Segurança Através de Gerência de Configurações

Jerônimo Zucco jeronimo.zucco@owasp.org

Rotina de um SysAdmin

Rotina de um SysAdmin

Tipos de “Automação"

• Configuração Manual

• Scripts / Roteiro

• Golden Images

• Gerência de Configuração por Software

Vantagens• Manter a configuração sincronizada

• Realizar tarefas repetitivas em todos os servidores

• Documentação de servidores e aplicações sempre atualizadas

• Trabalhar com múltiplas plataformas sem se preocupar em como é realizada uma determinada tarefa em cada sistema operacional

Vantagens

• Usar um sistema de controle de versão em conjunto com a ferramenta de Gerência de Configurações

• Escalabilidade (recursos humanos são finitos)

• Garantia que as configurações não serão alteradas indevidamente

• Aplicação imediata e distribuída de uma instalação/atualização/configuração

Vantagens• Garantia de aplicação de permissões

• Maior velocidade na disponibilização de novos servidores e serviços

• Simulação em ambiente de desenvolvimento. Teste e corrija antes de colocar sua aplicação em produção

• Inventário

E a principal vantagem:

Segurança?

Um exemplo prático

Um novo desenvolvedor foi contratado. Ele precisa imediatamente de uma

conta de shell em todos os servidores.

Método Tradicional• 1 - Login no servidor 1

• 2 - Rodar o comando: useradd jose

• 3 - Crie o seu diretório home

• 4 - Logue no servidor 2 e repita os passos 1, 2 e 3

• 4 - Logue no servidor 3 e repita os passos 1, 2 e 3

• 4 - Logue no servidor 4 e repita os passos 1, 2 e 3

• 4 - Logue no servidor 5 e repita os passos 1, 2 e 3 …

The Puppet Way

Instalando um pacote

Modular

Reutilizável !

https://forge.puppetlabs.com http://www.example42.com

RAL Resource Abstraction Layer

DSL Domain Specific Language

Relações/Dependências entre Recursos

Open Source

Multiplataforma

Cliente/Servidor REST API + X509 certs

Variáveis, estruturas lógicas (condicionais),

dependências, herança, facts, classes

Templates

Escalabilidade: Clusters, controle de

versão

Documentação: https://docs.puppetlabs.com/puppet

Versionamento para gerência de mudanças

Plataformas

• Linux (RHEL, CentOS, Fedora, Debian, Ubuntu, Suse, Gentoo, Mandriva, ArchLinux)r

• BSD (FreeBSD 4.7+, OpenBSD 4.1+

• Other Unix (Mac OS X 10.5+), Solaris 10+, Aix 5.3+, HP-UX

• Windows (Server 2003, 2008, 2012, Vista, 7, 8)

Puppet Enterprise

http://puppetlabs.com/puppet/enterprise-vs-open-source

http://puppetlabs.com/puppet/enterprise-vs-open-source

Livros Recomendados

http://projects.puppetlabs.com/projects/1/wiki/Puppet_Books

Obrigado! jeronimo.zucco@owasp.org