8 outils pour sécuriser les serveurs Linux

La mise à jour et la correction des serveurs Linux ne sont pas l'affaire d'un seul outil. Vous avez besoin de plusieurs outils pour vous assurer que vos serveurs sont configurés correctement et ne sont pas la cible des derniers exploits. La vérification d'un seul serveur peut être effectuée manuellement, mais lorsque vous êtes responsable de centaines de serveurs critiques, vous avez besoin d'outils pour vérifier les fonctionnalités actuelles du serveur, mettre à jour les logiciels, définir les configurations et effectuer toute autre action requise pendant la maintenance. La liste d'outils suivante présente les meilleurs logiciels qui aideront les administrateurs à être proactifs dans la gestion des serveurs Linux, la gestion des configurations, les mises à jour et les correctifs.

Contenu :

1. Gestion des vulnérabilités
2. Gestion de la configuration
3. Live Patching
4. Conclusion

Gestion des vulnérabilités

Le réseau et le paysage des menaces d'aujourd'hui ne seront plus les mêmes demain. De nouvelles technologies sont introduites et les attaquants trouvent de nouveaux moyens d'exploiter les vulnérabilités. Les administrateurs ont besoin d'outils pour analyser les serveurs et trouver les mauvaises configurations, les logiciels obsolètes ou d'autres problèmes d'infrastructure qui pourraient conduire à une compromission. Ces outils sont utilisés par certaines des plus grandes organisations du monde pour s'assurer que leurs serveurs sont protégés par des correctifs.

Tenable Nessus

L'un des scanners de vulnérabilité les plus populaires est sans doute Tenable Nessus. Tenable est l'outil de gestion des vulnérabilités (Tenable.io est un outil de gestion en nuage populaire auprès des clients qui utilisent l'analyse Nessus), et Nessus est le scanner intégré à son emballage. L'une des caractéristiques de Nessus qui le rend attrayant pour les organisations est sa priorisation prévisible. Cette fonction permet aux administrateurs de déterminer quelles vulnérabilités doivent être traitées en premier. 

Nessus est idéal pour les serveurs sur site où les administrateurs doivent assurer la sécurité des serveurs internes et publics. Il est également idéal lorsque l'organisation sait que l'analyse efficace fait défaut avec d'autres outils et que des correctifs doivent être installés. Grâce aux fonctions de hiérarchisation, les administrateurs peuvent remédier aux problèmes connus sur les serveurs en s'attaquant d'abord aux menaces les plus graves.

Rapid7 Metasploit

Alors que Nessus recherche les vulnérabilités, Rapid7 Metasploit est le roi des tests de pénétration. Il permet aux utilisateurs de déployer un code d'exploitation pour tester les vulnérabilités. En d'autres termes, Nessus recherche les vulnérabilités, mais Metasploit vous permet de les exploiter. Bien sûr, cela ne doit pas être fait dans un environnement de production, mais c'est une bonne chose pour les développeurs et les administrateurs qui sont curieux de la cybersécurité de leur infrastructure et de leurs logiciels. 

Metasploit est utile aux équipes de sécurité pour leur permettre d'améliorer la sécurité dans l'ensemble de l'environnement. Pour les développeurs, il peut les aider à vérifier les vulnérabilités, à évaluer les risques et à sensibiliser les autres à la gravité d'une vulnérabilité particulière. Il vous permet également d'être proactif lorsqu'il s'agit d'identifier et de remédier aux vulnérabilités de votre logiciel.

Qualys

Pour les entreprises qui ont la plupart de leur infrastructure dans le nuage, Qualys est un bon choix pour l'analyse de vulnérabilité basée sur le cloud. Qualys excelle dans l'analyse des environnements qui sont soit entièrement dans le cloud, soit un hybride d'infrastructure sur site et dans le cloud. Il peut être déployé à 100 % en tant que solution SaaS pour analyser les applications et les infrastructures stockées dans le centre de données d'un fournisseur de services en nuage.

À l'instar de Nessus, Qualys hiérarchisera également les vulnérabilités et attribuera une valeur à chaque risque, afin que les entreprises puissent réduire les milliers de problèmes potentiels aux quelques dizaines qui comptent le plus. Qualys existe depuis des années, son API est donc un peu dépassée. Son API est une API non REST, basée sur XML, qui peut être intégrée dans vos propres applications.

Gestion de la configuration

Les erreurs de configuration peuvent entraîner de graves violations de données. Si les administrateurs ne configurent pas correctement l'infrastructure du cloud et les serveurs, cela peut ouvrir des vulnérabilités à tout attaquant disposant des outils d'analyse et des exploits appropriés. Les outils de gestion de la configuration déploieront les configurations pendant la promotion du logiciel vers la production et élimineront les erreurs humaines liées à la configuration manuelle de centaines de serveurs.

Chef

Pour les entreprises qui travaillent avec des développeurs et des logiciels personnalisés, Chef est un bon choix pour le déploiement et la gestion des configurations. Chef a été conçu pour les développeurs, en particulier pour ceux qui comprennent le langage Ruby. Chef extrait également les configurations actuelles afin qu'elles puissent être révisées avant la prochaine poussée. 

Chef est entièrement programmable et flexible. Si vos programmeurs connaissent Ruby, il peut être facile de déployer des changements de configuration à grande échelle sur plusieurs serveurs. Les versions SaaS de l'outil fourniront des capacités d'analyse et de reporting.

SaltStack

Dans les environnements Linux, SaltStack est un outil courant utilisé pour déployer des configurations et des commandes SSH en utilisant une communication cryptée avec vos serveurs. SaltStack a une courbe d'apprentissage similaire à celle de Chef, mais il nécessite moins de compétences en programmation que ce dernier. Il peut être utilisé pour faire évoluer horizontalement ou verticalement les ressources pendant le déploiement. Au lieu de Ruby, SaltStack utilise Python, qui est un langage beaucoup plus populaire auprès des administrateurs Linux.

Pour créer des modèles, les utilisateurs peuvent créer des modèles YAML qui déploieront des configurations standard dans l'ensemble de l'environnement. SaltStack est conçu pour les grands environnements où la charge doit être équilibrée et où les administrateurs ont besoin d'un standard pour chaque serveur. Il dispose d'un serveur central et d'agents appelés minions qui s'exécutent sur chaque serveur.

Marionnette

Puppet est l'un des gestionnaires de configuration les plus populaires de la liste. Il est utilisé par des entreprises très en vue sur le Web, notamment Reddit, Google, PayPal et Oracle. Il s'agit d'un logiciel libre écrit en langage Ruby, et les administrateurs peuvent utiliser une interface de ligne de commande ou choisir de travailler avec l'interface graphique.

Les agents doivent être exécutés sur chaque nœud, ce qui nécessite un certain niveau de sécurité et de permissions. Les développeurs de Puppet autorisent les commandes Ruby avec l'interface CLI, mais ils se sont orientés vers un langage propriétaire de Puppet. Cela pourrait créer une énorme courbe d'apprentissage pour les futurs déploiements de Puppet.

Ansible

Red Hat Ansible est un outil de configuration léger, parfait pour les administrateurs réseau qui ont besoin d'un moyen d'envoyer des commandes aux serveurs en utilisant Python plutôt que des langages propriétaires complexes ou Ruby. Le plus remarquable avec cette solution est que les commandes peuvent être écrites dans n'importe quel langage et ne sont pas limitées au framework sous-jacent.

Des fichiers de configuration appelés playbooks peuvent être créés en YAML pour normaliser les configurations sur plusieurs serveurs. Aucun agent n'est requis sur les machines clientes cibles, de sorte que les frais généraux de déploiement et de configuration sont beaucoup plus faibles pour commencer. Les configurations peuvent également être déployées dans des environnements en nuage ou sur des machines virtuelles utilisant VMWare sur votre réseau local.

Live Patching

KernelCare

Les scanners de vulnérabilités et les outils de déploiement de configuration sont excellents pour l'automatisation et la découverte de problèmes, mais vous avez toujours besoin d'un moyen de patcher le noyau Linux. Les correctifs et les mises à jour des fournisseurs nécessitent un redémarrage, ce qui signifie que les correctifs de sécurité sont retardés jusqu'à une date prévue. Le "live patching" permet de patcher sans redémarrage, mais la plupart des solutions ne patchent qu'une distribution spécifique.

KernelCare s'intègre aux scanners de vulnérabilités et aux gestionnaires de configuration pour patcher automatiquement Linux lorsqu'une vulnérabilité est découverte. Une fois la correction en direct terminée, KernelCare signale la version mise à jour aux scanners de vulnérabilité. En plus de fonctionner avec des scanners, KernelCare peut également être déployé sur chaque serveur à l'aide d'outils de gestion de la configuration comme Puppet, Chef, Ansible et SaltStack.

Conclusion

Tout grand environnement a besoin d'outils pour aider les administrateurs à maintenir la stabilité du réseau. KernelCare peut prendre en charge les correctifs de sécurité du noyau Linux sans qu'il soit nécessaire de redémarrer, afin de ne pas retarder l'application des correctifs. Il fonctionne de manière transparente avec les outils de gestion des vulnérabilités et des configurations mentionnés ci-dessus. Nous avons des serveurs qui n'ont pas été redémarrés depuis 6 ans et ces clients continuent à rester conformes à la norme SOC2. Grâce à KernelCare, vous pouvez éliminer une grande partie des frais généraux liés à la maintenance des serveurs et aux processus fastidieux.