Com o Zabbix 5.0, Monitoramento e Segurança são “unha e carne”

Introdução

Com a versão Zabbix 5.0, alguns gaps talvez antes não notados por alguns administradores Zabbix, foram sanados! Ufa… nosso monitoramento agora apresenta o melhor “Estado da Arte” em relação à Segurança Cibernética. Vamos conferir e começar a pensar em “Security by Design & by Default”!

 

O conceito de Security by Design & by Default

Este é um conceito que vem sendo abordado em diversas disciplinas que envolvem tecnologia da informação e com o Zabbix, não é diferente.

Quando lidamos com coleta de dados de ambientes de TIC, é essencial que pensemos em cumprir a tarefa de monitoramento, sem onerar o ambiente e da forma mais segura possível. Essa preocupação é exponencialmente elevada quando se trata do CLIENTE, seus ativos, serviços e negócios.

Para a Zabbix SIA, proporcionar segurança ao monitoramento é fundamental e o Zabbix 5.0 reflete este compromisso. A nova versão foi planejada, concebida e executada com os mais altos padrões de segurança. Vamos conferir.

 

Arquitetura dos principais componentes Zabbix

Temos 3 principais componentes: Zabbix Server + Zabbix Database + Zabbix Frontend.

Muitas vezes não nos preocupamos com a segurança entre esses componentes, principalmente quando realizamos uma instalação Single Server. Mas imagine uma instalação “modular”, com a segregação desses componentes. O projeto é diferenciado e requer segurança; agora temos o seguinte cenário na versão 5.0:

Zabbix Database é a chave para a conexão TLS, cuidando dos acessos e suas conexões seguras; Security by Design.

Integrações por webhooks com suporte à TLS e HTTP_PROXY

As mais variadas “Media Types” que permitem integrações diversas com ferramentas de terceiros, agora suportam a camada TLS em HTTPS, ainda com a possibilidade de uso de Web Proxy para que toda a comunicação possa ser controlada, monitorada, auditada.

 

Uso de “Secret Macros”

Imagina um monitoramento via SSH ou SNMP que requer autenticação!

Antes, usuários e senhas, mesmo que em macros, ficavam expostos no frontend; mas agora:

O mesmo se aplica ao SNMP, seja em qual versão for.

Criptografia de ponta a ponta

Já não é novidade da versão 5.0, pois está presente desde a versão 3.0, a possibilidade de criptografar a comunicação entre Zabbix Server x Zabbix Proxy x Zabbix Agent.

Esta comunicação criptografada foi um grande salto da versão 3.0, pois possibilitou Zabbix Proxies em clientes, terem acesso e tráfego dos dados coletados de forma segura, agregando valor aos contratos de prestação de serviços e estampando um sorriso nos rostos de todos, clientes e provedores. Da mesma forma, várias formas de monitoramento seguro a partir dos Zabbix Agents surgiram, como ilustramos simbolicamente abaixo:

O uso de criptografia não é obrigatório, mas altamente recomendável.

Uso de SAML

SAML provê um ponto de acesso único para serviços e para o Zabbix.

Vários provedores de identidade já são suportados e não é mais um problema se o seu LDAP Server estiver em um ambiente de Cloud, por exemplo, como serviço federado. Há agora a viabilidade do projeto estar em Cloud ou On Premises, de forma mais segura.

Restrição de uso de chaves não desejadas pelo Zabbix Agent

Imagine que o que leva empresas e organizações a optarem por Monitoramento Não Intrusivo seja o receio de que um agente de monitoramento possa executar algum comando que inviabilize ou afete a disponibilidade, integridade e confiabilidade de um ambiente! Agora, não mais!

Para os ambientes que utilizam o Zabbix Agent como a poderosa ferramenta de coleta de dados diversos, agora os comandos ou chaves podem ser limitados por blacklists e/ou whitelists.

Podemos permitir:

# ls –l /tmp

Ao mesmo tempo que podemos negar:

# ls –l /

Ou

# ls –l /opt

 

Bem como podemos permitir ou negar vários outros comandos ou chaves.

Falando nisso, a execução de comandos remotas já vem desabilitada por padrão e há a recomendação do uso dos parâmetros DenyKey & AllowKey ao invés de #RemoteCommands=1

Conclusão (parcial)

Muito mais o Zabbix 5.0 tem para ofertar em relação à Segurança, mas este artigo foi escrito para que as principais melhorias ficassem mais evidentes, encorajando os administradores em sua implementação.

Security by Design & by Default é algo que todos os administradores e desenvolvedores de ambientes, bem como gestores de projetos, devem pensar à respeito.

Nossa contribuição é singela, mas esperamos agregar em seu conhecimento.

Conheça nossos treinamentos, seja um Zabbix Certified Specialist + Professional.

Assine a nossa Newsletter!

Quer saber de próximos treinamentos, notícias, publicações, webinars e também sobre eventos da Unirede? Assine a nossa Newsletter e fique por dentro de todas as novidades.

Você pode gostar também…

5 podcasts para você que deseja aprender mais sobre TI

5 podcasts para você que deseja aprender mais sobre TI

Para quem trabalha ou apenas se interessa pelo universo da tecnologia, manter-se atualizado nas novidades é imprescindível. Existem diversas formas de consumir conteúdos, a boa e velha leitura de livros, revistas, blogs, sites, pesquisas na internet no geral e,...

Gestão de Tickets e MonOps

Gestão de Tickets e MonOps

Há alguns dias lançamos o MonOps e estamos muito empolgados com isso! O Monops é a nova plataforma de Gestão de TI da Unirede e, através dessa ferramenta, você consegue centralizar e automatizar muitos processos da sua operação. O Monops apoia a gestão de TI do seu...

O que são dashboards?

O que são dashboards?

O que são Dashboards? Como eles auxiliam no monitoramento de um negócio?   Muita coisa evoluiu desde a revolução tecnológica nos anos 90. Passamos de apenas “era digital” e agora vivemos a “era dos dados”.  A cada dia mais de 2,5 exabytes (25.000.000.000.000.000.000...

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Pin It on Pinterest