Sistema SuperCluster Security Guide Parte No: E48461-01 Julho de 2013 Copyright © 2011, 2013, Oracle and/or its affiliates. All rights reserved. Este programa de computador e sua documentação são fornecidos sob um contrato de licença que contém restrições sobre seu uso e divulgação, sendo também protegidos pela legislação de propriedade intelectual. Exceto em situações expressamente permitidas no contrato de licença ou por lei, não é permitido usar, reproduzir, traduzir, divulgar, modificar, licenciar, transmitir, distribuir, expor, executar, publicar ou exibir qualquer parte deste programa de computador e de sua documentação, de qualquer forma ou através de qualquer meio. Não é permitida a engenharia reversa, a desmontagem ou a descompilação deste programa de computador, exceto se exigido por lei para obter interoperabilidade. As informações contidas neste documento estão sujeitas a alteração sem aviso prévio. A Oracle Corporation não garante que tais informações estejam isentas de erros. Se você encontrar algum erro, por favor, nos envie uma descrição de tal problema por escrito. Se este programa de computador, ou sua documentação, for entregue / distribuído(a) ao Governo dos Estados Unidos ou a qualquer outra parte que licencie os Programas em nome daquele Governo, a seguinte nota será aplicável: U.S. GOVERNMENT END USERS: Oracle programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, delivered to U.S. Government end users are "commercial computer software" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, use, duplication, disclosure, modification, and adaptation of the programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, shall be subject to license terms and license restrictions applicable to the programs. No other rights are granted to the U.S. Government. Este programa de computador foi desenvolvido para uso em diversas aplicações de gerenciamento de informações. Ele não foi desenvolvido nem projetado para uso em aplicações inerentemente perigosas, incluindo aquelas que possam criar risco de lesões físicas. Se utilizar este programa em aplicações perigosas, você será responsável por tomar todas e quaisquer medidas apropriadas em termos de segurança, backup e redundância para garantir o uso seguro de tais programas de computador. A Oracle Corporation e suas afiliadas se isentam de qualquer responsabilidade por quaisquer danos causados pela utilização deste programa de computador em aplicações perigosas. Oracle e Java são marcas comerciais registradas da Oracle Corporation e/ou de suas empresas afiliadas. Outros nomes podem ser marcas comerciais de seus respectivos proprietários. Intel e Intel Xeon são marcadas comerciais ou marcas comerciais registradas da Intel Corporation. Todas as marcas comerciais SPARC são usadas sob licença e são marcas comerciais ou marcas comerciais registradas da SPARC International, Inc. AMD, Opteron, o logotipo da AMD e o logotipo do AMD Opteron são marcas comerciais ou marcas comerciais registradas da Advanced Micro Devices. UNIX é uma marca comercial registrada licenciada por meio do consórcio The Open Group. Este programa e sua documentação podem oferecer acesso ou informações relativas a conteúdos, produtos e serviços de terceiros. A Oracle Corporation e suas empresas afiliadas não fornecem quaisquer garantias relacionadas a conteúdos, produtos e serviços de terceiros e estão isentas de quaisquer responsabilidades associadas a eles. A Oracle Corporation e suas empresas afiliadas não são responsáveis por quaisquer tipos de perdas, despesas ou danos incorridos em conseqüência do acesso ou da utilização de conteúdos, produtos ou serviços de terceiros. Índice 1. Guia de Segurança do Sistema SuperCluster ................................................... 5 Noções Básicas dos Princípios de Segurança .................................................................. 5 Planejando um Ambiente Seguro ................................................................................. 6 Segurança do Hardware ...................................................................................... 6 Segurança do Software ....................................................................................... 6 Segurança do Firmware ...................................................................................... 7 Oracle ILOM Firmware ...................................................................................... 7 Mantendo um Ambiente Protegido ............................................................................... 7 Controles de Hardware ....................................................................................... 8 Rastreamento de Ativos ...................................................................................... 8 Software e Firmware ......................................................................................... 8 Acesso Local e Remoto ...................................................................................... 8 Segurança de Dados .......................................................................................... 9 Segurança de Rede ............................................................................................ 9 Guias de Segurança Relacionados .............................................................................. 10 Sistema SuperCluster 3 4 1 • • • C a p í t u l o 1 Guia de Segurança do Sistema SuperCluster Este documento fornece diretrizes gerais de segurança que ajudam a proteger os produtos de hardware Oracle, como servidores, comutadores de rede, placas de interface de rede, e assim por diante. Este capítulo contém as seguintes seções: • • • • “Noções Básicas dos Princípios de Segurança” [5] “Planejando um Ambiente Seguro” [6] “Mantendo um Ambiente Protegido” [7] “Guias de Segurança Relacionados” [10] Noções Básicas dos Princípios de Segurança Existem quatro princípios básicos de segurança: acesso, autenticação, autorização e contabilidade. • Acesso Os controles físicos e de software são necessários para proteger o hardware ou os dados contra invasão. • No caso do hardware, limites de acesso geralmente significam limites de acesso físico. • No caso do software, o acesso é limitado através de meios físicos e virtuais. • O firmware só pode ser alterado por meio do processo de atualização da Oracle. • Autenticação Todos os sistemas operacionais da plataforma fornecem recursos de autenticação que podem ser configurados para garantir que os usuários sejam quem eles dizem ser. A autenticação oferece graus variados de segurança por meio de medidas, como crachás e senhas. • Autorização A autorização permite que funcionários da empresa trabalhem somente com hardware e software nos quais foram treinados e estejam qualificados para usar. Para esse fim, os administradores do sistema criam sistemas de permissões de Leitura/Gravação/Execução que controlam o acesso de usuários a comandos, espaço em disco, dispositivos e aplicativos. • Contabilidade Capítulo 1. Guia de Segurança do Sistema SuperCluster 5 Planejando um Ambiente Seguro Os recursos de software e hardware da Oracle permitem que a equipe de TI do cliente monitore a atividade de log-in e mantenha os inventários de hardware. • Os log-ins de usuários podem ser monitorados através de logs do sistema. As contas de Administrador do Sistema e de Serviço têm acesso a comandos avançados e devem ser cuidadosamente monitoradas através de logs do sistema. Normalmente, os logs são mantidos por um longo período, por isso é essencial remover periodicamente os arquivos de log quando ultrapassam um tamanho razoável, de acordo com a política da empresa do cliente. • Geralmente, os ativos de TI do cliente são controlados por números de série. Os números de peça da Oracle são gravados eletronicamente em todos os cartões, módulos e placas-mãe, e podem ser usados para fins de inventário. Planejando um Ambiente Seguro Use as notas a seguir antes e durante a instalação e configuração de um servidor e equipamento relacionado. Segurança do Hardware É possível proteger o hardware físico de maneira relativamente simples: limite o acesso ao hardware e grave os números de série. • Restrinja o acesso • Instale servidores e equipamentos relacionados em um local trancado com acesso restrito. • Se o equipamento for instalado em um rack com uma porta com trava, só destranque a porta do rack durante a manutenção dos componentes no rack. • Dispositivos hot-plug ou hot-swap são removidos facilmente e requerem acessibilidade restrita. • Guarde unidades substituíveis no campo (FRUs) e unidade substituíveis pelo cliente (CRUs) sobressalentes em um armário trancado. Restrinja o acesso ao gabinete trancado a pessoas autorizadas. • Grave os números de série • Faça uma marca de segurança em todos os itens relevantes de hardware do computador, como as FRUs. Use canetas especiais ultravioletas ou etiquetas em alto-relevo. • Mantenha um registro dos números de série de todo o hardware. • Mantenha as chaves e licenças de ativação de hardware em um local seguro que seja facilmente acessível para o gerente do sistema em emergências de segurança. Os documentos impressos podem ser sua única prova de propriedade. Segurança do Software A maior parte da segurança de hardware é implementada por medidas de software. • Quando um novo sistema é instalado, altere todas as senhas padrão. A maioria dos tipos de equipamento utiliza senhas padrão, como changeme, que são amplamente conhecidas e que permitiriam acesso não autorizado ao equipamento. Além disso, dispositivos como comutadores de rede podem ter várias contas de usuário por padrão. Certifique-se de alterar todas as senhas da conta. • Limite o uso da conta do superusuário root. Contas do Oracle ILOM (Oracle Integrated Lights Out Manager), como ilom-operator e ilom-admin, devem ser usadas sempre que possível. • Use uma rede dedicada para os processadores de serviço a fim de separá-los da rede geral. 6 Sistema SuperCluster · Security Guide · Julho de 2013 Mantendo um Ambiente Protegido • Durante o processo de instalação do Oracle Solaris, você será solicitado a criar uma conta de usuário e uma senha, assim como uma senha root para o sistema. Como parte desse processo, o usuário root é uma função que você assume. Se você alterar as configurações dessa conta, poderá remover a conta de usuário root e fornecer a função root a um usuário menos privilegiado. • Proteja o acesso a consoles USB. Dispositivos como controladores de sistema, PDUs (unidades de distribuição de energia) e comutadores de rede podem ter conexões USB, que podem oferecer mais acesso que conexões SSH. • Consulte a documentação que acompanha o software para ativar todos os recursos de segurança disponíveis para o software. • Um servidor pode ser inicializado de forma segura com a Inicialização WAN ou iSCSI. Para obter informações, consulte o manual Oracle Solaris Installation Guide: Network-Based Installations referente à sua versão do Oracle Solaris. O documento Diretrizes de Segurança do Oracle Solaris fornece informações sobre: • • • • Como proteger o Oracle Solaris Como usar os recursos de segurança do Oracle Solaris ao configurar sistemas Como operar com segurança ao adicionar aplicativos e usuários a um sistema Como proteger aplicativos baseados em rede A documentação das Diretrizes de Segurança do Oracle Solaris pode ser encontrada em: • http://www.oracle.com/technetwork/indexes/documentation/index.html#sys_sw Segurança do Firmware As contas de usuário comuns não podem editar o OpenBoot PROM (OBP) ou outro firmware Oracle. O Sistema Operacional Oracle Solaris usa um processo de atualização de firmware controlado para evitar modificações não autorizadas no firmware. Somente o superusuário pode usar o processo de atualização. Para obter informações sobre como definir as variáveis de segurança do OBP, consulte o OpenBoot 4.x Command Reference Manual em: • http://download.oracle.com/docs/cd/E19455-01/816-1177-10/cfg-var.html#pgfId-17069 Oracle ILOM Firmware O Oracle ILOM (Integrated Lights Out Manager) é o firmware de gerenciamento do sistema que vem pré-instalado em alguns servidores SPARC. O Oracle ILOM permite o gerenciamento e o monitoramento ativos dos componentes instalados no sistema. A maneira como você usa o Oracle ILOM afeta a segurança do sistema. Para saber mais sobre como usar esse firmware durante a configuração de senhas, o gerenciamento de usuários e a aplicação de recursos relacionados a segurança, incluindo autenticação SSH (Secure Shell), SSL (Secure Socket Layer) e RADIUS, consulte a documentação do Oracle ILOM: • http://www.oracle.com/pls/topic/lookup?ctx=E19860-01 Mantendo um Ambiente Protegido O hardware e o software Oracle contêm vários recursos de segurança que controlam o hardware e rastreiam os ativos. Capítulo 1. Guia de Segurança do Sistema SuperCluster 7 Mantendo um Ambiente Protegido Controles de Hardware Alguns sistemas Oracle podem ser configurados para ligar e desligar através de comandos de software. Além disso, as unidades de distribuição de energia (PDUs) de alguns gabinetes de sistema podem ser habilitadas e desabilitadas remotamente, utilizando comandos de software. A autorização para esses comandos é normalmente configurada durante a configuração do sistema e, em geral, é limitada aos administradores do sistema e à equipe de manutenção. Consulte a documentação do sistema ou gabinete para obter mais informações. Rastreamento de Ativos Os números de série da Oracle são incorporados no firmware localizado em placas opcionais e placasmãe do sistema. Esses números de série podem ser lidos através de conexões de rede local para controle de inventário. Os leitores de identificação por radiofrequência (RFID) sem fio podem simplificar ainda mais o rastreamento de ativos. O documento da Oracle, How to Track Your Oracle Sun System Assets by Using RFID, está disponível em: • http://www.oracle.com/technetwork/articles/systems-hardware-architecture/o11-001-rfidoracle-214567.pdf Software e Firmware • Sempre instale a última versão lançada do software ou firmware no seu equipamento. Dispositivos, como comutadores de rede, contêm firmware e podem necessitar de atualizações de patches e firmware. • Instale todos os patches de segurança necessários para o software. Acesso Local e Remoto Siga estas diretrizes para garantir a segurança do acesso local e remoto aos seus sistemas: • • • • • • • • 8 Crie um aviso para informar a proibição do acesso não autorizado. Use listas de controle de acesso quando apropriado. Defina tempos limite para sessões estendidas e defina níveis de privilégio. Use recursos de AAA (autenticação, autorização e contabilidade) para acesso local e remoto a um comutador. Se possível, use os protocolos de segurança RADIUS e TACACS+: • O RADIUS (Remote Authentication Dial In User Service) é um protocolo de cliente/servidor que protege as redes de acesso não autorizado. • O TACACS+ (Terminal Access Controller Access-Control System) é um protocolo que permite a um servidor de acesso remoto a comunicação com um servidor de autenticação para determinar se um usuário tem acesso à rede. Use o recurso de espelhamento de portas do comutador para acesso ao IDS (sistema de detecção de intrusos). Implemente a segurança de porta para limitar o acesso baseado em um endereço MAC. Desabilite o entroncamento automático em todas as portas. Limite a configuração remota a endereços IP específicos usando SSH em vez de Telnet. O Telnet transmite nomes de usuário e senhas em texto não criptografado, permitindo que quase todos no segmento de LAN vejam as credenciais de log-in. Defina uma senha forte para o SSH. Sistema SuperCluster · Security Guide · Julho de 2013 Mantendo um Ambiente Protegido • Depois que o Sistema SuperCluster tiver sido completamente configurado, o instalador desativará todas as chaves SSH e expirará todas as senhas como medida de segurança para o sistema. Se você não quiser as chaves SSH desativadas nem as senhas expiradas, consulte o seu instalador no fim da instalação do Sistema SuperCluster. • As versões anteriores do SNMP não são seguras e transmitem dados de autenticação em texto não criptografado. Somente a versão 3 do SNMP pode oferecer transmissões seguras. • Alguns produtos são fornecidos com a definição PUBLIC como string padrão da comunidade SNMP. Os hackers podem consultar uma comunidade para montar um mapa de rede completo e possivelmente modificar valores de MIB (Management Information Base). Se o SNMP for necessário, altere a string padrão da comunidade SNMP para uma string de comunidade forte. • Ative o registro em log e envie os logs para um host de log protegido dedicado. • Configure o registro em log para incluir informações precisas de tempo, usando NTP e registros de hora e data. • Verifique possíveis incidentes nos logs e arquive-os de acordo com uma política de segurança. • Se seu controlador de sistema usar uma interface de browser, faça log-out sempre que usá-lo. Segurança de Dados Siga estas diretrizes para maximizar a segurança dos dados: • Faça o backup de dados importantes usando dispositivos como discos rígidos externos, pen drives ou cartões de memória. Armazene os dados submetidos a backup em outro local externo seguro. • Use o software de criptografia de dados para manter as informações confidenciais em discos rígidos seguros. • Ao descartar um disco rígido antigo, destrua fisicamente a unidade ou apague completamente todos os dados na unidade. A exclusão de todos os arquivos ou reformatação da unidade removerá apenas as tabelas de endereços da unidade; as informações ainda poderão ser recuperadas de uma unidade depois da exclusão de dados ou de sua reformatação. (Use um software de limpeza de disco para apagar completamente todos os dados em uma unidade.) Segurança de Rede Siga estas diretrizes para maximizar a segurança de sua rede: • A maioria dos comutadores permite que você defina redes locais virtuais (VLANs). Se você usar seu comutador para definir VLANs, separe clusters de sistemas confidenciais do restante da rede. Isso reduz a probabilidade de os usuários obterem acesso às informações sobre esses clientes e servidores. • Gerenciar comutadores fora de banda (separados do tráfego de dados). Se o gerenciamento fora de banda não for viável, dedique um número de VLAN separado para o gerenciamento na banda. • Mantenha hosts Infiniband protegidos. Uma malha InfiniBand é tão segura quanto seu host Infiniband menos seguro. • Observe que o particionamento não protege uma malha Infiniband. O particionamento só fornece isolamento de tráfego Infiniband entre máquinas virtuais em um host. • Mantenha um arquivo de configuração de comutador off-line e limite o acesso somente a administradores autorizados. O arquivo de configuração deve conter comentários descritivos para cada configuração. • Use configuração VLAN estática, quando possível. • Desabilite as portas do comutador não utilizadas e as atribua a um número de VLAN não utilizado. • Atribua um número de VLAN nativo exclusivo às portas de entroncamento. Capítulo 1. Guia de Segurança do Sistema SuperCluster 9 Guias de Segurança Relacionados • Limite as VLANs que podem ser transportadas em um entroncamento a apenas aquelas que forem estritamente necessárias. • Desabilite o VTP (VLAN Trunking Protocol), se possível. Caso contrário, defina o seguinte para o VTP: domínio de gerenciamento, senha e remoção. Em seguida, defina o VTP no modo transparente. • Desabilite os serviços desnecessários, como pequenos servidores TCP ou HTTP. Habilite os serviços de rede necessários e configure esses serviços de maneira segura. • Comutadores diferentes oferecerão níveis diferentes de recursos de segurança de porta. Use estes recursos de segurança de porta se estiverem disponíveis no seu comutador: • Bloqueio de MAC: Envolve associar a uma porta física de um comutador um endereço MAC (Media Access Control) de um ou mais dispositivos conectados. Se você bloquear uma porta de comutador para um endereço MAC específico, os superusuários não poderão criar portas traseiras na sua rede com pontos de acesso nocivos. • Bloqueio de MAC: Impede que um endereço MAC específico se conecte a um comutador • Conhecimento de MAC: Utiliza o conhecimento sobre cada conexão direta da porta do comutador de modo que o comutador de rede possa definir a segurança com base nas conexões atuais. Guias de Segurança Relacionados Os componentes de software e hardware usados no Sistema SuperCluster também podem ter guias de segurança específicos do produto. A seguir, encontra-se uma lista dos componentes usados no Sistema SuperCluster e o local onde esses guias de segurança específicos do produto residiriam, se houvesse guias de segurança disponíveis para esses componentes: • Servidor SPARC T4-4: http://www.oracle.com/pls/topic/lookup?ctx=E23411_01 • Servidor SPARC T5-8: http://www.oracle.com/pls/topic/lookup?ctx=E35078_01 • Sun ZFS Storage 7320 Appliance: http://www.oracle.com/pls/topic/lookup?ctx=ZFS_Storage_7x20_2011.1 • Comutador Sun Datacenter InfiniBand Switch 36: http://www.oracle.com/pls/topic/lookup?ctx=E19197-01 • Exadata Storage Server: Documentação instalada no diretório /opt/oracle/cell/doc no Exadata Storage Server • Sistema Operacional Oracle Solaris: http://www.oracle.com/technetwork/documentation/index.html#sys_sw 10 Sistema SuperCluster · Security Guide · Julho de 2013