Introdução
Com a versão Zabbix 5.0, alguns gaps talvez antes não notados por alguns administradores Zabbix, foram sanados! Ufa… nosso monitoramento agora apresenta o melhor “Estado da Arte” em relação à Segurança Cibernética. Vamos conferir e começar a pensar em “Security by Design & by Default”!
O conceito de Security by Design & by Default
Este é um conceito que vem sendo abordado em diversas disciplinas que envolvem tecnologia da informação e com o Zabbix, não é diferente.
Quando lidamos com coleta de dados de ambientes de TIC, é essencial que pensemos em cumprir a tarefa de monitoramento, sem onerar o ambiente e da forma mais segura possível. Essa preocupação é exponencialmente elevada quando se trata do CLIENTE, seus ativos, serviços e negócios.
Para a Zabbix SIA, proporcionar segurança ao monitoramento é fundamental e o Zabbix 5.0 reflete este compromisso. A nova versão foi planejada, concebida e executada com os mais altos padrões de segurança. Vamos conferir.
Arquitetura dos principais componentes Zabbix
Temos 3 principais componentes: Zabbix Server + Zabbix Database + Zabbix Frontend.
Muitas vezes não nos preocupamos com a segurança entre esses componentes, principalmente quando realizamos uma instalação Single Server. Mas imagine uma instalação “modular”, com a segregação desses componentes. O projeto é diferenciado e requer segurança; agora temos o seguinte cenário na versão 5.0:
Zabbix Database é a chave para a conexão TLS, cuidando dos acessos e suas conexões seguras; Security by Design.
Integrações por webhooks com suporte à TLS e HTTP_PROXY
As mais variadas “Media Types” que permitem integrações diversas com ferramentas de terceiros, agora suportam a camada TLS em HTTPS, ainda com a possibilidade de uso de Web Proxy para que toda a comunicação possa ser controlada, monitorada, auditada.
Uso de “Secret Macros”
Imagina um monitoramento via SSH ou SNMP que requer autenticação!
Antes, usuários e senhas, mesmo que em macros, ficavam expostos no frontend; mas agora:
O mesmo se aplica ao SNMP, seja em qual versão for.
Criptografia de ponta a ponta
Já não é novidade da versão 5.0, pois está presente desde a versão 3.0, a possibilidade de criptografar a comunicação entre Zabbix Server x Zabbix Proxy x Zabbix Agent.
Esta comunicação criptografada foi um grande salto da versão 3.0, pois possibilitou Zabbix Proxies em clientes, terem acesso e tráfego dos dados coletados de forma segura, agregando valor aos contratos de prestação de serviços e estampando um sorriso nos rostos de todos, clientes e provedores. Da mesma forma, várias formas de monitoramento seguro a partir dos Zabbix Agents surgiram, como ilustramos simbolicamente abaixo:
O uso de criptografia não é obrigatório, mas altamente recomendável.
Uso de SAML
SAML provê um ponto de acesso único para serviços e para o Zabbix.
Vários provedores de identidade já são suportados e não é mais um problema se o seu LDAP Server estiver em um ambiente de Cloud, por exemplo, como serviço federado. Há agora a viabilidade do projeto estar em Cloud ou On Premises, de forma mais segura.
Restrição de uso de chaves não desejadas pelo Zabbix Agent
Imagine que o que leva empresas e organizações a optarem por Monitoramento Não Intrusivo seja o receio de que um agente de monitoramento possa executar algum comando que inviabilize ou afete a disponibilidade, integridade e confiabilidade de um ambiente! Agora, não mais!
Para os ambientes que utilizam o Zabbix Agent como a poderosa ferramenta de coleta de dados diversos, agora os comandos ou chaves podem ser limitados por blacklists e/ou whitelists.
Podemos permitir:
# ls –l /tmp
Ao mesmo tempo que podemos negar:
# ls –l /
Ou
# ls –l /opt
Bem como podemos permitir ou negar vários outros comandos ou chaves.
Falando nisso, a execução de comandos remotas já vem desabilitada por padrão e há a recomendação do uso dos parâmetros DenyKey & AllowKey ao invés de #RemoteCommands=1
Conclusão (parcial)
Muito mais o Zabbix 5.0 tem para ofertar em relação à Segurança, mas este artigo foi escrito para que as principais melhorias ficassem mais evidentes, encorajando os administradores em sua implementação.
Security by Design & by Default é algo que todos os administradores e desenvolvedores de ambientes, bem como gestores de projetos, devem pensar à respeito.
Nossa contribuição é singela, mas esperamos agregar em seu conhecimento.
Conheça nossos treinamentos, seja um Zabbix Certified Specialist + Professional.