Endurecimiento del servidor Apstra

Análisis de vulnerabilidades

Semanalmente, se realiza un análisis de vulnerabilidades de Tenable / Nessus en todas las versiones compatibles y publicadas de Juniper Apstra, además de la última versión de cualquier versión en desarrollo. Este software está configurado para notificar a Apstra Engineering and Support sobre cualquier vulnerabilidad de seguridad recién descubierta sobre un umbral particular de CVSS > 8.0. Como parte de estos hallazgos de seguridad, Juniper Apstra formula un plan específico para actualizar los paquetes de seguridad en terreno.

Juniper Apstra utiliza un proceso automatizado de CI/CD para crear versiones que incluyen la incorporación de las últimas versiones de Ubuntu y paquetes actualizados. La parte SecOps del sistema de compilación luego ejecuta un escaneo Tenable I.O Nessus en busca de vulnerabilidades. Revisamos ese informe y solucionamos cualquier problema crítico y revisamos problemas menos críticos para seleccionar aquellas vulnerabilidades que consideramos que requieren atención.

Nuestro único camino para resolver problemas de seguridad es una actualización de software donde la nueva versión de Ubuntu y los paquetes relacionados, incluidos con el software Apstra, han sido probados y colocados en pruebas de longevidad para cualquier problema de regresión, rendimiento o funcionalidad. La versión de Ubuntu y los paquetes son prístinos cuando los construimos y enviamos. Aún así, las vulnerabilidades descubiertas con el tiempo darán lugar a problemas adicionales que se resuelven con la actualización. Para problemas críticos aislados, podemos crear y aplicar una revisión a una implementación de producción o recomendar un procedimiento de mitigación.

Proceso de endurecimiento (proceso in-built)

Antes de que el cliente descargue la máquina virtual de Apstra, Apstra la protege frente a la versión actual de CIS Ubuntu como un sistema de "nivel 1". Este proceso incluye la configuración básica de seguridad en algunos dominios de seguridad, que se resumen aquí. La máquina virtual tiene las últimas versiones de todos los paquetes de Ubuntu a partir de la fecha en que la versión de Apstra está disponible menos seis semanas (tiempo de validación y grabación antes de GA).

La imagen de máquina virtual de Apstra se crea a partir de un proceso de varias fases de compilación:

1. Apstra crea una imagen base del sistema Ubuntu a partir de la imagen ISO de Ubuntu de los repositorios de Ubuntu en línea.

2. Validación de la autenticidad de la ISO de origen con hashes SHA

3. Aplique paquetes mínimos de configuración e instalación mínima para que Apstra instale y asigne automáticamente políticas de seguridad. La configuración utilizada es similar a los estándares de endurecimiento de CIS Ubuntu, https://www.cisecurity.org/benchmark/ubuntu_linux/, que se alinea con muchos marcos de cumplimiento de seguridad en el espacio empresarial.

4. Después de ejecutar los scripts de endurecimiento, se eliminan los artefactos de compilación y las carpetas de caché para minimizar el uso del disco, se recortan los archivos de registro y se "cierra" la máquina virtual del sistema base.

5. Como parte de los artefactos oficiales de lanzamiento de compilación, reutilizamos el sistema base creado anteriormente instalando solo los paquetes específicos de Apstra.

6. Cree artefactos para la misma imagen de máquina virtual sin procesar que se convierte en OVA para VMware, QCOW2 para Linux KVM y VHDX para Microsoft Hyper-V y se marca como lista para distribución (https://support.juniper.net/support/downloads/?p=apstra)

   .

Pasos de endurecimiento/validación

• Validez de la fuente

  • La ISO de origen de Ubuntu se valida con hashes SHA antes de que comience el proceso de compilación

• Cifrado HTTPS

  • El servidor de Apstra proporciona la interfaz de usuario y la API de Apstra mediante HTTPS en Nginx. Apstra utiliza procedimientos documentados de Nginx para reemplazar los certificados TLS con el fin de lograr la autenticación de cliente a servidor y el cifrado de extremo a extremo. Apstra alienta a los usuarios a reemplazar los certificados TLS inseguros y "autofirmados" incluidos por certificados firmados.

• Seguridad del sistema de archivos

  • Deshabilitar controladores de sistema de archivos innecesarios

  • Asegúrese de que los montajes del sistema de archivos sean seguros

  • Los servicios de Apstra no comparten espacio en disco con el resto del sistema operativo (por ejemplo, /var/log/Apstra)

  • Los permisos del sistema de archivos son fuertes

• Seguridad de los servicios

  • Deshabilitar servicios innecesarios

  • Configurar AppArmor

  • Reforzar la configuración de SSH

• Seguridad de red

  • Asegúrese de que iptables esté configurado con una política de "denegación predeterminada" adecuada

  • Asegúrese de que el sistema tenga uRPF, deshabilite el enrutamiento IP, etc.

  • Banners de advertencia que indican que cualquier acción solo debe realizarse con el apoyo de Apstra.

  • Aplicar limitaciones de inicio de sesión a los intentos de inicio de sesión ssh (prevención de fuerza bruta)

• Auditoría

  • Asegúrese de que los cambios en la configuración del sistema se auditan (ejecución auditada)

  • Auditar errores y éxitos de inicio y cierre de sesión

  • Escalamiento de privilegios de auditoría

• Acceso seguro al servidor

  • Existen tres métodos para administrar Apstra Server:

    1. IU web de Javascript (443): HTTPS, autenticación básica y RBAC*

    2. API de REST (443): HTTPS, autenticación básica y RBAC*

    3. SSH (22): No se permite el inicio de sesión raíz de forma predeterminada

  Nota:

  IMPORTANTE: Cambie la contraseña de administrador predeterminada. Apstra incluye una contraseña de administrador predeterminada. Es fundamental que esta contraseña se cambie después de que el servidor haya completado el primer proceso de arranque. Apstra recomienda usar SSH para acceder al servidor de Apstra y cambiar la contraseña. Para obtener más información, consulte Restablecer contraseña de administrador de la GUI de Apstra.