przez Jasona Bramwella
Zgodnie z raportem opublikowanym 18 listopada przez Generalnego Inspektora Administracji Podatkowej (TIGTA), IRS poczynił znaczące postępy w rozbudowie swojego środowiska wirtualnego, ale należy poświęcić więcej uwagi zapewnieniu bezpieczeństwa konfiguracji serwerów wirtualnych.
Wirtualizacja serwerów to technologia, która pozwala na uruchomienie kilku serwerów wirtualnych na jednym fizycznym hoście lub serwerze. Konwersja serwerów fizycznych na serwery wirtualne poprawia wykorzystanie sprzętu, oszczędza energię elektryczną i zmniejsza koszty wymiany serwerów. Podatności w infrastrukturze wirtualnej mogą narazić dane podatników na ryzyko nieautoryzowanego ujawnienia lub utraty.
Celem raportu TIGTA, Automated Monitoring Is Need for the Virtual Infrastructure to Ensure Secure Configurations , było ustalenie, czy środowisko wirtualne IRS jest bezpieczne.
«IRS opracowała kompleksową politykę, która określa minimalne środki kontroli bezpieczeństwa niezbędne do ochrony swojego środowiska wirtualnego. Celem tej polityki jest ochrona krytycznej infrastruktury i aktywów przed atakami wykorzystującymi wirtualizację oraz zapobieganie nieautoryzowanemu dostępowi do systemów informatycznych IRS znajdujących się w środowisku wirtualnym», stwierdziła TIGTA w raporcie. «IRS odniosła sukces w swoich nieustających wysiłkach na rzecz rozbudowy środowiska wirtualnego. W rezultacie IRS poprawił wydajność serwerów i zrealizował oszczędności kosztów. Jednakże, ponieważ IRS kontynuuje ten kurs i więcej danych IRS jest utrzymywanych w środowisku wirtualnym, IRS musi zachować czujność w odniesieniu do bezpieczeństwa wirtualnego».
Chociaż IRS ustanowił procesy monitorowania swojej infrastruktury wirtualnej, TIGTA stwierdziła, że ustawienia konfiguracji zabezpieczeń na hostach nie były zgodne z polityką IRS.
TIGTA przetestowała szesnaście hostów i stwierdziła, że dwanaście (43%) z dwudziestu ośmiu wymaganych kontroli bezpieczeństwa nie powiodło się trzem lub więcej hostom. Ponadto dziesięć (63%) z szesnastu hostów nie otrzymało w sumie czterdziestu ośmiu łatek zabezpieczających. Ponadto nie zebrano i nie poddano przeglądowi dzienników audytów hostów zgodnie z wymogami polityki IRS.
«Polityka IRS wymaga tworzenia, ochrony i przechowywania zapisów z audytu systemu informatycznego w zakresie niezbędnym do umożliwienia monitorowania, analizowania, badania i zgłaszania nielegalnych, nieautoryzowanych lub niewłaściwych działań systemu informatycznego. Zdarzenia podlegające audytowi muszą być rejestrowane dla wszystkich systemów IRS», TIGTA stwierdziła w raporcie.»Bez właściwego uchwycenia i przeglądu aktywności administratora nie można ustalić odpowiedzialności za działania podjęte na hostach, a nieautoryzowane działania mogą pozostać niewykryte».
TIGTA przedstawiła trzy następujące zalecenia dla dyrektora ds. technologii IRS Terence’a Milhollanda:
- Wdrożenie zautomatyzowanego narzędzia zapewniającego zgodność ustawień narzędzi zarządzania hosta i centrum wirtualnego (vCenter) ze standardami konfiguracyjnymi.
- Terminowe nakładanie łatek na gospodarzy zgodnie z polityką IRS.
- Wdrożenie systemu gromadzenia i przeglądu dzienników audytowych dotyczących hostów i vCenterów zgodnie z polityką IRS.
IRS zgodził się ze wszystkimi zaleceniami i planami TIGTA dotyczącymi zamówienia i/lub opracowania zautomatyzowanego narzędzia lub dostosowania istniejącej infrastruktury monitorowania w celu raportowania zgodności wirtualnego hosta i vCenter. Zgodnie z polityką IRS, w odpowiednim czasie zostaną również zastosowane łatki w odniesieniu do hostów. Ponadto IRS opracuje plany audytów i wdroży gromadzenie i przegląd plików dzienników zarówno dla hostów, jak i vCenter.
«Jesteśmy przekonani, że nasze rutynowe praktyki wsparcia dla naszego środowiska wirtualnych serwerów zapewniają solidne środowisko operacyjne», napisał Milholland w odpowiedzi na raport TIGTA.
Artykuły pokrewne:
- TIGTA chce, aby IRS udoskonalił ocenę ryzyka związanego z bezpieczeństwem
- TIGTA Says IRS Efforts on International Tax Compliance Succeeding