Protección de datos: uso de los controles preventivos de Qumulo contra el malware es la segunda de una serie de cuatro partes publicada en abril, diseñada para ayudarlo a aprovechar los controles de seguridad y las capacidades de protección de datos en la plataforma de datos de archivos de Qumulo.
La plataforma de datos de archivos de Qumulo está diseñada para minimizar la superficie de riesgo de un ataque de manera eficiente. En el primera entrada de esta serie, Presenté la arquitectura de seguridad. Ahora nos centraremos en los controles preventivos clave para detectar ransomware y ayudar a mantener otro malware alejado de su almacenamiento de archivos.
Versión de Linux bloqueada
Qumulo es un plataforma de datos de archivos definida por software, que está construido para ejecutarse en una versión actual de ubuntu Linux. El sistema operativo Linux subyacente está bloqueado para permitir solo las operaciones necesarias para realizar las tareas del sistema de archivos. Muchos otros servicios estándar de Linux están deshabilitados para reducir la superficie de riesgo de un ataque.
Aplicación de espacio de usuario
La plataforma de datos de archivos de Qumulo está completamente construida como una aplicación de espacio de usuario. Esto tiene muchas ventajas, las relacionadas con los controles preventivos contra malware son las siguientes:
- No hay acceso directo a los datos en los nodos de Qumulo. Incluso si un atacante adquirió privilegios y acceso de usuario raíz local, no hay forma de acceder directamente a sus datos en los nodos. Esto es diferente de las implementaciones de otros proveedores de almacenamiento donde un usuario administrador en los nodos puede acceder y manipular todos los datos localmente. El acceso a los datos a través de SMB o NFS requeriría la instalación de software adicional en el nodo. (El acceso a los datos de la API aún podría ser posible, pero requeriría un token de acceso para el acceso a los datos de la API para los usuarios no root, al igual que acceder a los datos de forma remota a través de la API).
- Pila de protocolos nativos completamente desarrollada. No se utilizan componentes de terceros o de código abierto (como Ganesha, Samba o similares) para implementar los protocolos de acceso a datos. Qumulo desarrolla y controla cada línea de código para todos los protocolos de acceso a datos. Los riesgos que pueden surgir debido a vulnerabilidades conocidas en componentes de terceros son bajos o nulos, ya que Qumulo controla todo el código.
- Nivel de separación del sistema operativo. No hay forma de compartir usuarios o privilegios con el sistema operativo subyacente. Los usuarios del sistema operativo Linux subyacente son "desconocidos" para Qumulo. Los usuarios de Qumulo generalmente se mantienen en Active Directory o en una base de datos local, pero no se comparten con el sistema operativo subyacente.
- Prácticas de codificación seguras. El software Qumulo se desarrolla siguiendo las mejores prácticas de codificación segura, lo que reduce aún más los ataques superficiales y el riesgo de vulnerabilidades explotables. Incluso si se encuentra y se aprovecha una vulnerabilidad del sistema operativo, el atacante obtendría privilegios de usuario pero no podrá acceder a los datos.
Actualizaciones quincenales
El proceso de actualización de Qumulo es muy simple y, por lo tanto, nos permite enviar código nuevo cada dos semanas. Eso no solo permite una innovación rápida, sino también una seguridad mejorada. Las correcciones de seguridad para Qumulo, así como el sistema operativo subyacente, se envían automáticamente con la nueva versión quincenal si es necesario. Si se requiere un parche reactivo, puede estar disponible incluso más rápido utilizando la versión acelerada de Qumulo para controles preventivos contra malware.
Nuestras versiones se prueban periódicamente utilizando Qualys Vulnerability Manager, que es reconocido por la comunidad de seguridad como una de las mejores herramientas de evaluación de vulnerabilidades.
Control de acceso basado en roles
El control de acceso basado en roles (RBAC) permite a los administradores asignar privilegios detallados a usuarios o grupos regulares y aliviar sus privilegios donde sea necesario, manteniéndolos lo más mínimos posible. Esto permite delegar tareas de forma segura lejos del administrador. Junto con la función Qumulo Auditing, nos permite implementar un marco de gestión muy controlado y seguro para evitar el acceso no autorizado.
Actualmente hay tres roles predefinidos:
- Administradores: Los administradores de Qumulo tendrán acceso y control total del clúster.
- Administradores de datos: tEl rol de Administrador de datos es ideal para usuarios de API / CLI. Con esta función, un usuario o grupo no tendrá acceso a la interfaz de usuario web, pero tendrá los mismos privilegios de archivo que la función de administradores junto con algunos otros.
- Observadores: wCon el rol de Observadores, un usuario o grupo tendrá el privilegio de acceder a la interfaz de usuario web y las API de solo lectura con algunas excepciones (depuración de API y configuración de autenticación).
Para obtener información más detallada sobre la funcionalidad RBAC de Qumulo, consulte Control de acceso basado en roles (RBAC) con Qumulo Core.
Cuotas
Soportes de Qumulo Cuotas inteligentes lo que asegura que cada cuota es una política que ejecuta un conjunto de consultas en tiempo real. Las cuotas inteligentes se pueden aplicar de inmediato, a diferencia de los sistemas tradicionales que requieren recorridos por árboles de toda la estructura de directorios y pueden tardar días en completarse. Los beneficios de este enfoque incluyen el diagnóstico en tiempo real y la aplicación de aplicaciones y usuarios no autorizados, junto con una visibilidad en tiempo real que muestra cómo se asigna el almacenamiento en un momento dado.
Desde la perspectiva de la seguridad, las cuotas inteligentes reducen el impacto del malware potencial al escribir datos ilimitados en el sistema de archivos. Además, si se detecta un comportamiento sospechoso, establecer la cuota en 0 detendrá todas las escrituras en un directorio inmediatamente.
Ocultar recursos compartidos de SMB de usuarios no autorizados
Qumulo permite ocultar recursos compartidos SMB de usuarios no autorizados. Montar el recurso compartido requiere un conocimiento explícito de la ruta del recurso compartido para evitar que posibles intrusos naveguen por los recursos compartidos. Además, enumeración basada en acceso se puede habilitar para cada recurso compartido. Al hacerlo, solo se mostrarán a ese usuario los archivos y carpetas a los que un usuario tiene permiso para acceder. Si un usuario no tiene permisos de lectura o equivalentes para una carpeta, la carpeta se oculta a la vista del usuario.
Restricciones de host
Las restricciones de host por rango de direcciones IP del cliente brindan una buena manera de reducir la superficie de riesgo al limitar el acceso a compartir / exportar a hosts específicos, independientemente de los permisos de usuario / grupo de ese recurso compartido. Este control está disponible actualmente para SMBv3 y NFSv3.
Se puede otorgar acceso completo, de solo lectura o nulo a diferentes rangos de direcciones, según las necesidades de su implementación. Los permisos de host interactúan con los permisos de uso compartido de usuario / grupo y los permisos de archivo sobre la base del "privilegio mínimo", lo que significa que para que se otorgue un privilegio para un archivo en particular, los permisos de archivo, los permisos de usuario compartido y los permisos de host compartido deben ser todos Permítelo.
Restricciones de host SMB por rango de direcciones IP del cliente no forman parte del protocolo SMB. Al implementar esta funcionalidad, Qumulo proporciona una capa adicional de seguridad SMB.
Cifrado SMB3 con Qumulo Core
Con soporte Qumulo para Cifrado SMB3, se puede habilitar un cifrado de nivel de todo el clúster o por nivel de recurso compartido. Dependiendo de su entorno y flujo de trabajo, puede configurar el cifrado de nivel por recurso compartido en lugar de la configuración de todo el clúster para que un cliente pueda usar el cifrado en un solo recurso compartido que lo requiera y conectarse a un recurso compartido que no lo haga en la misma sesión.
Cifrado de datos en reposo
Qumulo Core's cifrado basado en software proporciona un cifrado completo de datos de archivos al proteger los datos en reposo para todos los clústeres locales creados con Qumulo Core 3.1.5 y superior. Las claves se utilizan para cifrar datos, así como para cifrar las propias claves de datos. Se utiliza una clave maestra y se almacena en cada unidad de arranque del clúster en un archivo al que solo el root puede acceder para obtener una capa adicional de seguridad con el fin de cifrar una clave de datos que descifra los datos en sí. De esa manera, sus datos están protegidos de posibles amenazas, como discos robados o actores malintencionados en la cadena de suministro que obtienen discos retirados.
Estos son los controles de seguridad preventivos de Qumulo contra el malware. En el resto de la serie, vinculada a continuación, aprenderá sobre los controles de detección y corrección.
Más información
- Qumulo Arquitectura de seguridad y mejores prácticas para contrarrestar el malware
- Introducción a la arquitectura de seguridad de Qumulo y mejores prácticas
- Cómo utilizar los controles de detective de Qumulo contra las filtraciones de datos
- Cómo utilizar los controles correctivos de Qumulo para minimizar la pérdida de datos
Contáctanos
Haz una prueba de manejo. Haga una demostración de un clúster de Qumulo o mueva sus datos a Amazon S3 en nuestros laboratorios prácticos interactivos.
Suscríbete al blog de Qumulo para historias de clientes, conocimientos técnicos, tendencias de la industria y noticias de productos.
