INCIBE: Tu ayuda en Ciberseguridad
Decida qué dispositivos Ubuntu utilizará su organización. Se deben tener en cuenta los dispositivos de hardware certificados por Ubuntu con protección TPM 2.0 y DMA.
Utilice una de las arquitecturas de red recomendadas para habilitar el acceso remoto a los servicios empresariales.
Utilice una implementación automatizada y un servicio de administración de configuración de software (SCM) para configurar, monitorear y hacer cumplir los controles técnicos en sus dispositivos Ubuntu.
La implementación mediante la pre-inicialización manual del instalador con un script previo a la inicialización y la ejecución de un script posterior a la instalación puede ser suficiente para implementaciones a pequeña escala. Para implementaciones de mediana y gran escala, considere implementar un entorno de ejecución de prearranque (PXE), que automatiza la instalación de Ubuntu en los dispositivos cliente. Se pueden usar los mismos scripts previos a la inicialización y posteriores a la instalación para inscribir dispositivos con un sistema SCM para garantizar un aprovisionamiento completamente automatizado. Se pueden crear paquetes firmados para impulsar la configuración de seguridad y las aplicaciones aprobadas. Estos se pueden cargar en un repositorio personalizado, que se puede alojar en el mismo servidor SCM.
Configure las funciones de registro y supervisión de Ubuntu. Si bien no hay una función de borrado remoto nativo disponible para Ubuntu, la función de borrado remoto se puede implementar con un sistema SCM como Puppet , Chef o Ansible .
Considere si implementará antivirus u otro software de seguridad en Ubuntu, ya que existen varios productos anti-malware de terceros que intentan detectar código malicioso para esta plataforma. Sin embargo, Ubuntu proporciona intrínsecamente cierta protección contra la posibilidad de que se ejecute código malicioso cuando se configura como se recomienda en esta guía. Además, cuando están disponibles, los perfiles de AppArmor limitan el acceso de las aplicaciones a la plataforma. Se pueden configurar otras aplicaciones para usar AppArmor si es necesario. Por último, las aplicaciones Snap se ejecutan confinadas en una zona de pruebas restringida .
Configuración del dispositivo
Una vez que haya elegido el método de implementación, la arquitectura y la compilación de la aplicación , debe desarrollar una configuración de dispositivo que pueda aplicar para hacer cumplir sus controles técnicos. En particular, debe incluir políticas que gestionen:
El uso de datos biométricos (cuando estén disponibles), así como contraseñas y políticas de autenticación . Le recomendamos que consulte nuestra guía de contraseñas cuando proteja las cuentas de usuario. La mayoría de los usuarios deberían tener cuentas sin privilegios administrativos. Los usuarios que requieren privilegios administrativos deben utilizar una cuenta sin privilegios separada para el correo electrónico y la navegación web. Se recomienda que las cuentas de administrador local tengan una contraseña segura única por dispositivo.
Arranque seguro. Ubuntu valida el proceso de arranque pero no verifica todos los archivos relacionados con el arranque contra la manipulación. Los beneficios de seguridad se pueden obtener mediante:
- Configurar UEFI sin soporte para BIOS heredado y opciones de arranque heredadas, y garantizar que el arranque seguro esté habilitado
- Configurar una contraseña de configuración / administración de UEFI para que la configuración de UEFI no se pueda cambiar
- Después de la instalación, deshabilitar el arranque desde medios externos
- Configurar una contraseña de GRUB para evitar cambios en tiempo de ejecución en la configuración de grub2
- Asegurarse de que Ubuntu Kernel Lockdown permanezca habilitado en modo de integridad. Se puede obtener más protección configurando el modo de protección en Modo de confidencialidad, pero se deben realizar más pruebas para garantizar que esto no interrumpa la ejecución de las aplicaciones implementadas de su organización.
Configuración de la configuración de cifrado de disco LUKS / dm-crypt para proporcionar cifrado de volumen completo y evitar la extracción de datos mediante ataques físicos
Protección de interfaz externa, como deshabilitar el montaje de nuevos dispositivos de almacenamiento mientras está bloqueado
Listas de aplicaciones permitidas. No se debe permitir que los usuarios instalen aplicaciones arbitrarias en el dispositivo. Las aplicaciones de terceros deben ser autorizadas por un administrador e implementadas a través de un mecanismo confiable, como Ubuntu Landscape . Alternativamente, puede usar herramientas como Puppet , Chef o Ansible para administrar la instalación de software en sus dispositivos. Los permisos se pueden configurar en el momento de la instalación para garantizar que los usuarios no puedan ejecutar aplicaciones desde ninguna partición de disco en la que puedan escribir. Todas las instalaciones de aplicaciones deben ser realizadas por un administrador.
Actualizaciones automáticas del sistema operativo y de las aplicaciones . Las actualizaciones de seguridad del sistema operativo se pueden configurar para que se apliquen automáticamente. Con la configuración de actualización de software recomendada, las actualizaciones de la aplicación se instalan automáticamente cuando el dispositivo se enciende y se inicia por completo. Las aplicaciones Snap buscan actualizaciones cuatro veces al día de forma predeterminada. Para garantizar que la instalación de los paquetes Snap no presente ningún riesgo para la postura de seguridad de su sistema, recomendamos que los paquetes Snap solo se instalen desde la Tienda Ubuntu autorizada y desde desarrolladores de confianza. Además, Canonical LivePatch se puede configurar para parchear dinámicamente el kernel en tiempo de ejecución; de lo contrario, las actualizaciones del kernel solo son efectivas al reiniciar
El software VPN como el cliente VPN strongSwan se puede utilizar si se requiere una red privada virtual (VPN)
Un cortafuegos basado en host. El firewall debe estar habilitado y configurado para bloquear las conexiones entrantes. Se pueden definir políticas más detalladas según el uso de su dispositivo y los requisitos de seguridad.
Fecha actualización el 2021-07-05. Fecha publicación el 2021-07-05. Categoria: ciberseguridad Autor: Oscar olg Mapa del sitio Fuente: ncsc