Logihalduse lahendus - LogStack

Logihalduse lahendus - LogStack

Logihaldus on aegade algusest olnud väga kulukas igasuguse ressursi osas ning arvestades selle keerukust, ei ole suur osa logihalduse projektidest ka edukad - projekt jääb pooleli, lõpetatakse või rakendatakse ainult osaliselt.

Logihaldus on eriti tänases muutuvas maailmas, kus küberturbe ja andmekaitse maastik on muutunud-muutumas, väga oluline, sest see on ainuke allikas, mille abil saab analüüsida ja tuvastada ohtusid, ründeid või lekke allikaid.

ByteLife on kogu oma eksistentsi olnud innovaatiline ja toonud turule lahendusi, mis on paljuski kõigil mõttes kuid ei ole rakendatud – selles osas ei ole ka logihaldus teistsugune.

Oleme oma logihalduslahenduse toote, LOGSTACK, arendanud põhimõttel, et klient maksab teadmise ning kogemuse eest ning litsentsid on vabavara ning tasuta. Meie väärtus ongi KOGEMUS, millega oleme paketeerinud lahenduse ning suudame 1-3 kuuga:

  1. Tarnida nullist esimesed tulemused
  2. Seadistada põhifunktsioonid nagu teavitused, raportid ja vaated
  3. Liidestada logiallikad mis on nii standartsed kui mitte-standardsed

ByteLife roll on aidata klientidel kiirelt juurutada LOGSTACK ilma „kuldsete käeraudadeta" nii tarkvara litsentside vaates kui teenusepakkuja vaates, kuna juurutuse käigus koolitame välja ka kliendi, kellel on võimalus lahenduse haldus ja kasutus igal hetkel üle võtta.

Kahjuks tänases maailmas põhimõte „Pole logisid, pole probleeme" ei kehti ja sellega tegelema hakata siis, kui on suurem intsident, on hilja. Investeeringute vaates oleme teinud lahenduse vägagi taskukohaseks mida illustreeriks järgnev hinnastusmudel:

  1. Tarkvara litsentsid ja edaspiding hooldustasu litsentsidele: 0.- eur
  2. ByteLife ühekordne paigaldus (LogStack Standard): 4 125.- eur
  3. ByteLife 3 kuud tugiteenus (LogStack Standard): 1 375.- eur kuus

Müstika logihalduse kallidusest – see on kummutatud ByteLife poolt standardiseeritud LOGSTACK lahendusega. Usume, et LOGSTACKi annab olulise lisaväärtuse ja seda mitte ainult küber või IT (sh. rakenduste, arenduse vms. Igapäevane haldus) vaid ka andmekaitse seisukohalt

LogStack Teenus

LogStack Teenus

Teenuse eesmärgiks on paigaldada ja häälestada ISKE-le vastav keskne logide kogumise ja töötlemise keskkond – LogStack. LogStack võimaldab koguda logisid üle kogu IT infrastruktuuri:

  • serverite failidest push (või erandina pull) turvalise transpordikanaliga,
  • võrguseadmetes või muudest allikatest üle syslog protokolli.

Võimekused ja eelised

  • Kogutud logid normaliseeritakse ja indekseeritakse, mis teeb võimalikuks nende kiire töötlemise: otsingud, korrelatsiooni ja visualiseerimise.
  • Kasutajaliideses on juba valmis vaated ja dashboard-id erinevate logitüüpide koheseks analüüsiks.
  • Häälestatakse logisündmuste automaatanalüüs ja teavitused anomaaliate ning kriitiliste turvasündmuste puhuks.
  • Primaarseks kasutajaliideseks on veebipõhine liides, mis võimaldab ka paindlikku andmetele ligipääsu juhtimist (RBAC).
  • LogStack arhitektuuri loomisel ja paigaldamisel on eesmärgiks võetud sobivus ISKE M-taseme infrastruktuuri ja selle kõikide nõudmiste rahuldamiseks.
  • Kõik LogStack-i sisesed ja välised ühendused on turvatud (autenditud ja krüpteeritud) sisemise PKI-ga.
  • Logiallikate kiireks liidestamiseks on valmis vahendid ja protseduurid.
  • Teenuse loomiseks kasutakse klasterdatud Elasticsearch ja sellega seonduvaid komponente.

LogStack Arhitektuur

LogStack arhitektuuri peamised komponendid on analoogsed Elastic stackiga ja on toodud alloleval joonisel.

Järgnevalt on toodud LogStack teenuskomponentide poolt pakutav funktsionaalsus, nende kasutus on vastavalt vajadusele valikuline:

Edastusmoodulid

paigaldatakse logi tekitavale serverile (eelpaigaldatud LogStack serveritel), selleks on üldjuhul Elastic-u filebeat või winlogbeat, mis loovad kõrgkäideldava TLS ühenduse LogStackiga, üldjuhul Vastuvõtumooduli logstashiga ja Salvestusmooduli elasticsearchiga. Pilveserveritest logi kogumiseks võib kasutada ka pull-tüüpi edastust, kus kesksed Vastuvõtumooduli logstash moodulid ühenduvad pilveserveriga ja sünkroniseerivad logi. Edastusmoodulite paigaldamiseks ja häälestamiseks on loodud automatiseerimisvahendid, kasutakse ansible playbooke.

Vastuvõtumoodul

koosneb üldjuhul kolmest alamsüsteemist, millest igaüks on dubleeritud, eritüübiliste logide vastuvõtuks: 1. Syslogi-põhise logivoo vastuvõtuks üle TCP/UDP, puhverdamiseks ja eeltöötluseks, kasutab syslogng moodulit. Seda vajavad tihti võrguseadmed. 2. TLS-turvatud logivoo vastuvõtuks serveritest ja lokaalsest syslogng-mooduli puhvrist, selleks on üldjuhul Elastic-u logstash. Siin toimub info parsimine, normaliseerimine ja rikastamine vastavalt vajadusele. 3. Sõltumatu lokaalse logivoo vastuvõtu moodul logstash annab stabiilse logikanali LogStash enda logide käitlemiseks.

Salvestusmoodul

koosneb eraldatud Elasticsearch funktsioonidest: master, data ja coordination, igaühte skaleeritud vastavalt parimale praktikale ja nõudmistele, näiteks 3 node per funktsioon. Andmete käideldavuse tagamine on realiseeritud +1 liiasusega, st. sama logisündmus eksisteerib vähemalt 2-s erinevas Elasticsearch teenuskonteineris, mis jooksevad erinevates (virtuaal)serverites.

AAA moodul

on tihedasti integreeritud Salvestusmoodulisse ja tagab minimaalse vajaliku rollipõhise ligipääsu (RBAC) igale komponendile ja/või kasutajale, kes sellega liidestuda soovib. Standardhäälestuses hoitakse LogStack-i siseste moodulite kontosid (ca 10 eelhäälestatud rolli) lokaalses andmebaasis ja inimkasutajate (3 eelhäälestatud rolli) ligipääsu juhtimiseks integreeritakse see olemasoleva välise AAA-teenuse pakkujaga üle standartse turvalise protokolli, näit. LDAPs, kerberos, SAML, OpenID.

Varundusmoodul

on kasutatav kahes rollis: andmete varundamiseks eraldi süsteemi ja sealt taastamiseks ja vanemate andmete arhiveerimiseks ja süsteemi tagasitoomiseks. Varundamiseks ja arhiveerimiseks sobib ühendus välise salvestuspinnaga üle S3 või NFS protokolli. Varundus ja taastamine on võimalik suure granulaarsusega, näiteks filtreerides indeksi või kuupäeva alusel. Varundusmoodul toimib edukalt ka suure arvu (1000+) indeksite ja snapshottide korral.

Paigaldusmoodul

aitab teostada LogStack esialgse paigalduse võimalikult kiiresti. See sisaldab funktsioone (ansible playbooke) nii serverite infra teenuste (gfs, docker swarm), kui ülaltoodud kesksete teenuskomponentide ja Edastusmoodulite automaatpaigalduseks ja häälestuseks.

Alertingu moodulid

võimaldavad teostada logisündmuste automaatanalüüsi ja teatud tingimuste täitumisel genereerida ka kasutajateavitusi erinevatesse kanalitesse, näit e-mail, slack, ...

PKI moodul

varustab kõik LogStack teenust pakkuvad moodulid (näit elasticsearch, logstash, ..) x.509 sertifikaatidega. Seda võib kasutada iseseisva 2-tasemelise CA-na (rCA+iCA) või liidestada olemasolevasse PKI infrastruktuuri signeeriva Sub-CA-na.

Tervikluse tagamise moodul

(integrity) signeerib kõik logikirjed SHA256-ga jube enne salvestamist ning moodustab räsidest plokiahela-laadse struktuuri. Taustaprotsess kontrollib ka selle struktuuri terviklust ja annab häiret tervikluse kadumise korral.

Sünkroniseerimismoodul

võimaldab siduda kaks autonoomselt töötavat LogStack-I (tüüpiliselt eraldi andmekeskustes või pilvedes) nii, et mõlemas on igal ajahetkel (near-real-time) olemas kogu info. Kasutatakse kafka komponente.

Opereerimismoodul

sisaldab LogStack igapäevast haldust ja tõrkeotsingut lihtsustavaid komponente ja skripte.

LogStack Paketid

LogStacki juurutamiseks on 2 erinevat paketti

Omadus/Pakett Standard Premium
Esialgset kasutusjuhtude ja töövoogude analüüsi ning indeksite disaini Y Y
Logstack ülespanekut 3-node klasterlahendusena Y Y
Integreerimist olemasoleva AAA platvormiga ja RBAC häälestust Y Y
Esmaste standartsete logiallikata integratsioonide arv 5 10
Töövoo keskset dashboard-ide loomisi, kuni 3 6
Esmaste automaatanalüüsi reeglite ja alertide loomine 3 6
Lühikoolitust LogStack admistraatorile ja tavakasutajale (analüütik, süsadmin) Y Y
Võimalust paigaldada kaks autonoomset logikeskkonda eraldi saiti, mis on omavahel sünkroonis - Y
Võimalus kasutada tervikluse tagamise moodulit - Y
Võimalus kasutada 2 erinevat Alertimismoodulit - Y

LogStacki käitamistoeks on paketid analoogselt juurutamisele

Omadus/Pakett Standard Premium
LogStack platvormi tuge ja ligipääsu tarkvarauuendustele Y Y
Iganädalast logihalduse keskkonna ülevaatamist Y Y
Konsultatsioone, mida võib kasutada näiteks uute logiallikate liidestamiseks, vaadete või dashboardide loomiseks, alerimise häälestamiseks, tunde 6 10
Teenus Periood Hind € km-ta
LogStack Standard ühekordne ülesseadmistasu Ühekordne 4125,00 €
LogStack Standard igakuine haldustasu Kuutasu 1375,00 €
LogStack Premium ühekordne ülesseadmistasu per klaster Ühekordne 6875,00 €
LogStack Premium igakuine haldustasu per andmekeskus Kuutasu 2335,00 €

ByteLife LogStack lahendus on tellitav samadel teenustingimustel, hindadega ning funktsionaalsuses RIIGIPILVEST - Logide haldus (ByteLife).

Pakettide Kirjeldused

Pakettide Kirjeldused

LogStack Standard kirjeldus

1. Paigaldus

  • Esialgset kasutusjuhtude ja töövoogude analüüsi ning indeksite disaini
  • Logstack ülespanekut 3-node klasterlahendusena
  • Integreerimist olemasoleva AAA platvormiga ja RBAC häälestust
  • Kuni 5 esimese standardse logiallika integratsiooni
  • Kuni 3 töövoo keskset dashboard'i
  • Kuni 3 esimese hoiatusteate loomist
  • Lühikoolitust LogStack administraatorile ja tavakasutajale (analüütik, süsteemiadministraator)

2. Tugiteenus

  • LogStack platvormi tuge ja ligipääsu tarkvarauuendustele
  • Iganädalast keskkonna ülevaatamist
  • Konsultatsioone (6h kuus), mida võib kasutada näiteks uute logiallikate liidestamiseks, vaadete või dashboard'ide loomiseks, hoiatusteadete häälestamiseks

3. Mittestandardsetele allikatele

  • parserite loomist vastavalt ECS-ile, nendega seotud vaadete ja dashboardide loomist.

LogStack Premium kirjeldus

1. Paigaldus

  • Kõike, mis on paketis Standard
  • Võimalust paigaldada lahendus 2 eraldi sünkrooniseeritud saiti
  • Võimalust kasutada tervikluse tagamise moodulit
  • Võimalust kasutada 2 erinevat hoiatusteadete moodulit
  • Lisaks veel 5 esimest standardset logiallikat
  • Lisaks veel 3 töövoo keskset dashboard'i
  • Lisaks veel 3 esimese hoiatusteate loomist

2. Tugiteenus

  • LogStack platvormi tuge ja tarkvarauuendusi
  • Iganädalast keskkonna ülevaatamist
  • Konsultatsioone (10h kuus), mida võib kasutada näiteks uute logiallikate liidestamiseks, vaadete või dashboard'ide loomiseks, hoiatusteadete häälestamiseks

3. Mittestandardsetele allikatele

  • parserite loomist vastavalt ECS-ile, nendega seotud vaadete ja dashboardide loomist.
Kasutusjuhtumid

Kasutusjuhtumid

1. Turvaosakond,

kelle jaoks on keskne logihaldus, kust on ligipääs kõikidele infrastruktuuri ja rakenduste logidele, kriitilise tähtsusega turvaintsidentide kiireks avastamiseks ning operatiivseks analüüsiks.

2. IT arendus ja haldusosakonnad,

kelle jaoks on oluline anda lihtsa liidesega ligipääs just sellistele logidele, mis on konkreetsele rollile oluline, näiteks Windows administraator on huvitatud vaid oma Windowsi domeeniga setud logidest.

3. Compliance officer sh andmekaitse jne,

kellele on võimalik logide baasil luua raportid ja väljavõtted tegevustest, mis ei ole vastavuses ettevõttes kehtestatud poliitikaga ning mis võimaldavad ära hoida andmelekked

Lisateave

Varundus

Teenus suudab varundada logi-andmeid salvestusteenustesse, konfiguratsiooniandmete varundus on lahendatud teenusesiseselt.

Minimaalsed nõuded infrastruktuurile

Stardi-konfiguratsioon ühes saidis koosneb 3 virtuaalmasinast, mis vastavad järgmistele tingimustele: VM: g1.medium4 (2 vCPU, 12GB RAM, 40GB OS disk), 400 GB SSD, 1 TB HDD, OS: Centos 7, Docker

Teenuse kasutamise näited

X-Ministeeriumi haldusalas on 8 erinevat haldusüksust, 2 neist on suuremad ja omavad oma terviklikku IT tugisüsteemi ja ülejäänud 6-l on mõned üksikud teenused jagatud nii on-prem, kui ka pilves, samas napib neil resursse nii tuvavaldkonnas (vaid 2 turvainimest), kui ka IT halduse poolel, osa süsteemi administraatoreid teenindavad ka mitut haldusüksust. Logstack juurutamisel saaks logid kokku korjata kõikidest süsteemidest ja parandada oluliselt ministeeriumi turvataset – need 2 turvainimest saaksid nüüd ülevaate kõikide 6 allüksuse turvasündmuste kohta. Samuti saaks parandada SLA-d, kuna alerte probleemide tekkimisel genereeritakse ühtviisi igal pool ja tõrgete juurpõhjuse analüüs toimub kiiremini tänu lihtsale korrelatsiooni võimekusele. Seda kõike tänu LogStack paindlikule õiguste jutimise võimekusele.