Auditoría de centros de procesamiento de datos. Parte 1: Seguridad física

ÍNDICE

Auditoría de centros de procesamiento de datos. Parte 1: Seguridad física

Auditoría de centros de procesamiento de datos. Parte 2: Seguridad lógica

Auditoría de centros de procesamiento de datos. Parte 3: Aspectos contractuales y de gestión energética

Buenas,

¿Te han encargado una revisión de un data center y no sabes por dónde empezar? ¿Vas a contratar servicios de terceros en una operación de outsourcing y no terminas de fiarte? ¿Te has leído unos checklist de cloud computing y te saben a poco? Estás de suerte. Quizás lo que aquí te cuente te sirva de algo.

Aunque a definición adecuada quizás sea centro de procesamiento de datos (CPD), o por lo menos es la a mí me suena mejor, emplearemos indistintamente data center o centro de datos para referirnos a ese espacio singular donde se almacena una cantidad determinada de equipamiento informático y electrónico destinada a dar soporte a servicios de negocio determinados.

En estos data centers, indistintamente de que sean públicos, privados o mixtos, se dan una serie de condiciones tanto físicas como lógicas, así como procedimientales y técnicas, que definen la seguridad de dicha infraestructura. Auditarlos puede ser una tarea compleja, porque son instalaciones complejas, luego en este artículo no tiene mucho sentido ver todas y cada una de las distintas posibilidades y desarrollar un plan de auditoría para cada una de las facetas. Así que en vez de desarrollar punto a punto un programa de trabajo, lo que haré será detallar lo que suele hacerse mal en un centro de datos, de modo que estas pistas te sirvan de ayuda para poder orientar tu trabajo.

Hablaremos de las siguientes categorías: Seguridad física, seguridad lógica, gestión energética y problemas contractuales. En principio tengo previsto dedicar un artículo a seguridad física, otro a lógica y por último uno donde hablaré un poco de gestión energética y asuntos contractuales.

Seguridad física

Entran dentro de esta categoría todas las medidas para asegurar la integridad física de los equipos almacenados. Desde la verja exterior hasta los mecanismos de extinción de incendios. Como podéis imaginar, es un tema complejo dado que son muchos los factores que intervienen. Los CPD suelen, y digo suelen, tener buenas características de seguridad física, ya que si son suficientemente serios, se diseñan con la seguridad en mente. No obstante suele ser común encontrarse sorpresas en las siguientes áreas:

  • Control de acceso. Especialmente en las zonas «cero», es decir, aquellos compartimentos del data center que albergan la infraestructura más valiosa. En una infraestructura de este tipo es deseable siempre tener control en tiempo real de quién entra a dónde, y para qué. No encontrarse con un sistema de control de acceso que genere los registros adecuados y los conserve convenientemente es motivo de incidencia. Se van implantando poco a poco sistemas biométricos y siguen siendo válidos los mecanismos de acceso con tarjetas inteligentes. No os cortéis a la hora de pedir logs de los sistemas de control, y no os extrañe que surjan problemas. Por increíble que parezca, este es un tema donde siempre aparecen incidencias.
  • Pruebas de mecanismos de detección y alarma. Todos los responsables de seguridad física te enseñarán extintores, la sala de contraincendios, los sensores de humedad, de temperatura, de detección de humo y de movimiento. Pero no todos pueden enseñarte pruebas fehacientes de que estos sistemas están siendo probados regularmente y que funcionan como es debido. En muchos países, y por motivos de legislación, es obligatorio realizar pruebas periódicas de los sistemas, pero no asumáis que esto pasa en todos los sitios y que las pruebas son exhaustivas. Dedicad un poco de tiempo a esto
  • Acceso de mercancías y personal de proveedores. No sería la primera vez que llegar a las zonas cero del CPD es imposible si se pretende la intrusión a través de las vías de acceso convencionales, pero sencillo o relativamente sencillo si se utilizan los accesos especiales para equipamiento y proveedores. Como comprenderéis, si te compras un z114 o un z196, no vas a meterlo por el torno de acceso de los empleados y a maniobrarlo por los pasillos. Para esto existen accesos especiales, generalmente un muelle de carga y descarga donde las mercancías son gestionadas. Recorred este acceso y miradlo con lupa, yo me he encontrado de todo aquí: desde fulanos con destornillador en mano caminando solos por la zona cero a puertas del muelle abiertas de par en par y con gente metiendo y sacando cajas, por citar algunos ejemplos.
  • Ausencia de seguridad perimetral o seguridad perimetral insuficiente. Aunque suene a broma, es algo que puede suceder. No es la primera vez que un CPD tiene medidas internas de seguridad físicas excepcionales y que luego, al darse uno una vuelta por allí, descubre que todo está protegido por una verja que un niño de 7 años puede saltarse, o que hay una ventana abierta por la que entrar y quitarse de encima la mayoría de controles de acceso. Si has quedado a las 9 para auditar, procura estar allí a las 8 u 8.30 y date una vuelta por fuera. Las sorpresas están al acecho
  • Gestión de energía y continuidad. Es un tema amplio de tratar, y en definitiva engloba todo lo que tiene que ver con el aprovisionamiento energético del CPD. Un CPD es un sitio donde se consume muchisima energía, y por tanto, requiere de medidas especiales para asegurar que el flujo energético esté garantizado ante cualquier tipo de incidente, y que en el peor de los casos, el suministro pueda ser establecido por medios alternativos. Por norma general el CPD suele tener dos o más acometidas de proveedores de energía eléctrica independientes, para no depender exclusivamente de un único proveedor, y es frecuente que internamente se hagan abastecimientos a zonas teniendo en cuenta si requieren máxima resiliencia eléctrica o no. Cuando todo va mal y se pierde completamente el fluido eléctrico, es normal contar con una batería de generadores diesel para garantizar el suministro en caso de contingencia eléctrica grave. Yo sugiero que os presenten pruebas fehacientes de que estos generadores se prueban periódicamente, y que no os tiemble el pulso pidiendo evidencias de carga en los depósitos de combustible. Un esquema unifilar que muestre la redundancia eléctrica suele ayudar igualmente. Como no vamos a andar apagando servidores para ver si aquello funciona, solicitad acceso a un rack con tomas independientes eléctricas y pedid una visita a la sala de cuadros eléctricos para determinar si eso verdaderamente opera con acometidas independientes o no.
  • Ausencia de compartimentación. Especialmente relevante en el caso de data centers públicos o destinados al uso de múltiples clientes. En estos casos es de esperar que cada cliente tenga su infraestructura en una jaula y que la cerradura esté, lógicamente, cerrada. Mal asunto si al visitar nuestra infraestructura fuera posible tirar de un cable de la competencia.
  • Otros problemas: Algunos modelos de CPD que puedes encontrarte

  • El CPD jardín botánico. Dícese de aquel en el que el exterior, más que un data center, parece que es un vivero de plantas con vegetación tan espesa que allí podría esconderse un tigre de bengala alegremente. Uno no sabe si está en un centro de datos o en un parque zoológico. Cuidado con este detalle, que puede parecer nimio pero es fuente de problemas. Aparte del hecho de que la vegetación en el perímetro puede servir para que además del tigre se escondan los amigos de lo ajeno, el exceso de vegetación puede ser dañino para la infraestructura, no sólo los cimientos y cerramientos, sino para las conducciones eléctricas, de agua, etc. Adicionalmente, denota falta de cuidado y probablemente es una pista que deba hacer sospechar que allí se están ahorrando costes de una manera equivocada.
  • El data center IKEA / el cuartillo de los de informática. Este es el caso que nos encontramos cuando visitamos un centro que sobre el papel debería ser eso, un CPD, pero que en realidad no es otra cosa que un aparador Sjövik de la conocida firma sueca con servidores apilados y cables, o en el mejor de los casos, una pequeña sala al fondo del pasillo, que en vez de tener infraestructura de CPD es en realidad el cuarto de los del departamento de informática, y donde guardan todos sus preciados tesoros, esos que son tan necesarios y útiles en el día a día, como monitores de CRT, equipos 386, impresoras matriciales, cartuchos llenos de polvo, discos duros metidos en cajas de zapatos y ese largo etcétera típicamente asociable a los tipos del área de informática con síndrome de diógenes.
  • El data center «Feria de Torremolinos». Es el nombre que le doy al típico CPD en el cual el orden del cableado recuerda más al de una atracción de feria cuando la ves por detrás que a una sala de cómputo. Cables por todos sitios, racks interconectados por el techo con catenarias, puertas de rack aciertas o que directamente, no existen, armarios que con las pisadas se balancean, cableado sin código alguno de colores, servidores alojados en los racks sin ningún tipo de orden y etiqueado … la lista se puede hacer muy larga. Un CPD tiene que ser un sitio con orden, limpieza y donde de un plumazo se puedan localizar máquinas por grupos o servicios sin tener que hacer una investigación previa.
  • El data center tropical. Aquel en el que nada más entrar se siente el calor del trópico. Sólo falta que te pongan un daikiri con una sombrilla de papel y que te dejen tender la toalla. En un data center suele hacer frío, porque hay que refrigerarlo y mantener una condición óptima de temperatura. Que al entrar sintamos calor, o que al pasear notemos que la temperatura no es constante es indicar de problemas en la refrigeración. Esto es una incidencia severa, ya que los efectos de la temperatura son manifiestos: menores rendimientos, mayores costes de operación y máquinas cuyo ciclo de vida se ve acortado innecesariamente.
  • El CPD «Cueva de Nerja», o aquel en el que para acceder al suelo técnico o a los falsos techos se requiere un máster en espeleología. Tanto suelos como techos deben ser fácilmente accesibles. Yo suelo pedir que levanten el suelo y no tengo reparos en colarme allí para ver qué se cuece en el suelo. Es un indicador perfecto de mantenimiento y para ver con tus propios ojos la infraestrcutrura de seguridad, como los detectores de inundación. Es un sitio donde no es conveniente encontrarse migajas de pan, un papel albal arrugado y una lata de cocacola dejadas atrás por algún técnico de mantenimiento que no tenía mejor sitio donde desayunar. No te olvides la linterna en casa.
  • El CPD «Thyssen-Bornemisza» o aquel donde los clientes se pasean alegremente como si eso fuera un museo, cámara de vídeo y/o fotos en mano y con un responsable de CPD que no tiene reparos en hacer un tour guiado explicando a los clientes potenciales lo que allí hay guardado. No hay necesidad de que nadie filme ni fotografíe tu infraestructura, que además de revelar datos técnicos, frecuentemente tiene etiquetadas direcciones IP, descripciones de servicios y nombres de máquinas, y que por desgracia, puede eventualmente contener contraseñas de emergencia pegadas a las consolas de los racks. Hay que ser muy estricto con estos controles y con su verificación.
  • El CPD «Biblioteca de Turín». Es aquel que además de CPD, es lugar de archivo de toneladas y toneladas de papel. Es típico en pequeños edificios donde la infraesructura de CPD es una sala más, y donde por motivos de espacio se suele compartir la sala para archivar documentación. Yo no he venido aquí a pedir prestado el Código Da Vinci, de modo que este tipo de situaciones es fuente de incidencia. El riesgo eléctrico y el papel no son buenos compañeros por lo general.

Dónde encontrar información exhaustiva sobre seguridad física

Existen numerosas fuentes aunque yo tampoco conozco ninguna que aglutine en un único documento todo lo que puede y debe ser auditado, en términos de seguridad física. Quien quiera documentarse en profundidad o realizar su propio programa de trabajo puede recurrir a NIST, que tiene mucha información al respecto, y podéis encontrar referencias a mejores prácticas de seguridad en al menos los siguientes documentos

NIST FIPS 200 Security Controls for Federal Information Systems
NIST SP 800-100 Information Security Handbook for Managers
NIST SP 800-96 PIV Card / Reader Interoperability Guidelines
NIST SP 800-92 Guide to Computer Security Log Management
NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response
NIST SP 800-78 Cryptographic Algorithms and Key Sizes for Personal Identity Verification
NIST SP 800-76 Biometric Data Specification for Personal Identity Verification
NIST SP 800-73 Rev 1 Integrated Circuit Card for Personal Identification Verification
NIST SP 800-66 An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule
NIST SP 800-58 Security Considerations for Voice Over IP Systems
NIST SP 800-24 PBX Vulnerability Analysis: Finding Holes in Your PBX Before Someone Else Does
NIST SP 800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems
NIST SP 800-12 An Introduction to Computer Security: The NIST Handbook

En la próxima entrega veremos los problemas usuales en la seguridad lógica, tanto de la propia operación del centro como de los servicios allí alojados.

Un saludo,

Planificar y ejecutar una auditoría de redes SAN (Storage Area Network): aspectos fundamentales

Hola,

Justo hace un ratito he soltado un par de tuits sobre redes de almacenamiento empresariales, concretamente, sobre tejidos SAN. Me vais a permitir que emplee la palabra inglesa fabric, porque traducirla a tejido me resulta algo extraño, y además os será más fácil encontrar referencias empleando el anglicismo.

No voy a entrar mucho en la teoría, es larga y compleja, pero sí que merece la pena al menos definir un par de conceptos:

  • SAN: Storage Area Network. Es la manera más normal de referirnos a una red de área de almacenamiento, y se compone principalmente de cabinas de disco, switches para la transferencia de información y otros elementos auxiliares, como por ejemplo, las consolas centralizadas de gestión o el cableado.
  • Fibre channel: Es la topología usual en redes SAN, y generalmente está asociada a clústers informáticos de alta capacidad y con elevados requisitos de rendimiento. Es frecuente el empleo de Fibre Channel Protocol (FCP) para el transporte de comandos SCSI sobre redes de fibre channel como protocolo de operación.
  • Fabric, o tejido, el conjunto de elementos que conforman la red SAN y la manera en la que están interconectado.

Auditar una SAN

Auditar una SAN al milímetro puede ser una tarea compleja y muchas veces, injustificada. No sólo por el número de elementos y porque no deja de ser un segmento tecnológico poco conocido, sino porque además el enfoque suele estar más orientado a la configuración de seguridad que al pentesting, ya que estos elementos no suelen estar expuestos al tráfico de redes públicas (por no hablar de la escasa disponibilidad de herramientas). Aún así, habida cuenta de la existencia de pilas IP, el pentesting es factible, aunque poco útil en la mayoría de los casos si es lo único que realizamos.

Estos factores hacen muy necesario que antes de tirarnos al charco dediquemos un mínimo de tiempo a realizar una evaluación de riesgos: limitar el alcance en función a un risk assessment es siempre saludable, ya que evita incurrir en trabajos improductivos y hace que el coste de la auditoría sea efectivo. En un campo técnico complejo, donde el conocimiento no es precisamente abundante, hay que reservar tiempo para investigar y documentarse, y no malgastarlo en tareas que no ayudan a valorar el riesgo. Para rematar la faena, los fabricantes de componentes de SAN fabric han ido cada uno por su lado a la hora de desarrollar su tecnología, y en muchos casos la manera de implementar seguridad es radicalmente opuesta: este es un trabajo para realizarlo bien acompañado de white papers, referencias y guías de administración. ¿Crees que para cada montaje hay un checklist disponible? Olvídate de ello.

Y una vez planificado ¿por dónde abrimos el melón? Es ahora cuando me veo obligado a defraudar a los que esperan encontrar aquí un programa de trabajo de la A a la Z. Como he explicado, la variabilidad es tal que es imposible unificarlo todo en un artículo. Creo que puede ser más interesante dejar alguna pista, y que tú, el lector-auditor, las uses para enfocar tu trabajo. Tampoco entraré en otros detalles más de índole administrativa, como políticas, procedimientos y similares, que son extremadamente importantes, pero que no trataré en este artículo.

En esencia yo destacaría los siguientes elementos como imprescindibles a la hora de auditar una red SAN:

  • Topología. Sí, deberías haberla estudiado en la evaluación de riesgos, pero vuelvela a mirar. Aunque lo usual es que sean del tipo switched, las hay también punto a punto y de bucles arbitrados. No es usual encontrar topologías chapuceras en este campo, ya que la mayoría de clientes de este tipo de soluciones se apoya en pesonal extremendamente cualificado para desplegar redes SAN. Merece la pena, no obstante, identificar la correcta estrategia de zonas, todos los puntos de administración, las interconexiones y los posibles enlaces a redes externas, si los hubiera. Apúntate bien las IPs, te harán falta después. Especialmente relevante identificar en todos los casos los puntos de salida de la SAN, como por ejemplo, servidores NFS y servicios donde se puedan estar volcando datos procedentes de la red. Por supuesto, los sistemas destino, como sistemas que son, deben ser considerados a la hora de valorar la necesidad de auditarlos (sistemas operativos, permisos, aplicaciones de gestión, etc.)
  • Cabinas de disco. Existen al menos 3 puntos clave a la hora de auditarlas: los interfaces Web de administración (cada día más frecuentes), las líneas de mandato que pueda ofrecer el sistema operativo de gestión y los módulos de gestión del fabricante, generalmente módems que conectan con el proveedor para informar preventivamente del estado de la cabina en términos de mantenimiento. Para los interfaces Web podemos echar mil horas viendo a ver si hay XSS o no, pero esto no aporta gran cosa al riesgo. Una cabina de discos es una matriz de discos, luego los riesgos SIEMPRE están relacionados con la confidencialidad, disponibilidad e integridad de los datos que contienen, luego yo me centraría en analizar el control de acceso (usuarios por defecto que no se han eliminado, también necesario para la línea de mandatos) y en la propia configuración de seguridad declarada en el sistema. Es aquí donde toca tirar de manuales, y revisar lo que consideremos fundamental según el caso. Para los módulos de servicio del fabricante, generalmente están segregados de los datos físicamente, y en algunos casos es directamente imposible el acceso a los datos, pero merece la pena dedicarle un ratito a entender cómo se comunica la cabina con el fabricante, y cómo se orquesta la segregación entre datos y módulos de servicio.
  • Switches. Son necesarios para que la red pueda transportar información, y el enfoque es similar al de las cabinas de disco: análisis del control de acceso, y revisión de la configuración de seguridad. Cada fabricante tiene su propia manera de hacerlo, y no sería capaz de enumerarlas todas. Los switches Brocade son usuales en despliegues relevantes, aunque te los puedes encontrar QLogic, Cisco, HP … Este es un punto interesante para la parte sociológica de la auditoría, ya que no todos los fabricantes tienen los manuales de administración disponibles en línea, y cuando están, generalmente requieren acceso con credenciales de cliente, con lo que es un buen momento para llevarse bien con el auditado, y pedirle su cooperación. Lo usual en este tipo de elementos es que haya problemas con el control de acceso, bien sea por la presencia de usuarios por defecto, contraseñas débiles, servicios innecesarios a la escucha, etc, así como la propia configuración técnica del dispositivo.
  • Logic Unit Number (LUN) Masking. El enmascaramiento LUN es un punto que cito aparte por su especial importancia. Su misión fundamental es impedir la degradación o la corrupción entre discos en la SAN, pero obviamente, puede servir para hacer la instalación más segura, habida cuenta de la posibilidad de adulterar los patrones de identificación en los adaptadores, como por ejemplo, las IPs, las MAC, etc. Conviene dedicar tiempo a entender cómo está implementado el enmascaramieto LUN y observarlo no sólo desde el punto de vista de la seguridad, sino de la propia estabilidad del montaje.
  • Enterprise Fabric Management Tools. Cada vez más frecuentes, son interfaces de control que aglutinan a todos los elementos. El razonamiento es el mismo que el anterior: si están basados en Web, control de acceso y ojo a la declaración de roles, ya que no es nada anormal encontrarse interfaces de este tipo donde todo el mundo es administrador, y cosas similares. Si admiten configuración por línea de comando, revisar puntos de acceso, control de acceso y ficheros de configuración.

Si alguien quiere un ejemplo real, SANS publicó un programa de trabajo bastante detallado para redes SAN basadas en componentes EMC. Este trabajo está específicamente orientado a cabinas Symmetrix 8730 y switches fibre channel Connectrix DS-32M, pero puede servir para ayudaros a organizar vuestros propios programas de trabajo. Las ideas que he escrito en el artículo no contienen, ni mucho menos, la totalidad de elementos que podemos someter a auditoría, con lo que si alguien quiere dejar su granito de arena es bienvenido :)

Un saludo,