Hukuki ve olay cevabı¶
Günlüklerin oluşturulması ve toplanması, bir OpenStack altyapısının güvenli bir şekilde izlenmesinin önemli bir bileşenidir. Günlükler, OpenStack dağıtımınızı oluşturan hesaplama, ağ oluşturma ve depolama ve diğer bileşenlerdeki etkinliklere ek olarak yöneticilerin, kiracılardaki ve konukların günlük işlemlerine görünürlük sağlar.
Kayıtlar yalnızca proaktif güvenlik ve sürekli uyumluluk faaliyetleri için değerli değildir, aynı zamanda olayları araştırıp bunlara yanıt vermek için değerli bir bilgi kaynağıdır.
Örneğin, Kimlik servisinin veya onun yerine geçen kimlik doğrulama sisteminin erişim günlüklerini analiz etmek, başarısız oturum açma sayıları, sıklık, kaynak IP’si, olayların seçilen hesaplar ve diğer ilgili bilgilerle sınırlandırılıp bırakılmadığına dair bizi uyaracaktır. Günlük analizi, algılamayı destekler.
Bir IP adresinin kara listeye alınması, kullanıcı parolalarının güçlendirilmesi tavsiyesinde bulunulması veya bir kullanıcı hesabının hazır olarak kabul edilmesi durumunda bir kullanıcı hesabının devre dışı bırakılması gibi potansiyel kötü amaçlı etkinlikleri hafifletmek için önlemler alınabilir.
İzleme kullanım örnekleri¶
Olay izleme, bir ortamın güvenliğini sağlama, gerçek zamanlı algılama ve yanıt verme konusunda daha proaktif bir yaklaşımdır. İzlemeye yardımcı olabilecek çeşitli araçlar mevcuttur.
Bir OpenStack bulut örneği olması durumunda, donanımı, OpenStack servislerini ve bulut kaynağı kullanımını izlememiz gerekir. Sonuncusu, kullanıcıların dinamik ihtiyaçlarına göre esnek olmak istemekten kaynaklanmaktadır.
Aşağıda, günlük toplama, analiz ve izleme uygularken dikkate alınması gereken birkaç önemli kullanım durumu bulunmaktadır. Bu kullanım durumları, çeşitli uygulamalar, araçlar veya komut dosyaları aracılığıyla uygulanabilir ve izlenebilir. Açık kaynak ve ticari çözümler var ve bazı operatörler kendi şirket içi çözümlerini geliştiriyorlar. Bu araçlar ve komut dosyaları yöneticilere e-posta yoluyla gönderilebilecek veya tümleşik panelde görüntülenecek olaylar oluşturabilir. Belirli ağınız için geçerli olabilecek ek kullanım durumlarını ve anormal davranışları neyi göz önüne almanız gerektiğini göz önüne almak önemlidir.
Günlük üretimin yokluğunun tespit edilmesi, yüksek değerli bir olaydır. Böyle bir olay, servis hatasına veya hatta geçici olarak günlüğü kapatan veya izlerini gizlemek için günlük düzeyini değiştiren bir saldırgana işaret eder.
Programlanmamış başlama veya durdurma olayları gibi uygulama olayları, muhtemel güvenlik etkilerini izlemek ve incelemek için de olaylar olurdu.
OpenStack servis makinelerinde, kullanıcı oturumları veya yeniden başlatma gibi işletim sistemi olayları, sistemlerin doğru ve hatalı kullanımıyla ilgili değerli bilgiler sağlar.
OpenStack sunucularındaki yükü tespit edebilmek, yüksek kullanılabilirlik sağlamak için yük dengeleme için ek sunucular tanıtılarak yanıt vermeyi de mümkün kılar.
Olabilecek diğer olaylar, ağ köprüleri, hesaplama düğümlerinde boşaltılan ip tabloları ve dolayısıyla memnuniyetsiz müşterilere neden olan örneklere erişim kaybıdır.
Kimlik servisindeki bir kullanıcı, kiracı veya alan adı silinmesindeki yetimlik örneklerinden gelen güvenlik risklerini azaltmak için, sistemde bildirimler oluşturmak ve OpenStack bileşenleri bu olaylara uygun olarak örnekleri sonlandırmak, ekteki birimlerin bağlantısını kesmek, CPU’yu geri almak ve depolama kaynakları vb.
Bir bulut birçok sanal örneğe ev sahipliği yapacak ve bu örnekleri izleme yalnızca donanım izleme ve CRUD olaylarını içerebilen günlük dosyalarının ötesine geçecektir.
Saldırı tespit yazılımı, antivirüs yazılımı ve casus yazılım algılama ve kaldırma yardımcı programları gibi güvenlik izleme kontrolleri, saldırı veya izinsiz girişin ne zaman ve nasıl gerçekleştiğini gösteren günlükler oluşturabilir. Bu araçların bulut makinelerine yerleştirilmesi değer ve koruma sağlar. Bulut üzerinde örneği çalıştıran Bulut kullanıcıları, örneklerinde bu araçları da çalıştırmak isteyebilir.
Kaynakça¶
Siwczak, Piotr. Some Practical Considerations for Monitoring in the OpenStack Cloud. 2012.
blog.sflow.com, sflow: Host sFlow distributed agent. 2012.
blog.sflow.com, sflow: LAN and WAN. 2009.
blog.sflow.com, sflow: Rapidly detecting large flows sFlow vs. NetFlow/IPFIX. 2013.
