Esistono in commercio diversi "tools" che, opportunamente configurati e con diverso impatto sulle infrastrutture, consentono di tenere sotto controllo il funzionamento dei servizi ritenuti importanti dal punto di vista della Sicurezza IT. Basti pensare che un qualsiasi strumento che sappia monitorare un nostro Web Server può dare immediatamente l'allarme in caso di un attacco "Denial of service".
Come in ogni decisione nel campo IT, bisogna però considerare due aspetti:
- l'impatto del nuovo strumento sulle infrastrutture esistenti (rete, server, hardware e software): quanto traffico genera? quanto carico aggiuntivo impone ai sistemi sotto controllo? richiede l'installazione di "agent"? ha requisiti o limiti di architettura? richiede hardware aggiuntivo, e di che tipo/costo? ultimo ma non ultimo: chi controlla il "controllore"?
- l'impegno di risorse umane e skill richiesto per rendere efficace il nuovo strumento: quanto è facile da installare, imparare a usarlo, configurarlo in maniera opportuna? che tipo di "human interface" mette a disposizione? quali cambiamenti organizzativi eventualmente richiede? ha una "learning curve" abbordabile o proibitiva (relativamente all'ambiente in cui va inserito)?
Infine non è da trascurare un'aspetto forse abbastanza cruciale, nella valutazione dello strumento: che tipo di "allarmi" è in grado di attivare? cruscotto (pull)? e-mail? sms?
Avendo in mente tutte queste considerazioni, posso affermare che fra i prodotti "open" (per la precisione sotto licenza GPL) uno strumento efficace è "Nagios".
Impatto: il traffico in rete generato è trascurabile, così come il carico sul sistema di controllo e sui sistemi da controllare; salvo casi particolari, non richiede l'installazione di "agent" sui sistemi/nodi da controllare; l'archietettura è flessibile e linearmente scalabile, modulare e aperta a facili integrazioni; l'hardware necessario si limita ad un server Linux (anche virtuale) connesso in LAN, con limitate esigenze di CPU e memoria; in ambienti "fault tolerant" è possibile installare due o più sistemi controllori, in modalità collaborativa (load sharing e fail-over automatico)
Impegno: sono richiesti skill Linux (sistemista) per l'installazione, gestione e configurazione, oltre che di rete e sicurezza (base); Nagios offre un'interfaccia web per il monitoring (cruscotto di controllo) e gestione, supporta in maniera nativa allarmi via e-mail e/o sms
Difficoltà: la configurazione avviene tramite files di testo; esistono comunque tools "esterni" di configurazione con interfaccia grafica basati su database
Riferimenti:
www.nagios.org