Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
8 herramientas para mantener seguros los servidores Linux
27 de octubre de 2020 - Equipo de RRPP de TuxCare
Mantener los servidores Linux actualizados y parcheados no es tarea de una sola herramienta. Necesita varias herramientas para asegurarse de que sus servidores están configurados correctamente y no son un objetivo para los últimos exploits. La comprobación de un servidor puede hacerse manualmente, pero cuando se es responsable de cientos de servidores críticos, se necesitan herramientas para auditar la funcionalidad actual del servidor, actualizar el software, establecer configuraciones y realizar cualquier otra acción necesaria durante el mantenimiento. La siguiente lista de herramientas es un desglose del mejor software que ayudará a los administradores a ser proactivos en la gestión de servidores Linux, la gestión de la configuración, las actualizaciones y la aplicación de parches.
Contenido:
Gestión de vulnerabilidades
La red y el panorama de amenazas de hoy no serán los mismos mañana. Se introducen nuevas tecnologías y los atacantes encuentran nuevas formas de explotar las vulnerabilidades. Los administradores necesitan herramientas para analizar los servidores y detectar errores de configuración, software obsoleto u otros problemas de infraestructura que podrían dar lugar a un ataque. Algunas de las mayores organizaciones del mundo utilizan estas herramientas para asegurarse de que sus servidores están parcheados y son seguros.
Tenable Nessus
Podría decirse que uno de los escáneres de vulnerabilidades más populares es Tenable Nessus. Tenable es la herramienta de gestión de vulnerabilidades (Tenable.io es una herramienta de gestión basada en la nube muy popular entre los clientes que utilizan el escaneado Nessus), y Nessus es el escáner incorporado en su paquete. Una característica de Nessus que lo hace atractivo para las organizaciones es su priorización predecible. Esta característica proporciona un camino para los administradores a medida que determinan qué vulnerabilidades deben tratarse primero.
Nessus es ideal para servidores locales en los que los administradores deben garantizar la seguridad de los servidores internos y públicos. También es ideal cuando la organización sabe que otras herramientas carecen de un análisis eficaz y deben instalarse parches. Con las funciones de priorización, los administradores pueden solucionar los problemas conocidos de los servidores atacando primero las peores amenazas.
Rapid7 Metasploit
Mientras Nessus busca vulnerabilidades, Rapid7 Metasploit es el rey de las pruebas de penetración. Permite a los usuarios desplegar código de explotación para probar vulnerabilidades. En otras palabras, Nessus escaneará en busca de vulnerabilidades, pero Metasploit le permite explotarlas. Por supuesto, esto no debe hacerse en un entorno de producción, pero es bueno para los desarrolladores y administradores que sienten curiosidad por la ciberseguridad de su infraestructura y software.
Metasploit es beneficioso para los equipos de seguridad porque les permite mejorar la seguridad en todo el entorno. Para los desarrolladores, puede ayudarles a verificar vulnerabilidades, evaluar riesgos y educar a otros sobre la gravedad de una vulnerabilidad en particular. También le permite ser proactivo a la hora de identificar y corregir vulnerabilidades en su software.
Qualys
Para empresas que tienen la mayor parte de su infraestructura en la nube, Qualys es una buena opción para la exploración de vulnerabilidades basada en la nube. Qualys destaca en la exploración de entornos que están completamente en la nube o que tienen una infraestructura híbrida en las instalaciones y en la nube. Se puede implementar al 100% como una solución basada en SaaS para escanear aplicaciones e infraestructuras almacenadas en el centro de datos de un proveedor en la nube.
Al igual que Nessus, Qualys también priorizará las vulnerabilidades y asignará un valor a cada riesgo para que las organizaciones puedan reducir los miles de problemas potenciales a las pocas docenas que más importan. Qualys existe desde hace años, por lo que su API está un poco anticuada. Su API es una API no basada en REST y XML que puede integrarse en sus propias aplicaciones.
Gestión de la configuración
Los errores de configuración pueden provocar graves violaciones de datos. Si los administradores no configuran correctamente la infraestructura y los servidores en la nube, pueden abrirse vulnerabilidades a cualquier atacante con las herramientas de exploración y los exploits adecuados. Las herramientas de gestión de la configuración desplegarán las configuraciones durante la promoción del software a producción y eliminarán el error humano de configurar manualmente cientos de servidores.
Chef
Para empresas que trabajan con desarrolladores y software a medida, Chef es una buena opción para el despliegue y la gestión de configuraciones. Chef fue construido para los desarrolladores, especialmente para aquellos que entienden el lenguaje Ruby. Chef también extraerá las configuraciones actuales para que puedan ser revisadas antes del siguiente push.
Chef es completamente programable y flexible. Si sus programadores saben Ruby, puede ser fácil desplegar cambios de configuración a gran escala en varios servidores. Las versiones SaaS de la herramienta proporcionarán capacidades de análisis e informes.
SaltStack
En entornos Linux, SaltStack es una herramienta común usada para desplegar configuraciones y comandos SSH usando comunicación encriptada con sus servidores. SaltStack tiene una curva de aprendizaje similar a Chef, pero requiere menos conocimientos de programación que Chef. Se puede utilizar para escalar horizontal o verticalmente los recursos durante el despliegue. En lugar de Ruby, SaltStack utiliza Python, que es un lenguaje mucho más popular para los administradores de Linux.
Para crear plantillas, los usuarios pueden crear plantillas YAML que desplegarán configuraciones estándar en todo el entorno. SaltStack está hecho para grandes entornos donde la carga debe ser equilibrada y los administradores necesitan un estándar para cada servidor. Tiene un servidor central y agentes llamados minions que se ejecutan en cada servidor.
Marioneta
Puppet es uno de los gestores de configuración más populares de la lista. Lo utilizan empresas muy destacadas de la web, como Reddit, Google, PayPal y Oracle. Es de código abierto y está escrito en lenguaje Ruby, y los administradores pueden utilizar una interfaz de línea de comandos u optar por trabajar con la interfaz gráfica de usuario.
Los agentes deben ejecutarse en cada nodo, lo que requiere cierta sobrecarga de seguridad y permisos. Los desarrolladores de Puppet permiten comandos Ruby con el CLI pero se han estado moviendo hacia un lenguaje propietario de Puppet. Esto podría crear una enorme curva de aprendizaje para futuros despliegues de Puppet.
Ansible
Red Hat Ansible es una herramienta de configuración ligera perfecta para los administradores de red que necesitan una forma de enviar comandos a los servidores utilizando Python en lugar de complejos lenguajes propietarios o Ruby. Lo más destacable de esta solución es que los comandos se pueden escribir en cualquier lenguaje y no está limitado al framework subyacente.
Se pueden crear archivos de configuración llamados playbooks en YAML para estandarizar las configuraciones en varios servidores. No se requieren agentes en los equipos cliente de destino, por lo que la sobrecarga en despliegues y configuraciones para empezar es mucho menor. Las configuraciones también pueden desplegarse en entornos de nube o en máquinas virtuales que utilicen VMWare en su red local.
Parcheado en vivo
KernelCare
Los escáneres de vulnerabilidades y las herramientas de despliegue de configuraciones son geniales para la automatización y la búsqueda de problemas, pero sigues necesitando una forma de parchear el kernel de Linux. Los parches y actualizaciones de los proveedores requieren un reinicio, y esto significa que los parches de seguridad se retrasan hasta una fecha programada. Live patching permite parchear sin reiniciar, pero la mayoría de las soluciones sólo parchean una distribución específica.
KernelCare se integra con escáneres de vulnerabilidades y gestores de configuración para parchear automáticamente Linux cuando se detecta una vulnerabilidad. Una vez completado el parcheado, KernelCare informará de la versión actualizada a los escáneres de vulnerabilidades. Además de funcionar con escáneres, KernelCare también puede desplegarse en cada servidor mediante herramientas de gestión de la configuración como Puppet, Chef, Ansible y SaltStack.
Conclusión
Cualquier entorno de gran tamaño necesita herramientas que ayuden a los administradores a mantener la estabilidad de la red. KernelCare puede ocuparse de los parches de seguridad del kernel de Linux sin necesidad de reinicios, para que no se retrase la aplicación de parches. Funciona a la perfección con las herramientas de gestión de vulnerabilidades y configuración mencionadas anteriormente. Tenemos servidores que no se han reiniciado en 6 años y estos clientes siguen cumpliendo la normativa SOC2. Con KernelCare, puede eliminar gran parte de la sobrecarga que supone el mantenimiento del servidor y los procesos que requieren mucho tiempo.
