No results found
Questa sezione dell’interfaccia utente web di Runecast Analyzer è molto importante perché riguarda l’analisi della configurazione dell’ambiente virtuale; allo scopo, include diverse visualizzazioni dei problemi di configurazione rilevati dalla scansione dell'intera infrastruttura virtuale e dall'analisi delle impostazioni di configurazione. Ciascuna vista offre la possibilità di esportare (in alto a destra dello schermo) i problemi mostrati nella tabella e permette anche di includere gli oggetti interessati che genereranno per ciascun oggetto interessato, i valori dei risultati degli oggetti.
Questa visualizzazione elenca tutti i problemi rilevati all'interno dell'infrastruttura virtuale scansionata derivati dagli articoli della Knowledge Base VMware.
Questa visualizzazione include le best practice del settore relative ai consigli di VMware. Ogni procedura consigliata viene confrontata con gli elementi di configurazione dell'infrastruttura virtuale scansionata. Se per tutti gli oggetti correlati viene rispettata una Best Practice, l'elemento della Best Practice viene contrassegnato come Pass; invece se la Best Practice non viene seguita per almeno uno degli oggetti interessati, viene contrassegnata come Fail.
L'espansione della sezione Best Practice mostrerà i dettagli sugli oggetti interessati e fornirà le impostazioni che non sono in linea con la relativa Best Practice.
Runecast Analyzer è costantemente aggiornato per rilevare le ultime vulnerabilità inerenti alle tecnologie supportate. La sezione Vulnerabilities è dedicata ad evidenziare qualsiasi vulnerabilità applicabile a tutti i sistemi connessi all’appliance Runecast. Un widget correlato che si trova nella dashboard principale fornisce una rapida panoramica della vostra esposizione alla vulnerabilità.
Questa sezione contiene le politiche di sicurezza e conformità relative a numerose linee guida, che nello specifico sono quelle di VMware, DISA STIG, PCI DSS, HIPAA, BSI IT-Grundschutz, CIS, NIST, GDPR, Cyber Essentials, Essential Eight e ISO 27001. Di seguito vengono descritte le singole sezioni distinte per linee guida.
Le regole di sicurezza visualizzate in questa vista sono tratte dalle guide ufficiali di VMware Security Hardening. La gravità delle relative segnalazionivaria in base al tipo di controllo di sicurezza:
Indipendentemente dalla gravità originale, alcune regole di sicurezza potrebbero non essere necessarie a soddisfare la politica di sicurezza dell'organizzazione sulle cui infrastrutture “vigila” Runecast. Potrebbe anche essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli che non sono inclusi nei criteri di sicurezza dell'organizzazione.
Ogni controllo di sicurezza può essere superato o fallito. Nei casi in cui è presente almeno un oggetto nell'infrastruttura che non è conforme a un controllo di sicurezza specifico, questo controllo verrà contrassegnato come non riuscito (Fail).
L'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati.
Le regole di sicurezza visualizzate in questa visualizzazione sono tratte dal sito Web ufficiale dell'Information Assurance Support Environment (IASE). La loro gravità varia in base al tipo di controllo di sicurezza che si esegue:
Indipendentemente dalla gravità originale, alcune regole di sicurezza potrebbero non essere necessarie per la politica di sicurezza dell'organizzazione. Potrebbe anche essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli che non sono inclusi nei criteri di sicurezza dell'organizzazione.
I risultati dell'analisi possono portare alla visualizzazione dei seguenti stati:
Sul profilo DISA STIG, è disponibile un rapporto aggiuntivo sotto il pulsante Export; l’esportazione della lista di controllo STIG (formato CKL) offre un file .zip che può essere importato nel visualizzatore STIG.
I requisiti e i controlli citati nel profilo sono tratti da PCI DSS v3.2.1 (maggio 2018). Le milestone visualizzate in questa visualizzazione sono tratte dall'approccio prioritario PCI DSS, il quale fornisce sei milestone di sicurezza (ossia sei punti chiave) che aiutano i produttori e altre organizzazioni che desiderano ottenere la conformità PCI DSS, a proteggere in modo incrementale dai fattori di rischio più elevati e dalle minacce crescenti. Le milestone vanno da 1 a 6, dove 1 è la priorità più alta e 6 è la più bassa, secondo quando descritto qui di seguito.
Indipendentemente dalla gravità intrinseca, non tutte le regole di sicurezza contemplate potrebbero essere necessarie e rientrare nelle policy di sicurezza dell’organizzazione analizzata da Runecast. Potrebbe anche essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.
PCI DSS contiene due tipi di regole (Customizable e Non-customizable): la principale differenza tra esse è che le regole personalizzabili consentono all'utente di modificare i valori predefiniti dei parametri, utilizzati dai controlli, a quelli desiderati. È possibile utilizzare una scheda filtro aggiuntiva denominata Customizable per selezionare rapidamente uno dei due tipi. Per modificare i valori predefiniti, espandete la regola contrassegnata come Customizable e andate alla scheda Customize. È disponibile una breve nota che descrive lo scopo dell'impostazione e il suo valore predefinito.
Fate clic sul pulsante Add Custom Value, inserite il valore personalizzato nel campo dedicato e selezionate un oggetto di inventario che verrà valutato rispetto al nuovo valore. Selezionando un oggetto padre, il valore verrà propagato ai suoi figli. Dopo aver cliccato sul pulsante Save potrete visualizzare una nuova riga che presenta l'oggetto in questione, il valore personalizzato, il nome utente e l'ora in cui ha aggiornato il valore. È possibile aggiungere più valori a diversi oggetti dell'inventario, ricordando che un valore impostato sull'oggetto figli riscriverà il valore impostato a livello padre. Al termine della personalizzazione, non dimenticare di analizzare l'ambiente in modo da considerare i nuovi valori. Ciascuna delle regole personalizzate verrà contrassegnata con un segno C nella colonna Stato del risultato.
Ogni controllo di sicurezza può restituire un risultato Fail o Configured, tenendo presente che basta che un solo oggetto nell'infrastruttura non sia conforme a un controllo di sicurezza specifico, per far sì che tale controllo venga contrassegnato come Fail. L'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati. Un risultato Configured significa che non ci sono oggetti che non hanno superato il controllo specifico, ma ciò non significa che sei completamente conforme all'intero requisito o controllo PCI DSS.
Sul profilo PCI DSS, è disponibile un rapporto aggiuntivo sotto il pulsante Esporta: si tratta del Consolidated host report, un report che offre una panoramica migliore di tutte le regole PCI DSS non riuscite o superate per ogni vCenter, a livello di cluster ed ESXi.
Questo profilo si riferisce all'Health Insurance Portability and Accountability Act del 1996 (HIPAA) pubblicato dalla Segreteria del U.S. Department of Health and Human Services (HHS) degli Stati Uniti.
Le organizzazioni (denominate "covered entities") devono mettere in atto salvaguardie tecniche per proteggere le "informazioni sanitarie protette elettroniche" (e-PHI) degli individui. Il profilo elenca le salvaguardie tecniche rilevanti nell'infrastruttura virtuale che vengono automaticamente verificate e confrontate con i requisiti degli standard di sicurezza HIPAA per la protezione delle informazioni sanitarie protette elettroniche (Security Rule).
Ogni controllo di sicurezza può restituire un risultato Fail o Configured. Nei casi in cui è presente almeno un oggetto nell'infrastruttura che non è conforme a un controllo di sicurezza specifico, questo controllo verrà contrassegnato come Fail. L'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati.
Un risultato di Configured significa, invece, che nessun oggetto ha esito negativo per il controllo specifico.
Indipendentemente dalla gravità intrinseca, alcune regole di sicurezza potrebbero non essere necessarie nella valutazione della politica di sicurezza dell'organizzazione da analizzare. Potrebbe inoltre essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.
Lo standard IT-Grundschutz, sviluppato dalla BSI tedesca, consente di identificare e attuare le misure di sicurezza necessarie attraverso una procedura sistematica. Gli standard BSI forniscono le migliori pratiche, i requisiti concreti dell'IT-Grundschutz Compendium.
Ogni controllo di sicurezza può restituire un risultato Fail o Configured. Nei casi in cui è presente almeno un oggetto nell'infrastruttura che non è conforme a un controllo di sicurezza specifico, questo controllo verrà contrassegnato come Fail. L'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati. Un risultato Configured, invece, che nessun oggetto ha esito negativo per il controllo specifico.
Anche in questo caso, a prescindere dalla gravità intrinseca alcune regole di sicurezza potrebbero non essere necessarie nella valutazione della politica di sicurezza dell'organizzazione da analizzare con Runecast. Potrebbe inoltre essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.
Il Center for Internet Security, Inc. (CIS) è un'entità lungimirante e senza scopo di lucro che sfrutta il potere di una comunità IT globale per salvaguardare le organizzazioni private e pubbliche dalle minacce informatiche.
I benchmark VMware ESXi CIS sono documenti destinati ad amministratori di sistema e applicazioni, specialisti della sicurezza, auditor, help desk e personale addetto all'implementazione della piattaforma che pianificano di sviluppare, distribuire, valutare o proteggere soluzioni che incorporano VMware ESXi.
I benchmark definiscono i seguenti profili di configurazione:
Uno stato di punteggio indica se il rispetto della raccomandazione fornita incide sul punteggio di riferimento dell'obiettivo valutato. In questo benchmark vengono utilizzati i seguenti stati di punteggio:
I risultati dell'analisi possono visualizzare i seguenti stati:
Anche in questo caso, indipendentemente dalla severità intrinseca, alcune regole di sicurezza potrebbero non essere necessarie nella valutazione della politica di sicurezza dell'organizzazione da analizzare con Runecast. Potrebbe inoltre essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.
Il National Institute of Standards and Technology (NIST) è uno dei più antichi laboratori di scienze fisiche degli Stati Uniti e fornisce standard di misura applicabili ai settori della scienza e della tecnologia. L e misurazioni NIST supportano la più piccola delle tecnologie fino alle più grandi e complesse creazioni create dall'uomo, dai dispositivi su scala nanometrica così piccoli che decine di migliaia possono stare sulla punta di un singolo capello umano fino ai grattacieli resistenti ai terremoti e alle reti di comunicazione globali .
Il database NIST SP 800-53 rappresenta i controlli di sicurezza e le procedure di valutazione correlate, definiti nel documento NIST SP 800-53 Revision 4 Recommended Security Controls for Federal Information Systems and Organizations.
Le organizzazioni possono utilizzare la designazione del codice di priorità consigliata associata a ciascun controllo di gestione del programma per aiutare a prendere decisioni di sequenziamento per l'implementazione, ad esempio:
Questa priorità di sequenziamento consigliata aiuta a garantire che i controlli di sicurezza fondamentali da cui dipendono altri controlli siano implementati per primi, quindi consente alle organizzazioni di implementare i controlli in modo più strutturato e tempestivo in base alle risorse disponibili.
I risultati dell'analisi secondo NIST possono determinare in Runecast Analyzer i seguenti stati:
Indipendentemente dalla severità intrinseca, alcune regole di sicurezza potrebbero non essere necessarie per l'interpretazione della politica di sicurezza dell'organizzazione analizzata e potrebbe essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.
Il Regolamento generale sulla protezione dei dati (GDPR) è una legge europea sulla privacy intesa ad armonizzare le leggi sulla protezione dei dati in tutta l'Unione Europea (UE) applicando un'unica legge sulla protezione dei dati che è vincolante in ogni stato membro dell'UE. In Runecast Analyzer, il profilo GDPR attualmente copre solo Amazon Web Services e si concentra su:
I risultati dell'analisi possono visualizzare i seguenti stati:
Pubblicata dall'Organizzazione internazionale per la standardizzazione (ISO) in collaborazione con la Commissione elettrotecnica internazionale (IEC), la norma ISO 27001 è stata sviluppata per aiutare le organizzazioni, di qualsiasi dimensione o settore, a rendere più sicure le risorse informative in loro possesso. ISO-27001 fa parte di una serie di standard della famiglia ISO/IEC 27000.
I risultati dell'analisi con Runecast Analyzer possono visualizzare i seguenti stati:
Indipendentemente dalla severità intrinseca, alcune regole di sicurezza potrebbero non essere necessarie per l'interpretazione della politica di sicurezza dell'organizzazione analizzata e potrebbe essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.
Cyber Essentials è uno schema sostenuto dal governo del Regno Unito che aiuta le organizzazioni ad adottare best practice in materia di sicurezza delle informazioni.
I risultati dell'analisi fatta attraverso Runecast Analyzer possono far visualizzare quanto segue:
Indipendentemente dalla severità intrinseca, alcune regole di sicurezza potrebbero non essere necessarie per l'interpretazione della politica di sicurezza dell'organizzazione analizzata e potrebbe essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.
Si tratta di una serie di strategie di mitigazione di base definite dall'Australian Cyber Security Center. L'implementazione di queste strategie come minimo rende molto più difficile per gli avversari compromettere i sistemi.
I risultati dell'analisi fatta con Runecast Analyzer possono dare luogo alla visualizzazione dei seguenti stati:
Indipendentemente dalla severità intrinseca, alcune regole di sicurezza potrebbero non essere necessarie per l'interpretazione della politica di sicurezza dell'organizzazione analizzata e potrebbe essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.