Principales funciones de seguridad de IBM AIX que usted no puede perder
La reducción del riesgo de seguridad cibernética es fundamental para los negocios de hoy. A medida que los hackers se vuelven más sofisticados, y debido a que cada vez más los negocios se realizan en dispositivos móviles, los riesgos se han incrementado, lo que significa que las organizaciones pueden beneficiarse de un abordaje de “defensa a profundidad”, o de múltiples capas, para su estrategia de seguridad. IBM Power Systems y el procesador POWER9 facilitan el abordaje de seguridad de “defensa a profundidad”, proporcionando funciones importantes de seguridad para hardware, sistemas operativos, firmware, hipervisor y suites de herramientas de seguridad como IBM PowerSC.
Las capacidades de seguridad de IBM Power Systems también admiten un amplio rango de sistemas operativos, y en esta publicación nos enfocaremos en las funciones más importantes de IBM AIX que debe considerar adoptar en su traslado hacia IBM POWER9.
1. AIX Secure Boot y AIX Trusted Execution
The Center for Internet Security (CIS) proporciona recomendaciones de seguridad cibernética que son aplicables a todos los tipos de organizaciones. CIS clasifica al “Inventario y Control de Activos de Software” como el segundo control prioritario de un total de 20, donde cada control es esencialmente una categoría de defensa. Las funciones de IBM AIX Secure Boot y Trusted Execution están en esta categoría. Mediante el estándar SIA 7.1 como base, creo que estas herramientas son dos de las más importantes defensas de seguridad cibernética para su entorno de negocios. La funcionalidad Secure Boot de Power VM utiliza firmas digitales para verificar la integridad del firmware de PowerVM, incluyendo HostBoot, hipervisor Power (PHYP) y firmware de partición (PFW). AIX Secure Boot amplía la verificación de firmware realizada por la función PowerVM Secure Boot al verificar criptográficamente la autenticidad del bootloader de sistema operativo, el kernel y el entorno de tiempo de ejecución, incluyendo unidades de dispositivo, extensión de kernel, aplicaciones y bibliotecas compartidas.
Después de que AIX Secure Boot ha verificado la integridad del proceso de arranque, posteriormente puede utilizar AIX Trusted Execution para proteger la integridad del entorno de ejecución de tiempo de ejecución de AIX al verificar por medio del cifrado la integridad de scripts, ejecutables, extensiones y bibliotecas kernel que se cargan por el kernel AIX después de que el sistema haya ejecutado el proceso de arranque seguro. Cuando se utilizan correctamente, AIX Secure Boot y AIX Trusted Execution están diseñados para proporcionar una potente medida para prevenir o detectar código malicioso que se ejecuta en sus sistemas POWER9 AIX.
¿Por qué estas funciones son tan importantes? En numerosas infracciones de seguridad, los atacantes suelen utilizar malware. En algunas brechas, los atacantes han utilizado varios tipos de malware para obtener éxito en su brecha. Los atacantes pueden utilizar también herramientas de hacking que les permiten ingresar aún más en el entorno de la víctima. Además, estas dos funciones son parte de los controles de seguridad cibernética recomendados en el estándar CIS 7.1 del Centro para la Seguridad de Internet que se menciona anteriormente. Este segundo control menciona: “Gestionar activamente (inventariar, realizar el seguimiento y reparar) todo el software en la red de forma que sólo el software autorizado esté instalado y se pueda ejecutar, y que todo el software no autorizado y no gestionado se encuentre y se impida su instalación o ejecución”.”
Los siguientes son prerrequisitos para AIX Secure Boot:
- Hardware: sistemas POWER9 (Power E950 y superiores)
- Firmware: 920
- HMC: Release 9 Versión 920
- AIX: AIX 7.2 TL3 SP1 (72M)
NOTA: IBM PowerSC Graphical User Interface proporciona funcionalidad de administración centralizada para simplificar la administración de Trusted Execution para múltiples particiones AIX.
2. Nuevos perfiles de conformidad de seguridad cibernética con PowerSC Graphical User Interface
IBM PowerSC es una tecnología integrada, diseñada para ayudar a los clientes de Power Systems con seguridad cibernética general y conformidad de seguridad cibernética en entornos virtuales y de nube. Puede ayudarle a ahorrar tiempo y reducir los riesgos mediante el aumento de la visibilidad a lo largo de su lote de IBM Power Systems. PowerSC 1.3.0.0, que se lanzó el 13 de diciembre de 2019, ha proporcionado dos nuevos perfiles de refuerzo de la seguridad. PowerSC Graphical User Interface ofrece la posibilidad de aplicar un conjunto de valores recomendados para varios sistemas. Uno de los nuevos perfiles de refuerzo de la seguridad se basa en los valores de referencia de seguridad CIS Security Benchmark para AIX 7.1. Este nuevo perfil de CIS proporciona ajustes de refuerzo de seguridad universal que pueden ser utilizados por todos los entornos empresariales con AIX 6.1, 7.1 o 7.2.
El nuevo perfil de refuerzo de seguridad es para las organizaciones de Departamento de Defensa (DoD). Este es el nuevo perfil DISA STIG.
3. Cambios de fileset
Uno de los objetivos de reducir la superficie de ataque de cualquier sistema operativo es no instalar software que no sea necesario en el sistema operativo. Al eliminar el software innecesario no sólo puede proporcionar menos elementos para que un hacker los explote, sino que también puede reducir el superconjunto de software que debe ser manejado para parches de seguridad. Para proporcionarle un mayor control sobre el software que está instalado en su sistema, los filesets bos.net.tcp.client y bos.net.tcp.server en IBM AIX se dividen en 33 nuevos filesets. Este nuevo diseño de fileset permite diseñar imágenes construidas más granulares que sólo incluyan los filesets que necesita su sistema.
4. Funcionalidad criptográfica in-core
La versión OpenSSL del fileset 1.0.2.1100 y AIX 7 con 7200-03 puede usar la función criptográfica fundamental in-core que está disponible comenzando con sistemas POWER8. Este nuevo soporte está diseñado para mejorar el rendimiento cuando se trate de operaciones criptográficas con los siguientes códigos:
- AES-128-CBC
- AES-192-CBC
- AES-256-CBC
- AES-128-ECB
- AES-192-ECB
- AES-256-ECB
- AES-128-GCM
- AES-192-GCM
- AES-256-GCM
- AES-128-XTS
- AES-192-XTS
- AES-256-XTS
- SHA1
- SHA224
- SHA256
- SHA384
- SHA512
Aunque esta función está más directamente relacionada con el rendimiento, también está relacionada con la seguridad cibernética, ya que hemos visto que la utilización de más códigos criptográficos de cómputo intenso es a veces obstaculizada debido a la afectación en el rendimiento. Así pues, el eliminar cualquier posible obstáculo para la utilización de códigos de cómputo intenso puede dar como resultado la mejora de la seguridad en ciertos casos.
Defiéndase contra un ataque cibernético
Los delincuentes cibernéticos están haciendo importantes avances en la mejora de su capacidad para atacar a las organizaciones. Esta guerra cibernética es un objetivo en constante movimiento, ya que los hackers no paran de crear nuevos métodos para atacar a las organizaciones. Un abordaje de defensa de seguridad cibernética a profundidad es fundamental para reducir los riesgos de seguridad. Las funciones que se mencionan en esta publicación son cuatro pasos positivos hacia el logro de una implementación de seguridad sólida y a profundidad, que puede ser la diferencia entre prevenir o reducir los efectos de una fuga de datos para su organización.
Conozca más acerca del abordaje de múltiples capas hacia la seguridad con IBM POWER9.
IBM Systems Lab Services proporciona un AIX Security Assessment para CIS 7.1. Este servicio de consultoría es el primer paso para entender lo que se necesita para implementar una defensa a profundidad de seguridad cibernética para sistemas AIX. Para obtener más información sobre este servicio o cualquier cosa relacionada con la seguridad de AIX, póngase en contacto con nosotros hoy mismo.
Vea las conferencias de Think On Demand