5.4 Protezione dei dati Sentinel

IMPORTANTE:vista la natura altamente riservata dei dati contenuti nel server Sentinel, il computer deve essere fisicamente protetto e collocato in un'area sicura della rete. Per raccogliere dati da origini eventi esterne alla rete sicura, utilizzare un'istanza remota di Gestione servizi di raccolta.

Per alcuni componenti è necessario memorizzare le password affinché siano disponibili quando il sistema deve connettersi a una risorsa quale il database o un'origine eventi. In questo caso, quando la password è memorizzata, essa viene prima cifrata per evitare accessi non autorizzati al relativo testo non cifrato.

Anche quando la password è cifrata, è necessario assicurarsi che l'accesso ai dati della password memorizzata sia protetto per evitarne l'esposizione. È possibile, ad esempio, fare in modo che le autorizzazioni sui file che contengono dati riservati non siano leggibili da utenti non autorizzati.

FILE

advisor_client.xml

Credenziali per il database

Le credenziali per il database sono memorizzate nel file <directory_di_installazione>/config/server.xml

<class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

Credenziali per Advisor

<obj-component id="DownloadComponent">
          <class>esecurity.ccs.comp.advisor.feed.NewAdvClientDownload</class>
      <property name="advisor.downloadfrom.url">https://secure-www.novell.com/sentinel/advisor/advisordata</property>
      <property name="username">admin</property>
      <!-- Set the password (encrypted) using the adv_change_password script -->
      <property name="password">jqhlWIX8HD6GDHVX9FApWg==</property>
<property name="compression.enabled">true</property>
      <!--
        Set the following properties to connect through an HTTP proxy.
        Set the proxy password (encrypted) using the adv_change_password script (make a
        copy of the script and add "-x" to the java cmd line to set the proxy password
        instead of the advisor password.
      -->
      <!--
      <property name="proxy_host"></property>
      <property name="proxy_port"></property>
      <property name="proxy_username"></property>
      <property name="proxy_password"></property>
      -->
        </obj-component>

Configuration.xml

<strategy active="yes" id="jms" location="com.esecurity.common.communication.strategy.jmsstrategy.activemq.ActiveMQStrategyFactory" name="ActiveMQ">
<jms brokerURL="failover://(ssl://localhost:61616?wireFormat.maxInactivityDuration=30000)?randomize=false" interceptors="compression" keystore="../config/.activemqclientkeystore.jks" keystorePassword="password" password="374d9f338b4dc4b50e45b3822fc6be12" username="system"/>
    </strategy>

das_binary.xml

<class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

das_core.xml

 <class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

In alcune tabelle del database sono memorizzati password e certificati. I dati riservati sono cifrati e memorizzati nelle tabelle riportate di seguito e occorre limitare l'accesso a queste tabelle.

Sentinel Rapid Deployment memorizza sia i dati di configurazione che quelli relativi agli eventi. Questi dati vengono memorizzati nelle seguenti ubicazioni:

Componenti

Percorso dei dati di configurazione

Percorso dei dati degli eventi

Server Sentinel Rapid Deployment

Tabelle del database e file system (<directory_di_installazione>/config)

Queste informazioni di configurazione includono il database cifrato, l'origine eventi, integratori e password.

Database (tabelle EVENTS, CORRELATED_EVENTS e EVT_SMRY_, AUDIT_RECORD) e file system in <directory_di_installazione>/data/eventdata e <directory_di_installazione>/data/raw data

È possibile archiviare i dati relativi agli eventi nel file system nell'ambito del processo di gestione delle partizioni.

Motore di correlazione

File system (<directory_di_installazione>/config). L'unica informazione di configurazione riservata è la coppia di chiavi client utilizzata per la connessione al bus messaggi.

correlation_engine.cache

DAS Core

<Directory_di_installazione>/config

das_core.cache

DAS Binary

<Directory_di_installazione>/config

I dati relativi agli eventi possono essere memorizzati nella cache se il database è inattivo.

das_binary.cache

Gestione servizi di raccolta

File system (<directory_di_installazione>/config). L'unica informazione di configurazione riservata è la password utente di Gestione servizi di raccolta utilizzata per la connessione al bus messaggi.

È possibile memorizzare nella cache del file system i dati relativi agli eventi durante condizioni di errore, quali l'inattività del bus messaggi o l'overflow degli eventi. I dati relativi agli eventi vengono memorizzati nella directory <directory_di_installazione>/data/collector_mgr.cache.

Applicazioni client

File system (directory_di_installazione/config). Nei file di configurazione delle applicazioni client non sono memorizzate informazioni riservate.

Le applicazioni client possono, ad esempio, esportare dati ESM in un file system locale. Il file esportato contiene password cifrate, se queste sono presenti nella configurazione delle origini eventi esportate.  Sebbene le password siano cifrate, l'autorizzazione all'esportazione di ESM deve essere concessa solo a utenti affidabili.

Nessuno