インフラのセキュリティ監視の重要なコンポーネントです。ログは日々の管理者・テナント・ゲストの行動に加え、あなたの OpenStack デプロイを構成する Compute、Networking、ストレージ、他のコンポーネントの活動の可視性を提供します。

ログは率先したセキュリティや継続的なコンプライアンス活動に有用であるのみならず、インシデントの調査と対応の為の情報源としても有用です。

例えば、Identity サービスまたはその代替認証システムへのアクセスログ解析は、アカウントや他の適切な情報を選択して、イベントを制限する/しないで、失敗したログイン、それらの頻度、アクセス元IPアドレスを警告します。ログ解析は検知をサポートします。

Actions may be taken to mitigate potential malicious activity such as blacklisting an IP address, recommending the strengthening of user passwords, or de-activating a user account if it is deemed dormant.

監視ユースケース

Event monitoring is a more pro-active approach to securing an environment, providing real-time detection and response. Several tools exist which can aid in monitoring.

OpenStack クラウドインスタンスの場合、ハードウェア、OpenStack サービス、クラウドリソース使用量を監視する必要があります。最後は、柔軟性、ユーザの変化するニーズへのスケール性への要求から生じるものです。

Here are a few important use cases to consider when implementing log aggregation, analysis and monitoring. These use cases can be implemented and monitored through various applications, tools or scripts. There are open source and commercial solutions and some operators develop their own in-house solutions. These tools and scripts can generate events that can be sent to administrators through email or viewed in the integrated dashboard. It is important to consider additional use cases that may apply to your specific network and what you may consider anomalous behavior.

  • ログ生成無しの検知は価値の高いイベントです。このようなイベントはサービス障害、または一時的にログをオフにしたり、監視者から隠れるためにログレベルを変更した侵入者を示している可能性があります。

  • スケジュール外の start/stop のようなアプリケーションイベントは、潜在的なセキュリティ的なウラについての監視と確認作業を行うイベントでもあるでしょう。

  • ユーザログイン、再起動のような OpenStack サービスマシン上の OS イベントもまた、システムの適切な使用または不適切な使用であるかの洞察を与えます。

  • OpenStack サーバ群の負荷を検知可能にする事はまた、高可用化対応の為に負荷分散用追加サーバを導入する為の対応を可能にする事でもあります。

  • 行動可能な他のイベントはネットワークブリッジがダウンした事です。compute ノード上で設定がクリアされた iptables や、インスタンスへのアクセスの重大なロスはユーザを不幸にします。

  • identity サービス中のユーザ/テナント/ドメイン削除に伴う見捨てられたインスタンスかあのセキュリティリスクを低減する為、システム中で通知を生成する事と、インスタンス削除、アタッチしたボリュームの切断、CPU やストレージリソースの回収等のイベントに適切に対応する OpenStack コンポーネントを用意する事について議論があります。

クラウドには多数の仮想インスタンスがあり、これらのインスタンスの監視はハードウェア監視と CRUD イベントのみ含むログファイルの背後にあります。

侵入検知ソフトウェア、アンチウイルスソフトウェア、スパイウェア検知・削除ユーティリティのようなセキュリティ監視制御は、攻撃や侵入が発生した時と方法を示すログを生成できます。クラウドマシン上にこれらのツールをデプロイする事は、価値と保護を提供します。(クラウド上でインスタンスを実行する)クラウドユーザも自身のインスタンス上でこのようなツールを実行したいかも知れません。

参考資料

Siwczak, Piotr. Some Practical Considerations for Monitoring in the OpenStack Cloud. 2012.

blog.sflow.com, sflow: Host sFlow distributed agent. 2012.

blog.sflow.com, sflow: LAN and WAN. 2009.

blog.sflow.com, sflow: Rapidly detecting large flows sFlow vs. NetFlow/IPFIX. 2013.