Článek přečtěte do 4 min.

Při hodnocení produktů kybernetické bezpečnosti je snadné zaměřit se na povrchní funkce, jako jsou dashboardy, upozornění a integrace. Skutečná síla však často spočívá hlouběji, v samotné architektuře. Jednou z integrovaných funkcí, která demonstruje přísné principy bezpečnostního návrhu, je Security-Enhanced Linux (SELinux). 

SELinux, původně vyvinutý americkou Národní bezpečnostní agenturou (NSA) a uvolněný pro komunitu open-source, je framework pro povinné řízení přístupu (MAC) zabudovaný do linuxového jádra. Vynucuje přísná pravidla řízená politikami, která řídí, jak aplikace, služby a uživatelé interagují se systémovými prostředky, což z něj činí silnou obranu proti eskalaci oprávnění, laterálnímu přesunu a zero-day exploitům. 

Pokud produkt kybernetické bezpečnosti, který hodnotíte, obsahuje SELinux, zejména v režimu vynucení, je to silný ukazatel architektonické vyspělosti a proaktivního potlačování hrozeb. 

Co dělá SELinux jiným a lepším? 

SELinux označuje každý proces a soubor bezpečnostním kontextem a používá předdefinované zásady k řízení jejich interakce. Na rozdíl od tradičních řízení přístupu, které se spoléhají na uživatelská oprávnění, SELinux vynucuje bezpečnostní zásady pro všechny uživatele a procesy, a to i pro ty s oprávněními root (správce). 

To je důležité, protože to brání útočníkům ve zneužití root přístupu k bočnímu pohybu, odcizení dat nebo deaktivaci bezpečnostních kontrol. SELinux v podstatě odstraňuje status „superschopnosti“ roota a vynucuje bezpečnostní hranice, které jsou definovány zásadami, nikoli oprávněními. 

To znamená, že i když útočník získá privilegovaný (neboli root) přístup, SELinux mu může zabránit v provádění neoprávněných akcí, které se odchylují od předem nastavených zásad. Tato úroveň zabezpečení jde nad rámec detekce a zahrnuje prevenci na úrovni operačního systému. 

Jak funguje SELinux 

SELinux běží v několika režimech: 

  • Zakázáno: Neaktivní, žádné vynucování zabezpečení. 
  • Povolení: Zaznamenává porušení, ale neblokuje je; užitečné pro testování. 
  • Vynucování: Aktivně blokuje neoprávněné akce na základě zásad. 
  • Přísné vynucování: Označuje režim vynucování v kombinaci s přísnou politikou, která je vynucována ve výchozím nastavení. 

Produkty, které provozují SELinux v režimu přísného vynucování, nabízejí ochranu procesů a zdrojů systému v reálném čase. Oblast útoku je minimalizována, což útočníkům výrazně ztěžuje pohyb v systému. Každý uživatel, služba a démon podléhá povinnému řízení přístupu s nejnižšími oprávněními. Přísné vynucování se obvykle používá ve vysoce zabezpečených prostředích (např. vláda, finance, obrana), kde žádný proces není ve výchozím nastavení důvěryhodný a každá interakce musí být explicitně povolena zásadami. 

I když nebudete SELinux konfigurovat sami, je užitečné pochopit, jak ho dodavatelé jako Ivanti používají k posílení svých produktů: 

  1. Spuštění v permisivním režimu: Začneme pozorováním chování systému v rámci politik SELinuxu, aniž bychom cokoli blokovali. 
  2. Rozsáhlé testování: Zaznamenáváme porušení, identifikujeme legitimní operace a zdokonalujeme zásady, abychom se vyhnuli falešně pozitivním výsledkům. 
  3. Vývoj vlastních zásad: Zásady jsou přizpůsobeny architektuře produktu a případům použití. 
  4. Laboratorní ověření v režimu vynucování: Před vydáním testujeme SELinux v režimech vynucování a striktního vynucování za simulovaných reálných podmínek. 

Tento proces zajišťuje, že SELinux zvyšuje zabezpečení bez narušení funkčnosti a že uživatelé získají optimální ochranu bez kompromisů ve výkonu. Výše ​​popsaný proces navíc probíhá pro každé vydání posebej – to znamená, že s vývojem softwaru na novější verze je nutné zásady SELinuxu testovat, ladit a opakovat s každou novou verzí softwarového produktu. 

Tento proces je časově náročný a vyžaduje značné vývojářské zdroje pro správné provedení. Pouze nejodhodlanější a nejmodernější dodavatelé zabezpečení konfigurují SELinux s přísným vynucováním. 

Příklad z praxe: Nasazení Oracle Linuxu

Oracle Linux podporuje SELinux v režimu vynucení a je široce používán k zabezpečení databázových prostředí Oracle a úloh v infrastruktuře Oracle Cloud. SELinux pomáhá izolovat procesy, vynucovat minimální oprávnění a chránit citlivá data před neoprávněným přístupem – a to i v komplexních podnikových nasazeních. 

Pro kupující to znamená, že produkty postavené na Oracle Linuxu s povoleným SELinuxem, včetně Ivanti Connect Secure, jsou již odolné vůči mnoha třídám útoků. (Další podrobnosti naleznete v oficiální příručce společnosti Oracle.) 

Bezpečnostní technologie, která přináší obchodní hodnotu 

Když je SELinux integrován do řešení kybernetické bezpečnosti, technologie přináší strategické výhody, které jsou v souladu s prioritami podniku. 

  • Připravenost na audit a dodržování předpisů: SELinux zaznamenává každý pokus o přístup, ať už úspěšný nebo zamítnutý, a vytváří tak bohatou auditní stopu. Vynucování předpisů a auditní stopa SELinux pomáhají splňovat regulační požadavky, jako je CIS Level-1/2 Hardening, STIG, NIST-800 a další předpisy, které vyžadují zabezpečení systému.
  • Granulární řízení přístupu: Na úrovni procesů jsou vynucována podrobná pravidla, která omezují přístup i pro uživatele root. To snižuje riziko eskalace oprávnění a hrozeb zevnitř, což je obzvláště důležité v prostředích s citlivými daty nebo složitými uživatelskými rolemi. 
  • Snížená plocha pro útok: SELinux izoluje procesy a vynucuje přístup s nejnižšími oprávněními, což zabraňuje laterálnímu pohybu v rámci systému. Tato strategie omezování je klíčová pro omezení dosahu jakéhokoli narušení. SELinux blokuje neoprávněné akce na úrovni operačního systému, což útočníkům ztěžuje zneužití zranitelností, včetně zero-day útoků.
  • Zajištění na podnikové úrovni: Dodavatelé jako Ivanti, kteří ve svých produktech používají SELinux, prokazují významný závazek k osvědčeným bezpečnostním postupům. Tento přístup podporuje řízení rizik, zvyšuje důvěru a výrazně odlišuje řešení na konkurenčním trhu. 
  • Provozní stabilita: Pokud jsou zásady správně vyladěny, SELinux pracuje tiše na pozadí a vynucuje zabezpečení bez ovlivnění výkonu, což je ideální pro kritická prostředí, kde záleží na provozuschopnosti.

Závěrečné myšlenky o hodnotě SELinuxu

Kupující, kteří hodnotí produkty kybernetické bezpečnosti, by se měli dívat za hranice povrchních funkcí a zeptat se, co chrání systém v jeho jádru. SELinux je jednou z těch technologií skrytých pod kapotou, které nenápadně vynucují skutečnou ochranu, blokují neoprávněné akce (i od privilegovaných uživatelů) a zadržují hrozby dříve, než se rozšíří. 

Jeho přítomnost v produktu signalizuje zesílenou architekturu, proaktivní kontrolu hrozeb a dodavatele, který bere integritu systému vážně. Nebudete si ho sami konfigurovat, ale budete z něj těžit pokaždé, když se nějaký exploit nezdaří. 

Ivantiho závazek k bezpečnosti

Ivanti byla jednou z prvních společností, které v roce 2024 podepsaly závazek CISA Secure by Design“. V rámci tohoto úsilí Ivanti značně investovala do posílení produktu Connect Secure, modernizace jeho operačního systému a začlenění zabezpečení do všech úrovní vývoje.  

Jádrem vývojové filozofie společnosti Ivanti je náš Bezpečný životní cyklus vývoje softwaru (SSDLC), který umožňuje sedm klíčových prvků bezpečného návrhu softwaru: Zabezpečení jako kód (SaC), Bezpečnost ve výchozím nastavení (Security by Default), Nejmenší oprávnění (Least Privilege), Oddělení povinností (SoD), Minimalizace oblasti útoku (ASA), Kompletní mediace (Complete Mediation) a Bezpečné selhání (Failing Securely). Ivanti se navíc řídí vlastním přísným standardem bezpečného vývoje aplikací (Secure Application Development Standards), který nařizuje dodržování standardů OWASP pro ověřování bezpečnosti aplikací (ASVS). Tyto přísné rámce společně zajišťují, že každá funkce produktu je navržena a implementována s primárním ohledem na bezpečnost, a zákazníkům tak poskytují řešení, která splňují nejvyšší oborové standardy. 

Zdroj: Ivanti