Principais recursos de segurança do IBM AIX que você não pode perder

By 13/05/2020

A redução do risco de segurança cibernética é a preocupação principal das empresas hoje. Os riscos têm aumentado à medida que os hackers ficam mais experientes e os dispositivos móveis são mais usados para fazer negócios. Nesse cenário, as organizações podem se beneficiar de uma abordagem de “defesa aprofundada” ou de multicamadas para a estratégia de segurança. O IBM Power Systems e o processador POWER9 facilitam a abordagem de segurança de “defesa aprofundada” por fornecer os principais recursos de segurança para os pacotes de ferramentas de hardware, de sistemas operacionais, de firmware, de hypervisor e de segurança, como o IBM PowerSC.

Os recursos de segurança do IBM Power Systems também oferecem suporte para uma ampla variedade de sistemas operacionais e, neste post, apresentaremos os principais recursos de segurança do IBM AIX cuja adoção deve ser considerada durante a migração para o IBM POWER9.

1. AIX Secure Boot e AIX Trusted Execution

O Center for Internet Security (CIS) fornece recomendações de segurança cibernética universais que são aplicáveis a todos os tipos de organizações. O CIS classifica o “Inventário e o controle de ativos de software” como o segundo controle priorizado em uma lista de 20, em que cada controle é, basicamente, uma categoria da defesa cibernética. Os recursos IBM AIX Secure Boot e Trusted Execution estão nessa categoria. Usando o padrão CIS 7.1 como base, acredito que essas ferramentas são as mais importantes para adotar a segurança cibernética para o ambiente corporativo do AIX. O recurso Secure Boot do PowerVM usa assinaturas digitais para verificar a integridade do firmware do PowerVM, incluindo o HostBoot, o Power Hypervisor (PHYP) e o Partition Firmware (PFW). O AIX Secure Boot amplia a verificação de firmware realizada pelo recurso Secure Boot do PowerVM por meio da verificação criptográfica do carregador de inicialização do SO, do kernel e do ambiente de tempo de execução, incluindo os drivers de dispositivo, a extensão do kernel, as aplicações e as bibliotecas compartilhadas.

Depois que o AIX Secure Boot verifica a integridade do processo de inicialização, é possível usar o AIX Trusted Execution para proteger a integridade do ambiente de tempo de execução do AIX por meio da verificação criptográfica da integridade dos scripts, dos executáveis, das extensões do kernel e das bibliotecas que são carregadas pelo kernel do AIX depois que o sistema conclui o processo de inicialização segura. Quando utilizados corretamente, o AIX Secure Boot e o AIX Trusted Execution proporcionam medidas altamente eficientes para evitar ou detectar códigos maliciosos em execução nos sistemas AIX POWER9.

Por que esses dois recursos são tão importantes? Em inúmeras violações de segurança, os invasores geralmente usam malware. Em algumas violações, os invasores têm usado diversos tipos de malware para facilitar o sucesso da violação. Os invasores também podem usar ferramentas de hacking para invadir ainda mais o ambiente da vítima. Além disso, esses dois recursos fazem parte dos controles de segurança cibernética priorizados recomendados pelo padrão CIS 7.1 do Center for Internet Security mencionado acima.  Este segundo controle declara: “Gerencie ativamente (faça inventário, rastreie e corrija) todos os softwares na rede para que somente softwares autorizados sejam instalados e possam ser executados e que todos os softwares não autorizados e não gerenciados sejam localizados e impedidos de ser instalados ou executados”.

Veja a seguir os pré-requisitos para o AIX Secure Boot:

  • Hardware: sistemas POWER9 (Power E950 e superiores)
  • Firmware: 920
  • HMC: Liberação 9 Versão 920
  • AIX: AIX 7.2 TL3 SP1 (72M)

OBSERVAÇÃO: O IBM PowerSC Graphical User Interface fornece a funcionalidade de gerenciamento centralizado para simplificar o gerenciamento do Trusted Execution para diversas partições do AIX.

2. Novos perfis de conformidade de segurança cibernética disponíveis com PowerSC Graphical User Interface

O IBM PowerSC é uma tecnologia integrada desenvolvida para ajudar os clientes do Power Systems com a segurança cibernética em geral e com o compliance da segurança cibernética em ambientes de nuvem e virtuais. Ele pode ajudar a economizar tempo e a reduzir o risco por meio do aumento da visibilidade em toda a pilha do IBM Power Systems. O PowerSC 1.3.0.0, que foi liberado em 13 de dezembro de 2019, oferece dois novos perfis de reforço de segurança. O PowerSC Graphical User Interface oferece a capacidade de aplicar um conjunto de configurações recomendadas para diversos sistemas. Um dos novos perfis de reforço de segurança é baseado nas configurações do CIS Security Benchmark para o AIX 7.1. Esse novo perfil do CIS fornece configurações universais para reforço de segurança que podem ser utilizadas por todos os ambientes corporativos do AIX que usam o AIX 6.1, 7.1 ou 7.2.

O outro perfil de reforço de segurança é para organizações do Departamento de Defesa (Department of Defense ou DoD). Trata-se do novo perfil DISA STIG.

3. Mudanças no conjunto de arquivos

Um dos objetivos da redução da superfície de ataque de qualquer sistema operacional é não instalar softwares que não sejam necessários no sistema operacional. Além de conseguir reduzir o número de elementos que um hacker poderia explorar, a eliminação de softwares desnecessários também consegue reduzir o superconjunto de softwares que precisam de gerenciamento de correções de segurança. Para oferecer a você mais controle sobre os softwares instalados no sistema, os conjuntos de arquivos bos.net.tcp.client e bos.net.tcp.server no IBM AIX foram divididos em 33 novos conjuntos de arquivos. Esse novo design do conjunto de arquivos permite que você desenvolva imagens de construção mais granulares que incluam somente os conjuntos de arquivos necessários para o sistema.

4. Funcionalidade criptográfica central

O conjunto de arquivos OpenSSL versão 1.0.2.1100 e o AIX 7 com 7200-03 podem usar a função de criptografia central que está disponível a partir dos sistemas POWER8. Esse novo suporte foi projetado para melhorar o desempenho quando as operações criptográficas são envolvidas com as cifras a seguir:

  • AES-128-CBC
  • AES-192-CBC
  • AES-256-CBC
  • AES-128-ECB
  • AES-192-ECB
  • AES-256-ECB
  • AES-128-GCM
  • AES-192-GCM
  • AES-256-GCM
  • AES-128-XTS
  • AES-192-XTS
  • AES-256-XTS
  • SHA1
  • SHA224
  • SHA256
  • SHA384
  • SHA512

Embora esse recurso esteja relacionado mais diretamente com o desempenho, ele também está relacionado à segurança cibernética, pois como já foi observado, a utilização de cifras criptográficas com uso intensivo de computação algumas vezes é prejudicada devido à pressão sobre o desempenho. Portanto, a remoção de qualquer fator prejudicial possível para a utilização de cifras com uso intensivo de computação pode resultar na melhoria da segurança em determinados casos.

Defenda-se contra o ataque cibernético

Os invasores estão fazendo avanços significativos na capacidade de atacar organizações. Essa guerra cibernética está sempre buscando novos alvos, pois os hackers nunca param de criar novos métodos para atacar as organizações. Uma abordagem de defesa aprofundada da segurança cibernética é fundamental para reduzir o risco de segurança. Os recursos mencionados neste post são quatro etapas positivas para concretizar uma implementação robusta de defesa de segurança aprofundada que possa fazer a diferença na prevenção ou na redução dos efeitos de uma violação de dados para sua organização.

O IBM Systems Lab Services oferece uma Avaliação de Segurança do AIX para o CIS 7.1. Esse serviço de consultoria é a primeira etapa para concretizar todas as ações necessárias para realizar uma implementação de segurança cibernética de defesa aprofundada para sistemas AIX. Para obter mais informações sobre esse serviço ou sobre qualquer assunto relacionado à segurança do AIX, entre em contato aqui.

[autopilot_shortcode]