MOTIVAÇÃO
No conceito de Arquitetura de Dados, conforme os Fundamentos de Segurança da Informação, com base na ISO/IEC 27001 e 27002, vemos que a preocupação com este tema deve existir desde a concepção do projeto de TIC, até sua implementação e sustentação. Por esse motivo, este artigo traz reflexões sobre o uso de Criptografia nas comunicações do Zabbix x Zabbix Proxy x Zabbix Agent, nos ajudando a compreender seus benefícios e os “custos” relacionados.
CRIPTOGRAFIA
Diversas literaturas descrevem a Criptografia e por este motivo, não abordaremos este conceito. Porém, é importante saber que a coleta de dados pelo Zabbix Server ou Zabbix Proxy, pode ou não ter este recurso implementado. Quem decide por sua implementação é o administrador Zabbix, seguindo talvez, alguma diretriz de sua Organização, ou até mesmo, por conhecimento empírico e assim, apresenta um melhor cenário para a solução.
OPÇÕES DE IMPLEMENTAÇÃO
A camada TLS na solução Zabbix pode ser implementada pelas opções de compilação –with-gnutls, –with-openssl e –with-mbedtls. O quadro abaixo mostra as opções de implementação:
MONITORAMENTO DISTRIBUÍDO
Ao imaginarmos um cenário complexo, onde temos o Zabbix Server e várias conexões com seus Zabbix Proxies, podemos imaginar vários clientes de negócio tendo seus dados coletados e sendo processados por outra Organização, em quem confiam. Alguns destes dados possuem teor sensível ao negócio, como a URL de uma aplicação administrativa, listas de ativos, rotas de comunicação de suas redes, etc… e é exatamente para promover a segurança destes dados que devemos pensar em aplicar a criptografia em nosso cenário. Mas quantos cenários existem? Aplicar a criptografia será sempre a melhor solução? Vejamos…
PROPONDO CENÁRIOS
No primeiro cenário, temos o Zabbix Server, seus Proxies e Agents sem nenhuma segurança implementada. Este cenário provavelmente é o mais comum de se encontrar em uma implementação recente em uma Organização que está começando com a solução Zabbix para monitoramento de seus ativos (talvez ainda nem se saiba que podem ser monitoradas suas aplicações e seus negócios). Seria assim:
Perceba que existem ao menos 2 Zabbix Proxies, representando ao menos 2 clientes e cada um deles, pode monitorar diversos ativos, serviços e negócios.
Este é o cenário como menor custo. O conceito de custo neste artigo, refere-se à fluidez do tráfego dos dados coletados, sua performance ao chegar ao destino, sendo o primeiro deles o Zabbix Proxy e em seguida, ao Zabbix Server.
Por não haver camada TLS implementada, a o tráfego dos dados coletados possui maior fluidez, maior velocidade na rede.
Neste cenário, temos mais segurança entre a comunicação do Zabbix Server com seus Zabbix Proxies, sinalizando que há a preocupação quanto à saída dos dados da “casa do cliente”, até sua chegada ao centro de processamento e armazenamento dos mesmos, no Zabbix Server. Quanto ao caminho percorrido entre Zabbix Agent e Zabbix Proxy, o administrador pode optar por não implementar segurança, assumindo um “risco controlado ou minimizado”, por não estar em ambiente hostil.
Ressaltamos que é um cenário hipotético.
Neste cenário, o tráfego dos dados coletados pelo Zabbix Agent e seu envio ao Zabbix Proxy, ocorre com maior fluidez, pois não há camadas TLS implementadas, porém, abre-se mão da possível segurança que poderia ter sido implementada, em prol da performance.
Vejamos o próximo cenário…
Neste último cenário apresentado neste artigo, temos a camada TLS implementando segurança de ponta a ponta, entre Zabbix Server, Zabbix Proxies e Zabbix Agents. Como observado em cenários anteriores, agora deve haver um maior custo, pois há maior segurança e talvez por isso, uma menor performance para o tráfego dos dados.
Observação geral
Quando falamos de Segurança da Informação, é muito comum trazermos à tona a balança Segurança x Performance.
CONCLUSÃO
A implementação de Criptografia no Zabbix já é possível desde sua versão 3.0.
A escolha pela implementação da camada TLS deve ser discutida na Organização, pois como sugerimos, Muita segurança pode acarretar em menos performance.
Também é importante lembrar que o tráfego dos dados no Zabbix ocorre com o protocolo JSON, que por sua vez, trabalha de forma esplêndida com grande massa de dados, logo, mesmo com a criptografia implementada, a solução Zabbix é capaz de lidar com este tráfego e possui mecanismos de defesas contra possíveis eventuais problemas de performance causados pela rede na qual está inserido e seu contexto.
Faça uma “Prova de Conceito”! Implemente a Criptografia de ponta a ponta e veja que trabalhar com Segurança da Informação na coleta de dados pode trazer inúmeros benefícios à sua organização e aos seus clientes, como confiabilidade por preocupação na proteção de seus dados e compliance com regulamentações de Segurança da Informação e manuais de boas práticas diversas!
Até o próximo artigo!
Paulo R. Deolindo Jr.
Zabbix Trainer
Graduado em Tecnologia da Informação, Pós-graduado em Produção e Sistemas IFF – Instituto Federal de Educação, Ciência e Tecnologia Fluminense e pós-graduado pela Unisul (PR) no curso de Gestão de Projetos de Tecnologia da Informação. Atua confeccionando e ministrando treinamentos com foco em tecnologias Open Source, como Zabbix, Zimbra, Bacula, Gestão e Segurança em Servidores Linux, dentre outras.
- [2017] – Linux Professional Institude Certified
- [2014] – Zabbix Certified Professional
- [2014] – Zabbix Certified Specialist
- [2013] – Zimbra Collaboration Suite