Com o Zabbix 5.0, Monitoramento e Segurança são “unha e carne”

Introdução

Com a versão Zabbix 5.0, alguns gaps talvez antes não notados por alguns administradores Zabbix, foram sanados! Ufa… nosso monitoramento agora apresenta o melhor “Estado da Arte” em relação à Segurança Cibernética. Vamos conferir e começar a pensar em “Security by Design & by Default”!

 

O conceito de Security by Design & by Default

Este é um conceito que vem sendo abordado em diversas disciplinas que envolvem tecnologia da informação e com o Zabbix, não é diferente.

Quando lidamos com coleta de dados de ambientes de TIC, é essencial que pensemos em cumprir a tarefa de monitoramento, sem onerar o ambiente e da forma mais segura possível. Essa preocupação é exponencialmente elevada quando se trata do CLIENTE, seus ativos, serviços e negócios.

Para a Zabbix SIA, proporcionar segurança ao monitoramento é fundamental e o Zabbix 5.0 reflete este compromisso. A nova versão foi planejada, concebida e executada com os mais altos padrões de segurança. Vamos conferir.

 

Arquitetura dos principais componentes Zabbix

Temos 3 principais componentes: Zabbix Server + Zabbix Database + Zabbix Frontend.

Muitas vezes não nos preocupamos com a segurança entre esses componentes, principalmente quando realizamos uma instalação Single Server. Mas imagine uma instalação “modular”, com a segregação desses componentes. O projeto é diferenciado e requer segurança; agora temos o seguinte cenário na versão 5.0:

Zabbix Database é a chave para a conexão TLS, cuidando dos acessos e suas conexões seguras; Security by Design.

Integrações por webhooks com suporte à TLS e HTTP_PROXY

As mais variadas “Media Types” que permitem integrações diversas com ferramentas de terceiros, agora suportam a camada TLS em HTTPS, ainda com a possibilidade de uso de Web Proxy para que toda a comunicação possa ser controlada, monitorada, auditada.

 

Uso de “Secret Macros”

Imagina um monitoramento via SSH ou SNMP que requer autenticação!

Antes, usuários e senhas, mesmo que em macros, ficavam expostos no frontend; mas agora:

O mesmo se aplica ao SNMP, seja em qual versão for.

Criptografia de ponta a ponta

Já não é novidade da versão 5.0, pois está presente desde a versão 3.0, a possibilidade de criptografar a comunicação entre Zabbix Server x Zabbix Proxy x Zabbix Agent.

Esta comunicação criptografada foi um grande salto da versão 3.0, pois possibilitou Zabbix Proxies em clientes, terem acesso e tráfego dos dados coletados de forma segura, agregando valor aos contratos de prestação de serviços e estampando um sorriso nos rostos de todos, clientes e provedores. Da mesma forma, várias formas de monitoramento seguro a partir dos Zabbix Agents surgiram, como ilustramos simbolicamente abaixo:

O uso de criptografia não é obrigatório, mas altamente recomendável.

Uso de SAML

SAML provê um ponto de acesso único para serviços e para o Zabbix.

Vários provedores de identidade já são suportados e não é mais um problema se o seu LDAP Server estiver em um ambiente de Cloud, por exemplo, como serviço federado. Há agora a viabilidade do projeto estar em Cloud ou On Premises, de forma mais segura.

Restrição de uso de chaves não desejadas pelo Zabbix Agent

Imagine que o que leva empresas e organizações a optarem por Monitoramento Não Intrusivo seja o receio de que um agente de monitoramento possa executar algum comando que inviabilize ou afete a disponibilidade, integridade e confiabilidade de um ambiente! Agora, não mais!

Para os ambientes que utilizam o Zabbix Agent como a poderosa ferramenta de coleta de dados diversos, agora os comandos ou chaves podem ser limitados por blacklists e/ou whitelists.

Podemos permitir:

# ls –l /tmp

Ao mesmo tempo que podemos negar:

# ls –l /

Ou

# ls –l /opt

 

Bem como podemos permitir ou negar vários outros comandos ou chaves.

Falando nisso, a execução de comandos remotas já vem desabilitada por padrão e há a recomendação do uso dos parâmetros DenyKey & AllowKey ao invés de #RemoteCommands=1

Conclusão (parcial)

Muito mais o Zabbix 5.0 tem para ofertar em relação à Segurança, mas este artigo foi escrito para que as principais melhorias ficassem mais evidentes, encorajando os administradores em sua implementação.

Security by Design & by Default é algo que todos os administradores e desenvolvedores de ambientes, bem como gestores de projetos, devem pensar à respeito.

Nossa contribuição é singela, mas esperamos agregar em seu conhecimento.

Conheça nossos treinamentos, seja um Zabbix Certified Specialist + Professional.

Assine a nossa Newsletter!

Quer saber de próximos treinamentos, notícias, publicações, webinars e também sobre eventos da Unirede? Assine a nossa Newsletter e fique por dentro de todas as novidades.

Você pode gostar também…

Boas Práticas para uso do E-mail e Colaboração

Boas Práticas para uso do E-mail e Colaboração

O E-mail vai acabar? Existem tantas mídias sociais no mundo moderno, que há quem diga que o bom e velho E-mail vai acabar, mas não nos enganemos, isso também foi dito sobre o Instant Message e ferramentas de colaboração o empregam cada vez mais, principalmente em...

Como conseguimos implementar 100% de home office em tempos de pandemia

Como conseguimos implementar 100% de home office em tempos de pandemia

Na última semana o ComEx (Comitê Executivo) da Unirede tomou uma decisão: orientar todos os profissionais a trabalharem de casa. Para nós isso foi somente uma decisão e orientação aos times. Não foi necessário comprar equipamentos, validar acessos, aumentar canal de...

Série LGPD: A placa do seu carro e a LGPD. Como se relacionam?

Série LGPD: A placa do seu carro e a LGPD. Como se relacionam?

Introdução   A Lei Geral de Proteção de Dados, LGPD, é baseada na GDPR (General Data Protection Regulation) e herda dela uma série de conceitos e aplicações importantes. Neste breve artigo, vamos abordar um conceito chamado “Dado Pessoal Indireto” e vamos refletir...

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *