giovedì 13 agosto 2009

Monitoraggio

Come tutti gli esperti di IT Security sanno, la disponibilità di un servizio è uno degli elementi della Sicurezza IT. Diventa quindi importante conoscere lo stato di disponibilità dei servizi (in rete) in tempo reale.

Esistono in commercio diversi "tools" che, opportunamente configurati e con diverso impatto sulle infrastrutture, consentono di tenere sotto controllo il funzionamento dei servizi ritenuti importanti dal punto di vista della Sicurezza IT.  Basti pensare che un qualsiasi strumento che sappia monitorare un nostro Web Server può dare immediatamente l'allarme in caso di un attacco "Denial of service".

Come in ogni decisione nel campo IT, bisogna però considerare due aspetti:

  • l'impatto del nuovo strumento sulle infrastrutture esistenti (rete, server, hardware e software): quanto traffico genera? quanto carico aggiuntivo impone ai sistemi sotto controllo? richiede l'installazione di "agent"? ha requisiti o limiti di architettura? richiede hardware aggiuntivo, e di che tipo/costo? ultimo ma non ultimo: chi controlla il "controllore"?

  • l'impegno di risorse umane e skill richiesto per rendere  efficace il nuovo strumento: quanto è facile da installare, imparare a usarlo, configurarlo in maniera opportuna? che tipo di "human interface" mette a disposizione? quali cambiamenti organizzativi eventualmente richiede? ha una "learning curve" abbordabile o proibitiva (relativamente all'ambiente in cui va inserito)?


Infine non è da trascurare un'aspetto forse abbastanza cruciale, nella valutazione dello strumento: che tipo di "allarmi" è in grado di attivare? cruscotto (pull)? e-mail? sms?

Avendo in mente tutte queste considerazioni, posso affermare che fra i prodotti "open" (per la precisione sotto licenza GPL) uno strumento efficace è "Nagios".

Impatto: il traffico in rete generato è trascurabile, così come il carico sul sistema di controllo e sui sistemi da controllare; salvo casi particolari, non  richiede l'installazione di "agent" sui sistemi/nodi da controllare; l'archietettura è flessibile e linearmente scalabile, modulare e aperta a facili integrazioni; l'hardware necessario si limita ad un server Linux (anche virtuale) connesso in LAN, con limitate esigenze di CPU e memoria; in ambienti "fault tolerant" è possibile installare due o più sistemi controllori, in modalità collaborativa (load sharing e fail-over automatico)

Impegno: sono richiesti skill Linux (sistemista) per l'installazione, gestione e configurazione, oltre che di rete e sicurezza (base); Nagios offre un'interfaccia web per il monitoring (cruscotto di controllo) e gestione, supporta in maniera nativa allarmi via e-mail e/o sms

Difficoltà: la configurazione avviene tramite files di testo; esistono comunque tools "esterni" di configurazione con interfaccia grafica basati su database

Riferimenti:

www.nagios.org