Introdução

Com a versão Zabbix 5.0, alguns gaps talvez antes não notados por alguns administradores Zabbix, foram sanados! Ufa… nosso monitoramento agora apresenta o melhor “Estado da Arte” em relação à Segurança Cibernética. Vamos conferir e começar a pensar em “Security by Design & by Default”!

O conceito de Security by Design & by Default

Este é um conceito que vem sendo abordado em diversas disciplinas que envolvem tecnologia da informação e com o Zabbix, não é diferente.

Quando lidamos com coleta de dados de ambientes de TIC, é essencial que pensemos em cumprir a tarefa de monitoramento, sem onerar o ambiente e da forma mais segura possível. Essa preocupação é exponencialmente elevada quando se trata do CLIENTE, seus ativos, serviços e negócios.

Para a Zabbix SIA, proporcionar segurança ao monitoramento é fundamental e o Zabbix 5.0 reflete este compromisso. A nova versão foi planejada, concebida e executada com os mais altos padrões de segurança. Vamos conferir.

Arquitetura dos principais componentes Zabbix

Temos 3 principais componentes: Zabbix Server + Zabbix Database + Zabbix Frontend.

Muitas vezes não nos preocupamos com a segurança entre esses componentes, principalmente quando realizamos uma instalação Single Server. Mas imagine uma instalação “modular”, com a segregação desses componentes. O projeto é diferenciado e requer segurança; agora temos o seguinte cenário na versão 5.0:

Zabbix Database é a chave para a conexão TLS, cuidando dos acessos e suas conexões seguras; Security by Design.

Integrações por webhooks com suporte à TLS e HTTP_PROXY

As mais variadas “Media Types” que permitem integrações diversas com ferramentas de terceiros, agora suportam a camada TLS em HTTPS, ainda com a possibilidade de uso de Web Proxy para que toda a comunicação possa ser controlada, monitorada, auditada.

Uso de “Secret Macros”

Imagina um monitoramento via SSH ou SNMP que requer autenticação!

Antes, usuários e senhas, mesmo que em macros, ficavam expostos no frontend; mas agora:

O mesmo se aplica ao SNMP, seja em qual versão for.

Criptografia de ponta a ponta

Já não é novidade da versão 5.0, pois está presente desde a versão 3.0, a possibilidade de criptografar a comunicação entre Zabbix Server x Zabbix Proxy x Zabbix Agent.

Esta comunicação criptografada foi um grande salto da versão 3.0, pois possibilitou Zabbix Proxies em clientes, terem acesso e tráfego dos dados coletados de forma segura, agregando valor aos contratos de prestação de serviços e estampando um sorriso nos rostos de todos, clientes e provedores. Da mesma forma, várias formas de monitoramento seguro a partir dos Zabbix Agents surgiram, como ilustramos simbolicamente abaixo:

O uso de criptografia não é obrigatório, mas altamente recomendável.

Uso de SAML

SAML provê um ponto de acesso único para serviços e para o Zabbix.

Vários provedores de identidade já são suportados e não é mais um problema se o seu LDAP Server estiver em um ambiente de Cloud, por exemplo, como serviço federado. Há agora a viabilidade do projeto estar em Cloud ou On Premises, de forma mais segura.

Restrição de uso de chaves não desejadas pelo Zabbix Agent

Imagine que o que leva empresas e organizações a optarem por Monitoramento Não Intrusivo seja o receio de que um agente de monitoramento possa executar algum comando que inviabilize ou afete a disponibilidade, integridade e confiabilidade de um ambiente! Agora, não mais!

Para os ambientes que utilizam o Zabbix Agent como a poderosa ferramenta de coleta de dados diversos, agora os comandos ou chaves podem ser limitados por blacklists e/ou whitelists.

Podemos permitir:

# ls –l /tmp

Ao mesmo tempo que podemos negar:

# ls –l /

Ou

# ls –l /opt

Bem como podemos permitir ou negar vários outros comandos ou chaves.

Falando nisso, a execução de comandos remotas já vem desabilitada por padrão e há a recomendação do uso dos parâmetros DenyKey & AllowKey ao invés de #RemoteCommands=1

Conclusão (parcial)

Muito mais o Zabbix 5.0 tem para ofertar em relação à Segurança, mas este artigo foi escrito para que as principais melhorias ficassem mais evidentes, encorajando os administradores em sua implementação.

Security by Design & by Default é algo que todos os administradores e desenvolvedores de ambientes, bem como gestores de projetos, devem pensar à respeito.

Nossa contribuição é singela, mas esperamos agregar em seu conhecimento.

Conheça nossos treinamentos, seja um Zabbix Certified Specialist + Professional.