Considerações para auditoria e correlação de eventos: Lidando com o sincronismo de relógios em ambientes virtualizados
Com a quantidade de elementos de infra estrutura que as redes corporativas hospedam, muito se fez nos ultimos anos em relação ao sincronismo de relógios. Tal informação afeta claramente as trilhas de auditoria, logs e outros fatores críticos para segurança.
Muitas empresas tem virtualizado servidores, e a própria Microsoft tem feito um grande esforço para ampliar a suportabilidade de suas plataformas em ambientes virtualizados através de uma visão mais ampla, 360 graus (provimento de capacidades de virtualizacao nas diversas camadas: apresentação; configuração; aplicação; sistema operacional e hardware.
Tive um certo “dèjà-vu” ao discutir com alguns clientes algumas questões ligadas ao sincronismo de relógios em sistemas virtualizados, em especial Domain Controllers. O motivo foi uma discussao sobre a melhor forma de preservar a integridade e validade da auditoria baseada em logs e correlação de eventos em relação ao sync de relógios. Certamente me remeteu a discussões de mais de 10 anos atrás, nos primórdios da interoperabilidade de “plataforma alta e plataforma baixa”
Uma pequena discrepância no sincronismo do relógio pode causar efeitos dos mais complicados, seja em tempos de guerra ou em tempos de paz. Dessa forma, a maneira de se estabelecer o sincronismo dos relógios é elemento fundamental para garantir a integridade das informacoes e rastreabilidade correta de eventos.
Existem muitos artigos na web tratando do tema, e talvez a conclusão mais importante seja a necessidade de consistência no processo de sincronismo de relógios: É uma péssima idéia misturar diferentes mecanismos de sincronismo, sob pena de haver impacto em tudo o que depender desse sincronismo.
Imagine por exemplo uma plataforma de correlação de eventos, seja manual (FIND ou grep) ou das mais modernas: Se os relógios dos servidores e outros ativos (físicos ou virtuais) não forem sincronizados de uma maneira consistente, qualquer conclusão ou análise será profundamente prejudicada, se não inviabilizada por completo.
A abordagem recomendada pela Microsoft é desabilitar toda e qualquer forma de sincronismo adicional e utilizar a hierarquia convencional do AD com excecao do PDC do forest root. O PDC do forest root deverá apontar para um NTP externo.
Tal abordagem é consistente até pelo fato de que é o recomendado, seja em ambiente físico ou virtual.
Existem muitas outras questões de integridade e segurança fundamentais nas considerações sobre virtualização de um AD (Que não são blockers, mas na verdade cuidados que devem ser tomados) e assim, vale a pena, independente da tecnologia de virtualização de servidores, considerar tais pontos durante a fase de planejamento.
Para informacoes adicionais, alguns artigos úteis:
Considerações ao Controlador de Domínio do Active Directory em Ambientes de Hospedagem Virtuais de hospedagem:
https://support.microsoft.com/kb/888794
Virtual Domain Controllers and Time Synchronization:
Virtualization 360:
Hyper-V Best Practices – 1:
https://blogs.technet.com/vikasma/archive/2008/07/24/hyper-v-best-practices-quick-tips-1.aspx
Active Directory Best Practices:
https://technet.microsoft.com/en-us/library/cc778219.aspx
Politica de Suporte para Ambientes Virtualizados da Microsoft:
https://support.microsoft.com/kb/897615/en-us
Hyper V Planning and Deployment Guide:
Agradeço ao amigo Luiz Manetti pelos inputs e revisão,
A
ylton Souza