Hoş geldiniz, Ziyaretçi
Kullanııcı Adı: Parola: Bilgilerim hatırlansın
  • Sayfa:
  • 1

KONU:

Büyük Ölçekli Yapılarda Merkezi Kayıt (Log) Yöneti 5 yıl 2 ay önce #214

Büyük ölçekli bir kurumda bir güvenlik olayı gerçekleştiğinde ilk bakılan yer sistemdeki kayıtlardır. Peki, olayı aydınlatabilecek olan sistem kayıtları tutulmuş mudur? İstenildiğinde bu kayıtlar nereden temin edilir? Tutulan kayıtlar doğru mudur?

Çoğu zaman bu soruların cevapları olması gerektiği gibi değildir. Merkezi kayıt yönetimi projelerinin temel gayesi bu sorulara cevap verebilmektir. Hatta bir adım daha ileri giderek, güvenlikte izlenebilirliği sağlamaktır.


Merkezi Kayıt Yönetim Projelerinin Fazları
Büyük ölçekli yapılardaki merkezi kayıt yönetimi projelerinde detay oldukça fazla olduğu için projeyi fazlara bölerek yol almak en doğru yaklaşımdır. Projenin gerçekleştirilmesi temelde yedi fazda düşünülebilir. Bunlar sırasıyla;

İhtiyaç belirleme ve ölçeklendirme

Şartname oluşturma ve ihale

Cihaz yapılandırmaları

Kayıtların merkezi kayıt yönetimi sunucusuna aktarılması

Kayıtlar arasında ilişkinin kurulması ve senaryoların kurgulanması

İlişkilendirme (korelasyon) kurallarının yazılması ve alarmların tayin edilmesi

Raporların hazırlanması

şeklinde düşünülebilir. Bu fazların ilk dördünü bu yazıda ele alınacaktır.

İlk Faz - İhtiyaç Belirleme ve Ölçeklendirme
Merkezi kayıt yönetimi projesi gerçekleştirmeye karar verildiğinde, projenin amacının net olarak ortaya konulması ve hangi kayıtların toplanacağının belirlenmesi projenin ölçeklendirmesinde en önemli iki kriterdir.

Merkezi kayıt yönetimi projelerinin temelde gayesi sistem ve bilgi güvenliğinde olay yönetiminin sağlanması ve raporlanması olarak düşünülebilir. Burada önemli olan nokta, proje amacının sistem arıza kayıtlarının izlenmesi değil, güvenlik kayıtlarının izlenmesi ve ilişkilendirilmesi olduğu unutulmayarak kapsamı genişletmemektir. Projenin başında bu ayrımı tüm proje paydaşlarına ve kullanıcılara anlatmak, şartname öncesinde kapsamı netleştirmek bakımından önemlidir.

Projenin ölçeklendirilmesindeki ikinci unsur hangi kayıtların toplanacağının belirlenmesi ve her kayıt türüne özel alınan örnekler üzerinden kapsam tahmininde bulunmaktır.

Bu aşamada kurum veya firmanın yükümlü olduğu regülasyonlara bakılmalıdır. Kayıt tutma ihtiyacı, standartlara bağlı olarak farklı farklı tanımlanabilmektedir. Örneğin PCI/DSS (Payment Card Industry Data Security Standart) 10. madde için gerekli olan güvenlik kayıtları ile Telekom sektöründe geçerli olan BTK’nın yayınladığı Kişisel Verilerin Gizliliği Yönetmeliğinin 5.4. maddesi gereğince istenen kayıtlar farklılık göstermektedir. Yükümlü olunan standartların kayıt tutma altyapısı karşılandıktan sonra, sistemler/uygulamalar üzerindeki kimlik doğrulamalar, kullanıcı yetkilendirmeleri ve yetkilerin geri alınması, kritik verilerin okunması, yazılması, değiştirilmesi, silinmesi gibi yapılan işlemlerin kayıt altına alınması esastır.

Merkezi kayıt yönetimi projesinde kapsamı belirlemek için toplanacak kayıtlarda gözlenmesi gereken birkaç unsur mevcuttur. Bunlardan ilki cihaz bazında ortalama kayıt sayısıdır. İkinci olarak bu kayıtların ortalama olarak ne kadar büyüklükte olduğudur. Son olarak kayıt üretmeyen fakat yapılandırması yapılacak sistemlerin benzer özellik gösterenlerle kıyaslanarak bir tahminin yapılmasıdır. Bu ölçümler sonrasında kullanılacak veri depolama alanının ne kadar olması gerekeceği ve saniyede kaç kayıt işleneceğiyle (EPS - Event Per Second) ilgili bir fikir oluşacaktır.

İkinci Faz – Şartname Oluşturma ve İhale
Şartname oluşturma aşamasından önce ürünlerin yeteneklerini görmek ve sorun olabilecek noktaları teşhis edebilmek adına, ürünün danışmanlık firmalarının oluşturduğu raporlarını incelemek ve deneme kurulumu (Proof of Concept) kapsamında ürünleri tanımak faydalı olacaktır.

Deneme kurulumu kapsamında değerlendirilen ürün kadar ilgili firmanın yaklaşımı, çözüm geliştirme sürecinin değerlendirilmesi de önem arz etmektedir.

Şartname hazırlarken, saniyede işlenecek kayıt sayısı ve kayıtların merkezi sunucuya iletilmesi konuları değerlendirilmesi gereken öncelikli başlıklardır. Bazı ürünlerde saniyede işlenecek kayıt sayısı, sadece kaydın toplanması anlamına gelirken (kayıt ilişkilendirme, kayıt ayrıştırması sonrasında farklı bir birimde yapılır), diğerlerinde ise hem toplanması hem de ilişkilendirme yapılacak kayıt sayısını tanımlar. Bu ayrım fonksiyonel olarak ayrıştırılmamış çözümlerde performans sorununa neden olabilir. Şartnamede fonksiyona göre ayrıştırma imkanı veren (kayıt toplama, kayıt arşivleme, ilişkilendirme, raporlama) bir yapı belirtilmesi önemlidir. İleride ihtiyaç halinde, mimaride yatay genişlemeye müsait altyapı, fonksiyon olarak ayrıştırılmış kurgu ile daha kolay olacaktır.
Kurulum testlerinde, saniyede işlenen kayıt sayısı kadar, kayıtların karmaşıklığı da önem taşımaktadır. Çünkü karışık kayıtların ayrıştırılmasında kullanılan düzenli ifadelerin (regular expression) sayısı ve karmaşıklığı standart kayıtlara göre daha fazladır. Bu da merkezi kayıt yönetiminde performansı zorlayan bir etkendir.

Merkezi kayıt yönetimi ürünlerinde bir diğer önemli konu da, kayıtların uç noktalardan merkezi sunucuya aktarımının nasıl gerçekleştirileceğidir. Ürünler ajanlı veya ajansız şekilde kayıtları toplamaktadır. İki metodun da avantajları ve dezavantajları vardır. Ürünler satın alınmadan önce bunların özenle değerlendirilmesi gerekmektedir.

Ajanlı yapılarda ajanın kayıt toplanması düşünülen sunucu üzerine kurulması veya ajan olarak kullanılacak farklı bir sunucuda yapılandırılması gerekmektedir. Ajanın kayıt toplanacak sunucular üzerinde yapılandırılmasının bakım maliyeti, kontrol zorluğu, sunucunun kaynaklarını tüketmesi gibi dezavantajları vardır. Bu yüzden ajanlı yapılarda genelde ajan için ayrı bir sunucu ayarlanır ve kayıtları benzer özellikteki olan sunucuların kayıtları bu sunucuda toplanır (WMI ile toplanan Windows Güvenlik Kayıtları gibi). Ajan üzerinde toplanan kayıtlar, ağ üzerindeki trafiği azaltmak için bir sıkıştırma algoritması ile sıkıştırılarak merkezi sunucuya iletilir. Şartnamede eğer ajanlı yapı tercih edilecekse; kayıtların sıkıştırılması, şifreli iletilmesi ve merkezi sunucudan yönetilmesi avantaj olarak düşünülebilir.

Ajansız yapıların avantajı fazladan kaynak tüketimi ve bakım maliyetinin daha az olmasıdır. Bunun yanında dezavantajları, kayıt toplamadaki tutarsızlıklar ve ağ trafiğindeki artış ile ilgilidir. Ajansız yapılan kayıt toplamalarda kullanılan bazı protokoller UDP tabanlı olup, protokolün yapısından dolayı kayıtlarda bazı kayıplar yaşanabilmektedir. Ayrıca kayıtlara sıkıştırma uygulanmadığı için ağ trafiğinde bir yoğunluk meydana gelecektir.

Şartnamede dikkat edilecek bir diğer konu da kayıt ilişkilendirme kurallarının farklı senaryolarda nasıl işlediğinin tespit edilmesidir. Değişken sayısının ve işlem çeşidinin (ve, veya, içinde, içinde değil gibi) fazla olduğu bir senaryoyu, farklı kayıt türlerinin ilişkilendirilmesiyle denemek, ürünün bu alandaki kabiliyetini ölçmeye yardımcı olacaktır. Kayıt ilişkilendirme sonucunda üretilen alarmların gecikmesiz oluşması da, en az kayıt ilişkilendirme kurallarının düzgün çalışması kadar önemlidir. Zira senaryo gerçekleştikten kısa süre sonra ilgili sistem yöneticisinin konuyla ilgili önlem alması gerekebilir.

Üçüncü Faz - Kayıtları Tutulmayan Sistemlerde Yapılandırma
Çoğu kurum ve firmada kayıtların ne ölçüde tutulduğu bir olay yaşanana kadar kesin olarak bilinmez. Bunun birçok nedeni vardır; birincisi kayıt tutmada yapılan yapılandırmanın detaylı olması ve performansa olan olumsuz etkisidir, ikincisi kayıtlar için gereken yer sıkıntısıdır. Bir diğeri de kayıtlara sadece olay sonrası analizlerde bakılması ve kayıt analizinin güvenlikte reaktif bir tedbir olarak düşünülmesidir. Merkezi kayıt yönetimi projelerinde ise bu yaklaşımın değiştirilmesi esas alınır. Bir olay olduğunda, kayıtların kurgulanan kayıt ilişkilendirme kuralları işletilerek olay olduğu anda haber veren bir mekanizma haline getirilmesidir. Böylece kayıt analizi reaktif bir yaklaşımdan proaktif bir korumaya dönüştürülmüş olur.

Günümüzde kayıt yönetimi denildiğinde birçok standartta ve yasada adının geçtiğini görebiliriz. 5651 Sayılı Yasa, SOX (Sarbanes Oxley), PCI DSS (Payment Card Industry Data Security Standart), ISO 27001, BTK Kişisel Verilerin Gizliliği Yönetmeliği bunlardan birkaçıdır. Temelde istenen; hangi veriye kim tarafından erişildiği, verinin kim tarafından işlendiği veya verinin kim tarafından kullanıldığının ispatıdır. Tabii üretilen bu tür kayıtların uygun bir şekilde saklanması da kayıtların üretilmesi kadar önemlidir. Zira burada kayıtlar üzerinde değişiklik yapılmadığının yani kayıtın bütünlüğünün sağlandığının ibrazı önem arz etmektedir. Bunun için üretilen kayıtlar, merkezi kayıt yönetimine girdiğinde özet (hash) ve zaman damgası ile tutulmalıdır.

Merkezi kayıt yönetimi projesine başlanıldığında üretilen kayıtların toplanması yanında, üretilmeyen kayıtların varlığı da dikkat çekecektir. Burada en kritik kayıtlar kimlik doğrulaması yapan sistemler (IDM, AAA, kapı geçiş sistemleri), kurum içerisinde de geliştirilmiş veya paket olarak alınıp kullanılan uygulamalar, işletim sistemleri, ağ cihazları (güvenlik duvarları, saldırı tespit/saldırı engelleme sistemleri, içerik filtreleme, vekil sunucular), e-posta sunucuları, uygulama sunucuları ve veri tabanı sunucuları olarak düşünülebilir.

Bu kayıt noktaları yapılandırmasında sırasıyla aşağıdaki adımlar izlenir;

Kayıt kaynaklarında yapılandırılması gerekli olan kayıtlara karar vermek.

Yeni üretilecek kayıtların, sunucunun işleyişini aksatmaması için ilgili sunucunun disk, ağ, ram kontrolünü yapmak ve diskte kayıtların yazılacağı alanın boyutunu belirlemek.

Kayıtlar için belirli bir disk alanı ayırmak ve tolerans değeri tanımlamak. (Diskin %5’i gibi) Bu alan kayıtların uzak bir sunucuya aktarılamaması durumunda kullanılacak alandır.

Yapılandırma için gerekli parametrelerin sunucularda ayarlanması.

Sunucularda kayıtların üretilmesi için gerekli yapılandırma gerçekleştirildikten sonra, herhangi bir sorunun olup olmadığının izlenmesi.

Merkezi kayıt yönetimi sunucusuna aktarma için kullanılacak metoda karar verilmesi ve kayıt toplama metoduna ilişkin ajan kurulumunun yapılması veya ajansız kayıt toplama yapılandırılmasının sunucularda gerçekleştirilmesi.

Dördüncü Faz - Kayıtların Merkezi Kayıt Yönetimi Sunucusuna Aktarılması
Üretilen kayıtların özet (hash) ve zaman damgası ile merkezi kayıt yönetimi sunucusunda tutulması, bu kayıtların ayrıştırılarak (parse) kayıt ilişkilendirme kuralları ve raporlar için kullanılması gerekmektedir. Bunun için kayıtların belirlenecek uygun metotlarla merkeze aktarılması gerçekleştirilir.

Kayıtların merkezi sunucuya aktarımında dikkat edilmesi gereken hususlar, seçilen metodun ortam alt yapısı gözüne alınarak seçilmesi ve kullanılacak metodun kolay izlenebilmesi olarak düşünülebilir.

Seçilen metodun ortam değişkenlerine uygun seçilmesi kayıt kaybı gibi durumlarla karşılaşılmaması açısından önemlidir. Örnek vermek gerekirse ağda sık kesilmelerin yaşandığı bir veri merkezinde, bir dosyanın uzaktaki bir noktaya syslog mesajına çevrilerek iletilmesi sıkıntı oluşturabilir. Zira syslog protokolü UDP 514 üzerinden çalışan bir protokoldür ve TCP bağlantısı olmadığı için güvenli (reliable) bir veri aktarma metodu değildir. Fakat diğer taraftan bakıldığında, ağ trafiğinin sağlıklı olduğu bir ortamda syslog kullanılması mantıklı olabilir. Çünkü TCP trafiği güvenli (reliable) olduğu kadar, asılı kalan bağlantılar düşünüldüğünde soruna neden olabilir.

Metot belirlerken dikkat edilecek bir diğer konu da kayıt almada herhangi bir kesinti oluştuğunda izlenebilirliğin kolay olmasıdır. Ajanlı yapılarda, bu sorun genellikle ajanın merkezi kayıt yönetimi sunucusuna kayıt gelmediğine dair bildirimiyle çözülür. Kayıt gelmediği durumlarda, merkezi kayıt yönetimi sunucusu içeride ayrı bir izleme modülü ile veya halihazırdaki kayıt ilişkilendirme motorunu kullanarak ilgililere alarm üretir. Ajansız yapılarda ise, kayıtların gelmediğine dair ajan alarmları ile denetim olmadığı için kayıtların gelip gelmediğinin denetimi daha zordur.

Öte yandan ajanlı yapılarda UDP ile alınan (syslog, snmp) kayıtların gelmediği durumlarda iki durum söz konusudur. Birinci durum, kayıt gelmesi ile ilgili ağda veya sunucuda problem olmasıdır (servisin çalışmaması veya sunucuda sorun oluşması). İkinci durum ise uzun süredir kayıt üretilmemesidir. Ajanlı yapı dahi olsa bu ayrımı belirleyebilmek yanlış alarmları önleyecektir. Bu sorunu aşmak için ajan tarafında çalışma saatlerine veya sistem kullanım alışkanlıklarına özel kayıt eşik değerleri tanımlanabilir. Örneğin “Çalışma saatlerinde yarım saatte bir adet kayıt gelmediyse veya çalışma saatleri sonrasında altı saatte bir adet kayıt gelmediyse alarm üret.” şeklinde bir tanımlama yapılabilir.

Sonuç
Kayıt yönetimi ile tek bir merkezde kayıtların toplanması, güvenlikteki görevlerin ayrılığı ilkesinin yerine getirilmesini sağlar. İşi yapan ve kontrol eden ayrıştırılmış olur. Ayrıca standartlar tarafındaki gereksinimler yerine getirilmiş ve özellikle büyük ölçekli yapılardaki güvenlikte izlenebilirlik yönetilmiş olur.

Büyük ölçekli yapılarda doğru işleyen bir olay yönetimi için olmazsa olmaz unsurlardan biri merkezi kayıt yönetimidir ve tasarımının baştan iyi yapılıyor olması gerekir.

Lütfen sohbete katılmak için Giriş ya da Hesap açın.

  • Sayfa:
  • 1
Sayfa oluşturma süresi: 0.209 saniye

NDK Hoş Geldin

Ders Kafe Anketi

Uzaktan Eğitim sistemini hangi cihazlardan takip ediyorsunuz?

loader
Bu anket sona erdi Oca 04 2021 at 08:00 PM
Tüm anketleri görüntüleyin