Pilveturbe väljakutsete käsitlemine
Aruba Centralis

Sisseehitatud kaitse

Aruba Central on ühtne võrguoperatsioonide, teenusekindluse ja turvaplatvorm, mis lihtsustab traadita, kaabelühendusega ja SD-WANi keskkondade juurutamist, haldamist ning teenuse kindluse tagamist. Centrali majutatakse Amazoni veebiteenustes (AWS) eripiirkondades, sealhulgas USA-s, Aasias, Euroopas, Kanadas ja Hiinas.




Turvaline pilvetaristu

Turvalise ning hästi kättesaadava pilveteenuse pakkumiseks kasutatakse
Centrali majutamisel üht parimat IaaS-i teenusepakkujat – Amazoni veebiteenused ehk AWS.
Vaata altpoolt lähemalt, milliseid AWS-i teenused on kasutusel Aruba Centrali puhul.





ARVUTUSED

Amazon EC2



VÕRK JA SISU KÄTTE ANDMINE

Amazon VPC, ELB, Amazon Route 53 ja Amazon CloudFront


ANDMELADU

Amazon S3, Amazon EBS, Amazon EFS ja Amazon S3 Glacier


TURVALISUS, IDENTITEET, VASTAVUS

AWS IAM, Amazon Macie ja Amazon GuardDuty



JUHTIMINE
.

Amazon CloudWatch, AWS CloudTrail, AWS Trusted Advisor, AWS Config ja AWS Management Console



Tootmiskeskkond

Aruba Centrali tootmiseksemplar juurutatakse oma virtuaalses privaatpilves (VPC) , mis asub IaaS-i teenusepakkuja pilves. Rakenduse juurutamine VPC-s pakub järgmisi eeliseid.

  • Loogiline isoleeritus - tarbimiseks vajalike ressursside määratlemiseks ja juhtimiseks kasutatakse osa AWS-ist
  • VPC-turve - pääsukontrolli teostamiseks saate rakendada turberühmi ja võrgupääsukontrolli loendeid
  • Aruba Centrali rakendusarhitektuur
  • Rakenduste arhitektuur ja turvalisus - pilveomased rakendused on struktureeritud, kujundatud, juurutatud ja konfigureeritud pilve põhimõtete järgi. Pilveomased rakendused on loodud kasutama täielikult ära pilvandmetöötluse edastusmudelit ning põhinevad üldjuhul sellistel mõistetel nagu DevOps, pidev kätteandmine, mikroteenused ja konteinerid.

Pilveomaste rakenduste loomine selliste tööriistade nagu mikroteenuste ja konteinerite abil võimaldab luua ka turvalisemaid, töökindlamaid ja skaleeritavamaid rakendusi.

3-tasandiline arhitektuur

Joonisel on näha, et tavaliselt on olemas erinevad rakenduste tasandid, näiteks veeb, rakendus ja andmebaasid. Need on modelleeritud ja mõeldud jõudluse ja mastaabi jaoks. Samuti on andmed jõudluse parandamiseks vahemäludest lahti ühendatud.

Need tasandid on mõeldud toimima „valge nimekirja“ raamistikus. Tasandite vahel on lubatud ainult vajalikud ja nõutavad sideteed.

Iga astme eksemplar on kaitstud tulemüüri reeglitega, et vältida volitamata või pahatahtlikku juurdepääsu.

Centrali turvakontrollid hõlmavad järgmist.

  • Aruba rakendused on Aruba VPC-s asuvas privaatses IP-ruumis, mille marsruutimine Internetist on keelatud
  • AWS Elastic Load Balancer kaitseb DDoS-i rünnakute eest
  • Lisaturvakihi pakub Web Accessi tulemüür Nginxi koormusetasakaalustaja ees, mis hoiab ära rea muid rünnakuid
  • Esmatasandi teenus (veebirakendus) kasutab kasutaja juurdepääsu lubamiseks kliendi määratletud autentimist (kaheastmeline autentimine) ja autoriseerimisreegleid

Aruba Central võimaldab algusest lõpuni turvakontrolli.

Multi-Tenancy Central on loodud toetama tuhandeid Aruba kliente. Rakenduse arhitektuur võimaldab andmete eraldamist. Kõik rakenduse osana talletatud andmed sildistatakse unikaalse kliendi ID-ga. Juurdepääsu rakendusele kontrollitakse rangelt autentimise ja autoriseerimise abil ning iga andmetele juurdepääsu taotlus peab viitama unikaalsele kliendi ID-le.

Turvaline side

Kogu liiklus Centrali ja väliskeskkonna vahel toimub HTTPS-i abil üle SSL-i. Kogu liiklusvoog krüptitakse AES-i krüptimistehnoloogia abil.

Andmeturve

Andmeturve on oluline osa mis tahes nüüdisaegsest rakendusest, kus kõige tundlikumat teavet hoitakse elektroonilisel kujul. Andmeturbe põhiaspekt tähendab, et andmeid kaitstakse nii nende säilitamisel kui edastamisel ning rakendatakse tehnilisi kontrolle kaitsmaks andmekao eest.

Järgnevalt on välja toodud mõned Aruba Centrali platvormil toimivad andmeturbe meetmed.


ANDMEEDASTUS

Kogu andmevahetus rakenduse ning seadmete ja kasutajate vahel toimub turvalise protokolli HTTPS abil


ANDMETE VARUNDAMINE

Andmete varundamine toimub regulaarselt ja varuandmed salvestatakse mitmes eksemplaris


LIGIPÄÄS ANDMETELE

Iga kliendi andmed on eraldatud kõigi teiste klientide andmetest. Juurdepääsu andmetele tõrkeotsingu eesmärgil saab anda ainult kliendi nõusolekul


ANDMETE KUSTUTAMINE

Kõiki andmeid säilitatakse kindla aja jooksul, mille möödumisel andmed kustutatakse.



LOOGILINE ISOLEERITUS

Andmete krüptimine nende edastamisel ei ole VPC-s lubatud, kuid selleks on kasutusel kompenseeriv kontroll. Amazoni veebiteenuste VPC pakub ressursside loogilist eraldamist ja isoleerib Amazoni VPC-s olevad komponendid olemuslikult kõigist teistest VPC-dest. Lisaks piirab Aruba sisemises AWS-i VPC-s olevate avalike alamvõrkude arvu ning suunab väljuva liikluse läbi avalikus alamvõrgus asuva NAT-võrgu. Kõiki teisi majutajaid kasutatakse privaatsetes alamvõrkudes.




ANDMETE KRÜPTIMINE

Kõik säilitatavad andmed on krüptitud. See hõlmab Amazon EC2 EBS-i mahtude ja S3 anumate krüptimist. Serveripoolne krüptimine Amazon S3 hallatavate krüptovõtmetega (SSE-S3) kasutab tugevat mitmeastmelist krüptimist. Amazon S3 krüptib iga objekti unikaalse võtmega. Täiendava kaitsevahendina krüptib see võtme enda peavõtmega, mis rotatsiooni korras regulaarselt vahetub. Amazon S3 serveripoolne krüptimine kasutab andmete krüptimiseks ühte tugevaimat saadaolevat plokk-koodi, 256-bitist Advanced Encryption Standard (AES-256) koodi. Sarnane mehhanism on pandud paika ka EBSi mahtude jaoks.



APIs Central pakub erinevate võimaluste ja funktsioonide jaoks rikkalikku API-de komplekti. API-sid saab kasutada lõimimiseks muude tootjate tarkvaradega või ettevõttesiseste rakendustega (nt kohandatud armatuurlauad).

Rikkaliku API-de komplekti pakkumine tähendab, et turvalisus peab olema sisse ehitatud. Sel juhul on REST API ja HTTP kliendi vaheline suhtlus turvatud HTTPS-i lubamisega. Central toetab ka autentimise ja autoriseerimise protokolli OAuth 2.0. Pääsumärgid ehk juurdepääsuload pakuvad ajutist ja turvalist viisi API-dele juurdepääsuks. Juurdepääsulubadel on turvakaalutlustel piiratud kasutusaeg ja rakendused peavad uute lubade perioodiliseks hankimiseks kasutama värskenduse API-sid.

API Gateway Central avab kasutajatele nende Centrali kontodele juurdepääsuks ja nende haldamiseks komponendi, mida nimetatakse põhjasuunalisteks REST API-deks. Central kasutab oma API Gateway platvormina avatud lähtekoodiga Kongi platvormi (versioon 0.11.2).

Erinevalt kasutajaliidesest puudub siin kasutajasessiooni mõiste. Iga taotlusega peab olema kaasas OAuth2 luba.

OAuth2 lubade genereerimine

Enne API-dele APIGW teel juurdepääsu peab kasutaja genereerima OAuth2 loa. Siin on erinevad režiimid, mille kaudu saab loa genereerida.

Autoriseerimiskoodi andmine:

  • Kliendi ID ja kliendi saladus – kliendikontole omane tähenumbriline (tähtedest ja numbritest koosnev) string. Neid saab luua Centrali kasutajaliidese või automaatika API-de kaudu
  • API Gateway sisselogimise API
  • Helistamine REST-i sisselogimise API-le, et saada kasutajasessioon
  • APIGW server valideerib kasutaja mandaadi Aruba IT SSO API / LocalDB API abil. SAML sellisel juhul ei tööta
  • Kasutajasessiooni ja kliendi ID / kliendi saladuse kasutamisel genereeritakse autoriseerimiskood (kehtib viis minutit ja on ühekordseks kasutamiseks)
  • Exchange’i autoriseerimiskood OAuth2 loale ja värskendusloale

Juurdepääsukontroll

Juurdepääs Centrali platvormile on rangelt kontrollitud. Kõiki pilvekeskkonna haldus- ja seireaspekte käsitleb spetsiaalne Aruba DevSecOpsi meeskond, kes kasutab suurel määral rollipõhist pääsukontrolli (RBAC) ja mitmeastmelist autentimist (MFA).

Kliendi juurdepääsu töövoog on lõimitud alates ajast, mil klient ostab oma Aruba riistvara. Kliendiadministraator saab määrata, kellele nende organisatsioonist on antud milline juurdepääsutase. Tõrkeotsingu eesmärgil saavad kliendid anda Aruba TAC-le juurdepääsu oma rakenduse eksemplarile.

Single Sign-On Centrali saab integreerida SAML 2.0-ga ühilduva teenusega, et võimaldada ühekordset sisselogimist, tagamaks parema kasutuskogemuse. Selleks suunatakse kasutaja ümber kliendi SAML-i sisselogimise URL-ile (põhineb e-posti domeenil). Kasutaja autendib end SAML-i serveri jaoks ja suunatakse SAML-i kinnitusega ümber Centralisse. Central valideerib selle SAML-i kinnituse eelkonfigureeritud SAML-i metaandmetega (sertifikaat jt) ning loeb kasutaja e-posti ID ja atribuudid. Central valideerib selle kasutaja e-posti ID oma sisemiste andmete suhtes, et teha kindlaks, kas see on olemasolev kasutaja.

Paroolid

Centrali avalikes tootmisjuurutustes teostab autentimise kas Aruba SSO või kliendikohane IDP, kui tegemist on SAML-i autentimisega. Ka siin toimib SAML-keskkondade eelis, nimelt ei talletata klientide paroole Centralis. Ainus tõeste andmete allikas on SAML-i server (antud domeeni kohta).

Kaheastmeline autentimine

Kaheastmelise autentimise rakendamine lisab sisselogimisprotsessile ka teise turvakihi lisaks paroolile. Kui kasutajakontol on lubatud kaheastmeline autentimine, saab kasutaja oma kontole sisse logida mobiilirakenduse või veebirakenduse kaudu alles pärast seda, kui on sisestanud oma parooli ja oma usaldusväärsetes seadmetes kuvatud kuuekohalise kinnituskoodi.

Auditi jälg

Kõik kasutajate tehtud toimingud logitakse rakenduses koos täielike üksikasjadega. See tagab auditeerimise ja eeskirjadele vastavuse.

Standardid ja vastavus

AWS toetab paljusid sertifikaate, raamistikke ning privaatsusseaduste ja eeskirjade järgimist. Täieliku loendi nende turvanõuetele vastavuse toe kohta leiate siit . Kuna Aruba kasutab AWS-i andmekeskusi, siis on nõuetele vastavus (nt SSAE 18 SOC 2, PCI, FedRAMP ja ISO 27001:2013 sertifikaat) juba olemuslikult tagatud.

Aruba rakendab lisaks AWS-i majutusteenustele täiendavaid turvakontrolle, mis on tuletatud HPE turvapoliitikast ja turvaraamistikest, mida kirjeldatakse PCI, FedRAMP ja SSAE 18 SOC 2 standardites. Keskkond on kaetud ka PCI sertifikaadiga (vastavuse tõendamine) PCI-ga hõlmatud klientide jaoks. Edaspidi lisandub FedRAMP sertifitseerimine riiklikele klientidele (ning ka riigi- ja kohalikele omavalitsustele, kes vajavad FedRAMP-i).

Sõltumatud hindamised

Üksikasjalikumat teavet konsensuse hindamise algatuse küsimustiku kohta leiate samuti siit .

Süsteemi ja organisatsiooni kontrollide (SOC) aruandlus

Organisatsioon saavutab SOC-aruandluse kaudu ülevaate ja sidusrühmade kindlustunde. See aitab saavutada aastaste audititsüklite peamised vastavuskontrollid ja -eesmärgid. Selle peamised eelised on järgmised:

  • vähenevad vastavuskulud ning audititele ja hankijaküsimustike täitmisele kuluv aeg
  • paindliku ja kohandatud aruandluse abil täidetakse lepingulised kohustused ja lahendatakse turuprobleemid
  • kogu teie organisatsioonis käsitletakse riske ennetavalt
  • suureneb usaldus ja läbipaistvus sisemiste ja väliste sidusrühmade jaoks.

Kliendid saavad Amazoni SOC aruannete kohta rohkem lugeda siit .

Haavatavuse hindamised ja läbitungitavuse katsetused

Aruba teostab iga kuu haavatavuse kontrolle, kasutades standardseid haavatavuse haldamise tööriistu. Avastatud probleemid lahendatakse vastavalt nende raskusastmele järgmiselt:


KRIITILINE

7 päeva


SUUR

21 päeva


KESKMINE

90 päeva


VÄIKE

180 päeva



Igal aastal toimub ka Aruba Centrali läbitungitavuse katsetamine kolmanda isiku poolt. Vastava kirja saamiseks võtke ühendust Aruba kohaliku meeskonnaga. Aruba poliitika ei võimalda potentsiaalsetel ega olemasolevatel klientidel või partneritel ise oma läbitungitavuse katsetusi läbi viia. Nagu te võite ette kujutada, põhjustaks selline tegevus operatiivset lisakoormust ja võiks tekitada häireid või juhuslikke kahjusid.

Soovid rohkem infot? Küsi lisa ALSO HPE tiimilt! Loe lähemalt HPE Aruba Centrali kohta

Loe artiklit "Addressing Cloud Security Challenges in Aruba Central: Secure by Design"
Loe artiklit "Addressing Cloud Security Challenges in Aruba Central: Data Security"