4 Principais fatores de segurança para Linux no IBM Power Systems

By and George Wilson | 6 minute read | 15/09/2020

Um dos maiores desafios no setor de computação é reduzir o risco de ataques cibernéticos. Os criminosos cibernéticos estão constantemente desenvolvendo novos métodos para se infiltrar e atacar organizações driblando a segurança do computador. A chave para reduzir o risco de cibersegurança é utilizar uma “defesa em profundidade” ou uma abordagem multicamada. O IBM Power Systems e o processador POWER9 foram projetados para facilitar essa abordagem de segurança, fornecendo diferentes camadas de proteção de segurança, incluindo segurança para hardware, sistema operacional, firmware, hypervisor e um conjunto de ferramentas de segurança, como o IBM PowerSC.

Neste post, nós focaremos nas principais recomendações de segurança relacionadas ao Linux on IBM Power Systems para que você considere a utilização à medida que migra para o IBM POWER9.

1. Melhorias na segurança da inicialização do OS nos sistemas OpenPOWER

Os sistemas podem ser configurados facilmente para inicializar um kernel OS comprometido se nenhuma medida é tomada para assegurar a integridade dos kernels. Estão sendo desenvolvidos dois novos recursos de firmware que foram projetados para melhorar a segurança da inicialização de sistemas operacionais não virtualizados no hardware OpenPOWER.

Saiba mais sobre a abordagem multicamada para segurança com IBM POWER9

A primeira é chamada de inicialização segura. A inicialização segura verifica se os kernels OS são válidos antes de permitir que eles sejam inicializados. Os provedores fornecem kernels OS que eles assinam criptograficamente. Quando os administradores de sistema instalam, eles também instalam chaves de verificação de kernel correspondentes no armazenamento flash do sistema protegido. Antes que o bootloader inicialize um kernel selecionado, ele usa uma das chaves de verificação para verificar ele com relação à assinatura do original. O bootloader inicializa o kernel apenas se a verificação é bem-sucedida, evitando, assim, que os não aprovados ou imagens de kernel modificadas sejam inicializadas.

A segunda é chamada de inicialização confiável. A inicialização confiável armazena de maneira segura um hash criptográfico de uma imagem de kernel antes de ele inicializar, o que fornece um registro permanente e preciso de qual kernel inicializou para avaliação futura. O bootloader utiliza um hash criptográfico da imagem de kernel, registra-o em um log de eventos e o usa para atualizar o estado de um registro no Módulo de Plataforma Confiável (Trusted Platform Module ou TPM) chamado de Registro de Configuração de Plataforma.

Um caso de uso proeminente para inicialização confiável é chamado de atestado remoto. Após a inicialização de um sistema, um segundo sistema pode verificar qual kernel inicializou no primeiro sistema, solicitando seu log de eventos e seu conjunto de Registros de Configuração da Plataforma assinados pelo TPM. O segundo sistema pode, então, usar esses dados para avaliar o estado do primeiro sistema antes que ele continue interagindo.

Saiba mais sobre o Linux on Power Systems

A inicialização segura de firmware e a inicialização confiável já estão ativadas nos sistemas IBM POWER9. Nós antecipamos que a inicialização segura e a inicialização confiável do OpenPOWER OS serão disponibilizadas para Power Systems selecionados em uma atualização de firmware futura.

2. Perfis de cibersegurança disponíveis com interface gráfica do usuário do PowerSC

IBM PowerSC é um conjunto de ferramentas de cibersegurança para o IBM Power Systems. O “S” em PowerSC significa “segurança” e o “C” significa “conformidade”. Existem várias ferramentas diferentes nesse conjunto. Sendo uma única ferramenta, a interface gráfica com o usuário do PowerSC, oferece uma interface baseada em navegador da web que oferece configuração de segurança centralizada, gerenciamento, monitoramento e informações de relatório. Ela fornece a capacidade de implementar um perfil de segurança, que consiste em um conjunto de configurações de segurança do sistema operacional para diversos sistemas, a partir do servidor de gerenciamento centralizado baseado em navegador da web.

Para terminais Linux on Power (excluindo aqueles em execução no modo big endian no Red Hat Enterprise Linux [RHEL] 7), o PowerSC pode fornecer reforço da segurança para o SUSE Linux Enterprise Server (SLES) 12 SP3 e o Red Hat Enterprise Linux Server 7.4. Atualmente, o PowerSC oferece suporte de perfil para reforço da segurança do Linux para suas obrigações de conformidade de PCI-DSS e GDPR. O objetivo desses dois perfis é ajudar os clientes a abordar o subconjunto de seus requisitos de conformidade que se relacionam ao reforço da segurança do sistema operacional. Também é possível criar perfis customizados que incluem qualquer parte ou combinação desses dois perfis.

3. Guia de Reforço da Segurança de SLES para a Plataforma SAP HANA®

Se você executa a plataforma SAP HANA para Linux on Power, deve estar ciente do aviso de reforço do sistema SUSE. O SUSE fornece o guia, em inglês, “Reforço de Segurança do Sistema Operacional para SAP HANA”, que oferece recomendações para medidas de reforço da segurança do sistema operacional para SLES 11 ao executar o SAP HANA em um host SLES, bem como o guia, em inglês, “Reforço de Segurança do Sistema Operacional para SAP HANA for SUSE Linux Enterprise 12”, que foi atualizado para hosts do SLES 12. Ambos os guias fornecem muitas recomendações para melhorar a segurança de seus ambientes de sistema operacional ao executar especificamente o SAP HANA no SLES. Além disso, o SUSE também liberou recentemente uma versão, em inglês, do guia de reforço para o SLES 15. Acreditamos que a maioria das recomendações nesses guias também podem ser utilizadas para reduzir o risco de cibersegurança ao executar o SAP HANA no Red Hat Enterprise Linux.

4. Aprimoramentos criptográficos

A criptografia com mau desempenho pode ser um impedimento para a proteção de dados sensíveis, tanto em trânsito como em repouso. O OpenSSL no RHEL 8, SLES 15 e Ubuntu 19.04 utiliza as instruções de suporte criptográfico de Vector Multimedia Extension (VMX) disponíveis com o POWER9. Esse novo suporte foi projetado para melhorar o desempenho de operações criptográficas para os algoritmos a seguir:

  • AES
  • ChaCha20
  • ECC Curve NISTZ256
  • ECC Curve X25519
  • GHASH
  • Poly1305
  • SHA2
  • SHA3

Além disso, o kernel do Linux contém aceleração de VMX para estes algoritmos:

  • AES
  • GHASH

E o Golang incorpora a aceleração de VMX para estes algoritmos:

  • AES
  • MD5
  • SHA-2
  • ChaCha20
  • Poly1305

Atualizações semelhantes estão atualmente em andamento para projetos de envio de dados adicionais, incluindo libgcrypt, NSS e GnuTLS, e a IBM continua trabalhando para aprimorar o desempenho da criptografia no POWER9 nesses e em outros projetos de software livre.

Defenda-se contra ataques cibernéticos

Uma organização nunca conseguirá reduzir seu risco de cibersegurança a zero. A redução do risco é um interminável processo para adaptar suas medidas de segurança em um cenário que muda constantemente. Entretanto, implementar uma estratégia detalhada de defesa de maneira consciente e cuidadosa pode fazer a diferença ao evitar que sua organização experiencie uma violação de cibersegurança. Este post recomendou 4 camadas de segurança que podem ajudá-lo a executar etapas importantes para alcançar uma implementação de defesa detalhada e robusta.

O IBM Systems Lab Services fornece uma avaliação de segurança do Linux para SAP HANA. Esse serviço de consultoria é a primeira etapa para definir o que é necessário para realizar uma implementação de defesa de cibersegurança detalhada para Sistemas Linux. O Lab Services também fornece um serviço de prova de conceito do PowerSC que auxilia as organizações na instalação, na configuração e nas melhores práticas administrativas ao usar o PowerSC com AIX, Sistemas Linux ou IBM i.

Para obter mais informações sobre qualquer um desses serviços ou sobre qualquer assunto relacionado à segurança do Linux on Power, enviei sua dúvida para o especialista que logo ele entrará em contato com você.