Von Dr. Uwe Bechthold auf Mittwoch, 17. März 2021
Kategorie: IT-Security

Server absichern – aber flott!

Bei der in einem vorangegangenen Blog-Artikel beschriebenen Serverhärtung stellt sich die Frage, wie die notwendigen Änderungen, also eine hohe Anzahl an Härtungsmaßnahmen am Betriebssystem, auf möglicherweise hunderten von Systemen effizient auszuführen und nachzuhalten sind.

An diesen Sicherheitsprozess sind einige Anforderungen zu stellen, die hier im Einzelnen beleuchtet werden.

Individualisierung

Zunächst müssen die Änderungen individuell auf den Server angepasst sein:


Schon hier wird ersichtlich, dass Härtungsmaßnahmen zur Vereinfachung an einem zentralen Punkt verwaltet werden sollten.

Anforderungen an das Ausrollen von Maßnahmen

Ein Ausrollen von Maßnahmen zur Serverhärtung unterliegt ebenso einigen Rahmenbedingungen.

Warum Automatisieren?

Eine „per Hand" durchgeführte Systemhärtung ist zeitaufwändig und fehleranfällig, von einer Reproduzierbarkeit gar nicht zu reden. Der Einsatz einer Software zur Automatisierung der Serverhärtung empfiehlt sich dringend. Dies kann z.B. mit Ansible, Saltstack oder Puppet geschehen. Als Beispiel sei hier im Sprachgebrauch von Ansible beschrieben, wie eine solche Automatisierung aussehen kann.

Die Eigenschaften der individuellen Server sind als Variablensätze in den host_vars und group_vars parametrisiert. Einzelne Maßnahmen zur Härtung werden in Tasks abgebildet. Die Tasks werden in Playbooks zusammengefasst. Durch Verknüpfung der Tasks an Bedingungen, die durch die Parametrisierung beschrieben werden, kann ein allgemeines Playbook auf alle Server angewendet werden. Die Idempotenz der Tasks, also die Eigenschaft, dass ein mehrmaliges Ausführen des Tasks den gleichen Effekt hat wie ein einmaliges, sorgt dafür, dass ein Härtungs-Playbook regelmäßig ausgeführt werden kann.

Ein weiterer Vorteil einer täglichen Überprüfung und gleichzeitigen Umsetzung von Härtungstasks ist, dass so im Protokoll detektiert wird, welche in der Vergangenheit schon umgesetzten Härtungsmaßnahmen erneut umzusetzen waren und somit Hinweise auf eine mögliche Kompromittierung der Serversicherheit gegeben sind.

Die Playbooks werden in einem Softwarerepository mit Versionskontrolle in einem zugangsgesicherten Bereich entwickelt. In einem 4-Augen-Prinzip werden sie revidiert und freigegeben.

Fazit

Die in einem vorausgegangenen Blog-Artikel besprochenen CIS Benchmarks als Ausgangspunkt für Härtungsmaßnahmen können innerhalb einer Automatisierungs-Software praktisch umgesetzt werden. Mit einigem Programmier- und Testaufwand entsprechen sie den beschriebenen Anforderungen an Sicherheit und Nachvollziehbarkeit und Reproduzierbarkeit.

Kommentare hinterlassen