Protegiendo tu cloud con Dome9 (1/2)
Dome9 es una herramienta CSPM que nos permite conocer el estado de seguridad de nuestras infraestructuras cloud (AWS, Azure y Google Cloud), ofreciendo una visualización de todo los activos, realizando análisis continuos de la postura de seguridad y facilitando la automatización en las remediaciones, como ya expliqué en el post “protegiendo tus entornos cloud con CSPM”.
Un poco de contexto…
El año pasado (2018) CheckPoint anunció la adquisición de Dome9 por 175 millones de dólares, una startup fundada por Zohar Alon, un antiguo empleado de CheckPoint cuyo interés era ofrecer seguridad a las diferentes cloud que en los últimos años habían adquirido todo el protagonismo: AWS, Azure y Google Cloud.
Fundada en 2011 con sede en Israel, Dome9 proporciona soluciones de seguridad y cumplimiento para despliegues multicloud. La plataforma de la compañía incluye capacidades como la visualización de la postura de seguridad, la protección de la identidad, la automatización del cumplimiento y la gobernanza, y el análisis del tráfico y eventos en la nube.
Dentro de la ciberseguridad, los ataques de quinta generación se dirigen cada vez más a entornos empresariales cloud, generalmente vulnerables debido a una mala configuración de la infraestructura. De hecho, cada día vemos más artículos sobre cómo la mala configuración de los servicios cloud es el principal vector de ataque de los atacantes.
Esto plantea un cambio de paradigma interno ya que, curiosamente, los ataques cloud más comunes son los más sencillos de remediar. Por ejemplo:
- Puertos críticos expuestos a internet
- Buckets con permisos de escritura anónimos
- Imágenes de SO públicas con datos privados
- Claves de acceso públicas con permisos elevados
Según el último análisis de Checkpoint, el 97% de las empresas no está preparado para hacer frente a los ataques de nueva generación, y Dome9 es su apuesta para solucionar este tipo de incidentes.
Dome9 como herramienta CSPM
En primer lugar, trataremos las diferentes necesidades básicas de CSPM. Más adelante, veremos como, además de ser una herramienta de CSPM, puede sernos útil para procesos de integración continua u operaciones.
Aprovisionamiento
La sincronización de cuentas cloud con el tenant de Dome9 se puede realizar en modo lectura o en modo escritura. El modo lectura, que podríamos llamarlo clásico, solo dará permisos a Dome9 para listar y leer los activos dentro de la cuenta. El modo escritura añade funcionalidad adicional para, desde Dome9, gestionar y conceder accesos dinámicos (modificando security groups, dando accesos temporales, etc..)
ℹ️ Nota: El modo lectura no es incompatible con la remediación automática. La remediación automática se realiza mediante una AWS Lambda y no mediante llamadas a EC2 u otros servicios.
Una vez la cuenta ha sido sincronizada, ya se puede comenzar a estudiar el inventario obtenido: máquinas virtuales, grupos de seguridad, puertos más usados, IPs de origen más utilizadas…
Dome9 ofrece dos vistas para visualizar los activos, una más ejecutiva y gráfica (como se ve en la imagen 2) y otra más completa donde navegar entre todos los elementos de las distintas cloud.
Análisis de seguridad
A la hora de analizar los controles de seguridad fallidos, Dome9 dispone de una interfaz minimalista y unificada, a diferencia de otras herramientas similares, para poder ver en una sola página toda la información sobre el estado de seguridad de la infraestructura.
En la imagen 5 se muestra el informe generado de un análisis o ejecución, en este caso es la plantilla CCM de la organización CSA, donde por cada control de seguridad se muestran los elementos analizados (Tested), los elementos que cumplen cierta condicion para ser analizados (Relevant) y los elementos que no han pasado el control de seguridad (Non complying).
Al expandir la política veríamos todos los elementos que no cumplen el control y podríamos obtener toda la información sobre los mismos.
Mapa de red
Sin una comprensión clara de la postura efectiva de seguridad de la red y la capacidad de inspeccionar las relaciones entre las políticas de grupos de seguridad, es casi imposible detectar y corregir errores de configuración.
Dome9 dispone de un panel llamado Clarity, una funcionalidad que proporciona visibilidad inteligente y conocimiento de la situación de la seguridad de la red de un entorno público de nube.
Esta herramienta, además de ayudarnos a conocer la estructura de un producto (algo de gran valor a la hora de una auditoria), nos puede ayudar a detectar errores* o mejorar el rendimiento.
* Para poder ver el tráfico de red, como se observa en la Imagen 4, habría que habilitar AWS VPCFlowlogs en el VPC correspondiente.
Monitorización de la actividad de red
Una de las apuestas principales por Dome9 es la funcionalidad llamada Logic. Este servicio ayuda a visualizar qué está ocurriendo o ha ocurrido en una o varias red de la nube.
En la Imagen 5 vemos un mapa de las distintas redes (VPCs) que conforman una cuenta de AWS (AWS Stage) y la actividad transcurrida en la ultima hora. La identificación de IPs maliciosas parece que se realiza mediante listas negras como Spamhaus.
Dentro de la visualización de red podemos seleccionar los elementos que queremos analizar y ver más detalles, como se observar en la siguiente imagen. El beneficio de Logic no está unicamente en la centralización de Logs, sino también en el catalogo de consultas de red que puedes realizar para detectar amenazas o identificar errores (Imagen 6).
Remediaciones automáticas
Dome9 presentó Cloudbots como su herramienta para solucionar los incidentes que se detecten en la monitorización continua.
Hasta ahora hemos visto como Dome9 ofrece la posibilidad de analizar las distintas cuentas cloud en base a un conjunto de pruebas y emitir informes con los resultados y las incidencias detectadas.
CloudBots ofrece la posibilidad de activar una acción de corrección inmediata sobre el objeto en cuestión. La regla desencadena una llamada a un bot (AWS Lambda) que se ejecuta sobre la cuenta cloud en cuestión y proporciona un remedio al problema.
ℹ️ Nota: También se pueden utilizar de forma autónoma, sin Dome9, para solucionar problemas en las cuentas de AWS, utilizando los mismos disparadores pero realizando la llamada desde nuestra aplicación a la lambda.
En la Imagen 7 vemos el flujo que se sigue desde que se detecta la incidencia, posteriormente se lanza una función Lambda que corregirá el fallo y por último se notificará de la remediación realizada.
En este primer post hemos visto únicamente la capacidad de Dome9 para satisfacer las necesidades que CSPM discute, pero en el siguiente veremos que además de esto, nos puede ahorrar mucho tiempo y dinero si lo integramos adecuadamente en los equipos y proyectos como parte del ciclo de integración continua.
