RedHat Enterprise Linux 7.5 Beta: sicurezza ed automatismi

In questi giorni Red Hat ha rilasciato la versione 7.5 beta del suo sistema operativo Enterprise Linux.

L’ultimo rilascio, la 7.4 dello scorso Agosto, ha portato con se parecchie novità, che spaziavano da nuove funzionalità della gestione del cluster, al supporto per il NBDE (Network-Bound Disk Encryption), ovvero la possibilità di avere dischi di root criptati che non necessitino dell’inserimento manuale di una password in fase di riavvio.

Questa tecnologia permetta di inserire, nello stessa struttura del disco criptato, la capacità di riconoscere se la rete in cui si cerca di fare boot da quel disco è da considerarsi sicura o no e, in caso affermativo, di permettere la decriptazione senza l’uso di una password. Questa soluzione è ottima -ad esempio- nel momento in cui è necessario mantenere in totale sicurezza una partizione di root criptandola, non avere frizioni in fase di gestione nel day-by-day, ma avendo la certezza che se il disco dovesse uscire dalla rete trusted (ad esempio, per una manutenzione o sostituzione), i suoi dati non possano essere decriptati. Vi lasciamo un link ad un pagina di documentazione che approfondisce l’argomento NBDE.

In Red Hat Enterprise Linux 7.5 Beta, NBDE extends this capability to data volumes; with this enhanced capability, the hands-off encryption and decryption can be extended to data volumes, allowing increased data security without added administrative burden.

In Red Hat Enterprise Linux 7.5 Beta, NBDE estende questa possibilità anche ai volumi dati; con questa funzionalità avanzata, la criptazione e decriptazione automatica può essere estesa ai volumi dati, permettendo l’aumento della sicurezza del dato senza ulteriore onere nell’amministrazione

Questo quanto affermato da Steve Almy, product manager per RHEL.

Inoltre, la possibilità di creare snapshot avviabili dei dischi a più basso livello permette di avere anche la sicurezza sul mantenimento del dato in caso di guasto (o di update andato male, considerando la frequenza di questo periodo). Già, perchè dalla versione RHEL 7.5 Beta la capacità di generare snapshot avviabili è stata abbassata a livello di block device, rendendola indipendente dal filesystem che si decide di creare sul disco.

Altro punto molto importante è l’accelerazione degli automatismi in fase di remediation ai problemi di sicurezza (siano essi “pubblici” o di mancata compliance con quello che è lo standard definito in azienda). Già da tempo RHEL è totalmente compatibile OpenSCAP (Open Security Content Automation Protocol), un metodo per monitorare i sistemi ed avvisare autonomamente quando vengono rilevate anomalie di sicurezza su di essi, riducendo gran parte del lavoro manuale per l’identificazione di falle.

RHEL 7.5 Beta fa un passo ancora in più, estendendo OpenSCAP con Ansible!

As IT deployments grow larger and larger, the ability to remediate compliance issues at scale is critical. This need is addressed in Red Hat Enterprise Linux 7.5 Beta with the ability to generate Ansible playbook content from OpenSCAP to remediate compliance issues.

Con la crescita sempre più grande delle infrastrutture IT, l’abilita di rimediare a problemi di compliance su larga scala è critica. Questo bisogno viene soddisfatto in Red Hat Enterprise Linux 7.5 Beta con la possibilità di generare dai risultati di OpenSCAP dei playbook Ansible in grado di rimediare ai problemi di compliance

Insomma, non solo possiamo automatizzare il check di compliance della sicurezza, ma anche la sua risoluzione tramite Ansible. Insieme ad una soluzione parallela quale Satellite/Spacewalk, che tra le tantissime cose che fa si occupa anche di avvisare ed automatizzare l’applicazione di patching provenienti da Errata, si riesce quasi ad automatizzare la security dell’infrastruttura a 360 gradi; non male!

Novità succose dunque per l’azienda dal cappello rosso, e grazie alla sua impronta open source, presto vedremo tutte queste novità riflettersi su distribuzioni meno commerciali e, chissà, anche sui nostri amati portatili.

Siete curiosi?

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l'HA e l'universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

Tags: , , ,