Area Servizi ICT Servizi hosting di Ateneo Contestualizzazione tecnologica Versione 1.1 http://hosting.polimi.it Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica Politecnico di Milano Area Servizi ICT
Indice 1. Contestualizzazione... 4 1.1. Content Management System... 4 1.1.1. Componente core... 5 1.1.2. Databases... 5 1.1.3. Moduli aggiuntivi... 6 1.1.3.1. Moduli aggiuntivi supportati... 6 1.1.3.2. Richiesta di installazione di modulo aggiuntivo... 7 1.1.3.3. Installazione/rimozione di un modulo aggiuntivo... 8 1.1.3.4. Vincoli sull utilizzo di un modulo aggiuntivo... 8 1.1.4. Controllo degli accessi... 9 1.1.4.1. Caricamento contenuti... 9 1.1.4.2. Autenticazione dell utente finale... 10 1.1.5. Aggiornamento... 10 1.1.5.1. Specificità per il Patching di sicurezza... 11 1.1.6. Backup contenuti... 12 1.1.7. Gestione incidenti... 12 1.1.8. Altre configurazioni specifiche... 13 1.1.8.1. Attribuzione del nome di dominio... 13 1.1.8.2. Statistiche di utilizzo del servizio... 13 1.1.8.3. Indicizzazione nei motori di ricerca... 14 1.1.8.4. Pianificazione di processi batch... 14 1.1.8.5. Utilizzo di risorse centralizzate... 14 1.1.9. Principali riferimenti... 15 1.2. Piattaforma per lo sviluppo di applicazioni web... 15 1.2.1. Linux... 16 1.2.1.1. Specificità per il software installabile... 17 1.2.1.2. Principali riferimenti... 18 1.2.2. Apache... 18 1.2.2.1. Principali riferimenti... 19 1.2.3. MySQL... 20 1.2.3.1. Principali riferimenti... 20 1.2.4. PHP... 21 1.2.4.1. Configurazione sicura dell ambiente... 21 2
1.2.4.2. Sviluppo sicuro di applicazioni web... 22 1.2.4.3. Principali riferimenti... 23 Versioni Data Titolo Versione Autore Stato doc 17/06/2013 Servizi di hosting offerti dall'area Servizi ICT: contestualizzazione tecnologica 1.1 ASICT - Servizio infrastrutture software e identità digitale Approvato ASICT 3
1. Contestualizzazione Questo capitolo propone una contestualizzazione di alcuni degli ambiti di sicurezza trattati nello Statement sulle tecnologie utilizzate da Area Servizi ICT nell erogazione dei propri servizi di hosting. Tale contestualizzazione include linee guida per la configurazione e l utilizzo di alcuni dei blocchi tecnologici che costituiscono l infrastruttura gestita da area Servizi ICT. In particolare, i blocchi tecnologici identificati ricadono nei seguenti: Content Management System, cioè il software utilizzato per la redazione e pubblicazione di contenuti su un sito web; Piattaforma per lo sviluppo di applicazioni web, intesa come l intera infrastruttura tecnologica che consente di erogare servizi web: tale infrastruttura include sistema operativo, web server, database management system e linguaggio di programmazione/scripting. Nello specifico sono utilizzati come esempi alcuni tra i più diffusi, rendendo così le indicazioni qui riportate generalizzabili anche come riferimento per la configurazione sicura di tecnologie analoghe, o comunque ricadenti nei blocchi tecnologici trattati. Inoltre, per ognuna delle componenti dell infrastruttura tecnologica analizzate in questo capitolo sono riportati (alla fine di ogni sezione) alcuni dei principali riferimenti a linee guida o best practice specifiche. Nella stesura del presente capitolo si è stabilito di evidenziare le azioni e i controlli aventi valenza e applicabilità generale all interno di apposite sezioni come quella seguente: Questo è un box di esempio Le indicazioni evidenziate con tale accorgimento sono da considerarsi linea guida utile per la configurazione dei servizi/sistemi anche all esterno del perimetro tecnologico direttamente gestito da Area Servizi ICT, come già indicato in [Servizi di hosting offerti dall'area Servizi ICT: policy di sicurezza]. 1.1. Content Management System Tra i servizi di hosting erogati da Area Servizi ICT vi è l hosting di applicativi Content Management System (CMS), soluzioni software che consentono al fruitore di gestire e pubblicare contenuti sul web attraverso uno stile redazionale, senza richiedere particolari competenze in termini di linguaggi di programmazione. Area Servizi ICT supporta alcuni specifici Content Management System, secondo quanto riportato nel documento [Polimi - Offerta_hosting_ASICT]. Tra le soluzioni più utilizzate e diffuse, vi è Joomla!, un progetto open source gestito e supportato da una comunità di sviluppatori. Le considerazioni riportate in seguito fanno riferimento al prodotto Joomla! nello specifico, ma possono essere estese anche ad altri software analoghi. Qualora il fruitore fosse autorizzato ad 4
installare e gestire direttamente un software CMS su una piattaforma di hosting erogata da Area Servizi ICT, è tenuto a seguire le linee guida e i principi espressi in questa sezione. 1.1.1. Componente core I componenti core del CMS sono quelli che implementano le funzionalità di base per la gestione e pubblicazione dei contenuti e contengono le configurazioni del sistema. Le modifiche a tali componenti potrebbero infatti introdurre vulnerabilità, oppure problematiche di compatibilità durante gli aggiornamenti del sistema. Area Servizi ICT fornisce ai fruitori dei propri servizi installazioni Joomla! appositamente configurate. Di norma, qualsiasi modifica di file, template, o configurazioni appartenenti ai componenti core del CMS da parte del fruitore è proibita. In via eccezionale, previa autorizzazione da parte di Area Servizi ICT, potrebbero essere autorizzate alcune modifiche, ad esempio ai file che consentono la localizzazione del prodotto in altre in altre lingue, oppure modifiche al template base, tipicamente incluso nell installazione. Si consideri comunque che tali modifiche potrebbero essere sovrascritte durante le operazioni di aggiornamento eseguite periodicamente da Area Servizi ICT. Al fine di prevenire la perdita di tali modifiche, quindi, il fruitore è tenuto, a fronte di un operazione di aggiornamento, a notificare la presenza di modifiche, e a collaborare a tale operazione qualora fosse necessario. 1.1.2. Databases Area Servizi ICT predispone il CMS con un installazione dedicata ed un database dedicato. L accesso a tale database è consentito di norma al solo CMS installato ed ai moduli che ne utilizzano le API e non vengono fornite le credenziali d accesso. Esigenze specifiche potranno essere soddisfatte fornendo un secondo database su cui effettuare le personalizzazioni. 5
1.1.3. Moduli aggiuntivi Joomla!, come molti altri software analoghi, dispone di una quantità di moduli aggiuntivi che consentono estendere alcune delle funzionalità di base del CMS. Tutti i moduli aggiuntivi sono tipicamente distribuiti sotto forma di pacchetti compressi, la cui installazione è gestita in maniera completamente automatica attraverso l interfaccia di amministrazione. Tali moduli aggiuntivi sono reperibili all interno del repository ufficiale (The Joomla! Extensions Directory), ma disponibili anche da svariati siti di terze parti. L approccio aperto della comunità di sviluppo rappresenta un vantaggio per la quantità di funzionalità disponibili, ma anche una minaccia poiché la legittimità e la sicurezza di tali moduli aggiuntivi non sono né controllate né verificate. Per questi motivi i moduli aggiuntivi sono considerati da Area Servizi ICT uno dei potenziali rischi per la stabilità dei CMS e sono pertanto soggetti ad alcuni vincoli espressi nelle sezioni seguenti. 1.1.3.1. Moduli aggiuntivi supportati Area Servizi ICT propone un insieme di moduli aggiuntivi supportati, opportunamente verificati, che consente di indirizzare le principali esigenze richieste dai fruitori di servizi in termini di funzionalità aggiuntive. Per un catalogo aggiornato di tali moduli aggiuntivi, si rimanda a documentazione specifica [Polimi - Offerta_hosting_ASICT]. Le azioni e gli accorgimenti adottati da Area Servizi ICT per la valutazione di moduli aggiuntivi si rifanno alle best practice di settore, e si riassumono come segue. 6
Alcune delle azioni che possono essere intraprese durante il processo di valutazione di un modulo aggiuntivo comprendono: verifica della presenza del modulo aggiuntivo all interno del repository ufficiale. Tale repository rappresenta la fonte privilegiata da cui reperire i moduli, poiché consente di ottenere numerose informazioni che consentono di valutarne la qualità; controllo della data e della tipologia (beta, candidate, final release, ecc.) dell ultima versione disponibile. Da tali informazioni è possibile stabilire quale sia il livello di maturità del modulo e quanto sia dinamica l attività di sviluppo, in particolare per quanto riguarda i tempi di rilascio di una nuova versione del modulo compatibile a fronte di un aggiornamento dei componenti core del CMS; controllo della presenza di bug noti per il modulo aggiuntivo e verifica del livello di patching applicato, in particolare valutando i tempi di rilascio delle patch in funzione della di rilevamento della vulnerabilità controllo delle funzionalità del plugin, attraverso attività quali ispezione del codice sorgente (disponibile nella maggior parte dei casi), valutazione delle complessità, verifica dei privilegi necessari all esecuzione, controllo degli accessi a file di configurazione, verifica dell eventuale presenza di comunicazioni con servizi esterni, ecc. verifica della reputazione dello sviluppatore e controllo dell effettiva presenza di una community di sviluppo attiva per tale modulo aggiuntivo; analisi delle valutazioni e dei commenti degli altri utenti. Tipicamente all interno del repository ufficiale è possibile evincere la qualità del modulo aggiuntivo anche da informazioni quali il numero di visite/download dello stesso, e dai commenti e/o giudizi espressi in merito da altri utenti che lo hanno utilizzato. 1.1.3.2. Richiesta di installazione di modulo aggiuntivo I fruitori di servizi di hosting erogati da Area Servizi ICT, qualora abbiano bisogno di estendere le funzionalità di base del CMS attraverso l installazione di un modulo aggiuntivo, sono tenuti a inoltrare richiesta specifica ad Area Servizi ICT. Tale richiesta deve includere la funzionalità desiderata ed, eventualmente, la proposta dello specifico modulo aggiuntivo. Area Servizi ICT, a seconda della richiesta, potrebbe proporre l utilizzo di un modulo aggiuntivo già supportato, qualora compatibile in termini di funzionalità, oppure valutare il modulo aggiuntivo proposto ed, in caso di esito positivo della valutazione, consentire l installazione del modulo, ed eventualmente includerlo nella lista di quelli supportati. Area Servizi ICT ritiene il repository ufficiale di Joomla! il canale preferenziale per la selezione dei moduli aggiuntivi, ma non esclude la possibilità di installare moduli provenienti da canali di terze parti. Per quanto riguarda lo sviluppo di moduli aggiuntivi custom da parte del fruitore, esso è consentito soltanto qualora sia utile a implementare una funzionalità specifica non presente in altri moduli. In tal caso il fruitore è tenuto a realizzare il modulo seguendo le indicazioni relative 7
allo sviluppo sicuro di applicazioni web riportate in sezione 1.2.4.2 (Sviluppo sicuro di applicazioni web). 1.1.3.3. Installazione/rimozione di un modulo aggiuntivo Il processo di installazione e rimozione di moduli aggiuntivi è generalmente eseguito da Area Servizi ICT. La fase di installazione è tipicamente effettuata utilizzando le funzionalità messe a disposizione attraverso l interfaccia di amministrazione del CMS. La fase di rimozione del modulo aggiuntivo è invece eseguita con particolar scrupolo per assicurare l eliminazione di tutti gli elementi installati dal modulo aggiuntivo. Tale aspetto può prevedere attività quali: verifica degli effettivi elementi aggiunti dal plugin, tra cui directory, file e tabelle all interno del database, attraverso l analisi del file xml di installazione che contiene tali informazioni; disinstallazione del modulo aggiuntivo attraverso le funzionalità native messe a disposizione dall interfaccia di amministrazione del CMS; eventuale rimozione manuale di altri elementi, tra quelli rilevati in precedenza, qualora ancora presenti dopo il processo di disinstallazione. Area Servizi ICT, al fine di ottimizzare l installazione dei moduli aggiuntivi, dispone di template di Joomla! opportunamente configurati che già includono i moduli aggiuntivi direttamente supportati e, inoltre, è in grado di effettuare l installazione di ulteriori moduli aggiuntivi attraverso processi automatizzati. In generale, il fruitore, qualora sia autorizzato, è tenuto a concordare le modalità di installazione di un modulo aggiuntivo direttamente con Area Servizi ICT. 1.1.3.4. Vincoli sull utilizzo di un modulo aggiuntivo In generale i moduli aggiuntivi supportati da Area Servizi ICT sono gestiti e di responsabilità della struttura stessa. Per quanto riguarda eventuali altri moduli aggiuntivi, la configurazione, l aggiornamento e il mantenimento in generale sono a carico del fruitore. Inoltre, il fruitore è tenuto a utilizzare soltanto i moduli aggiuntivi autorizzati da Area Servizi ICT ed effettivamente utilizzati, provvedendo alla rimozione degli altri. Inoltre, qualora Area Servizi ICT riscontri problematiche di performance, sicurezza o incompatibilità riconducibili a qualsiasi modulo aggiuntivo installato nei sistemi direttamente gestiti, si riserva il diritto di disabilitarlo ed eventualmente rimuoverlo, fornendo opportuna notifica ai fruitori che ne fanno utilizzo. 8
Ogni problema funzionale ai servizi o applicativi, riconducibile alla rimozione di suddetti moduli aggiuntivi, è da considerarsi di responsabilità del fruitore. Area Servizi ICT si rende eventualmente disponibile per fornire il supporto tecnico necessario per l identificazione di una soluzione alternativa. 1.1.4. Controllo degli accessi Di norma Area Servizi ICT mantiene un controllo amministrativo all interno dei CMS utilizzati dai fruitori per la pubblicazione di contenuti. Il solo nome utente sarà comunicato per conoscenza al fruitore. L utenza amministrativa abilitata sul CMS deve essere differente da quella di default di Joomla!, secondo quanto suggerito dalle principali best practice di sicurezza. Agli addetti all inserimento dei contenuti, e in genere alle operazioni di routine legate al servizio e non alla conduzione del sistema, dovranno essere fornite utenze di privilegio inferiore, abilitate all esecuzione del set minimo di operazioni necessarie. Coerentemente con quanto sopra, Area Servizi ICT si riserva il diritto di fornire al fruitore utenze con il minimo privilegio necessario, secondo quanto definito in fase progettuale. Nel caso in cui al fruitore fosse concessa un utenza di tipo amministrativo, quest ultimo è tenuto a creare le altre utenze necessarie al servizio, rispettando le medesime indicazioni. Inoltre, al fruitore è proibito eliminare l utenza amministrativa in possesso di Area Servizi ICT. 1.1.4.1. Caricamento contenuti Di norma, il caricamento dei contenuti deve avvenire attraverso le funzionalità esposte dall interfaccia web di gestione del CMS, oppure attraverso ulteriori interfacce ad hoc messe a disposizione dal provider del servizio Di norma il caricamento di contenuti all interno dei CMS da parte del fruitore può avvenire attraverso l interfaccia web di amministrazione. A fronte di effettive necessità per il caricamento di particolari contenuti potrebbe essere concesso al fruitore un accesso ftps, previa opportuna richiesta e autorizzazione da parte di Area Servizi ICT. Nel caso in cui il fruitore fosse autorizzato a caricare codice eseguibile (quale ad esempio script per la creazione di pagine web dinamiche) deve tenere in considerazione i limiti generali dell ambiente di esecuzione descritti in sezione 1.2.4.1 (Configurazione sicura dell ambiente). 9
1.1.4.2. Autenticazione dell utente finale Nel caso in cui il sito web erogato tramite l uso del CMS consenta la registrazione di utenti finali, e il conseguente accesso ad aree riservate, il fruitore è tenuto a fornire un livello di privilegio minimo alle utenze. In particolare, qualora fosse disponibile una modalità di registrazione self provisioning attraverso form web, il fruitore è tenuto a utilizzare meccanismi di protezione CAPTCHA o altri accorgimenti simili per determinare la reale presenza di un utente umano, e quindi prevenire alcune tipologie di attacchi automatizzati. Area Servizi ICT, inoltre, mette a disposizione delle funzionalità per l integrazione tramite Shibboleth del meccanismo di autenticazione offerto dall anagrafica unica di Ateneo, secondo quanto definito in [Servizi hosting offerti dall Area Servizi ICT: Integrazione con l Anagrafica Unica di Ateneo]. Qualora il fruitore voglia integrare tali funzionalità è tenuto a inoltrare esplicita richiesta ad Area Servizi ICT. I CMS supportati da Area Servizi ICT possono essere dotati di moduli aggiuntivi preconfigurati per tale integrazione, mentre nel caso di soluzioni alternative l onere di tale integrazione è a carico del cliente. Dettagli tecnici sulle modalità di integrazione possono essere trovati in [Servizi hosting offerti dall Area Servizi ICT: Integrazione con l Anagrafica Unica di Ateneo], e comunque Area Servizi ICT si rende disponibile a fornire supporto nella definizione dei requisiti, e nella configurazione. 1.1.5. Aggiornamento L aggiornamento periodico del CMS (componenti core e moduli aggiuntivi supportati), ove possibile, può essere effettuato direttamente dal fruitore e/o dall Area Servizi ICT secondo quanto specificato nel seguito. 10
Le principali attività da eseguire durante le attività di aggiornamento includono: disabilitazione del sito mettendolo temporaneamente offline, attraverso l opportuna funzionalità fornita attraverso l interfaccia di amministrazione; creazione di un backup dei contenuti del sito. Tale attività include sia il backup dei contenuti inseriti nel sito (articoli, commenti, pagine, ecc.), sia quello dei file di configurazione qualora essi siano stati modificati (ad esempio i file di configurazione di Apache, oppure i file per la localizzazione in altra lingua, ecc.); conferma della correttezza del backup, attraverso verifica che tutti i contenuti necessari al ripristino siano stati effettivamente memorizzati; verifica di compatibilità di moduli aggiuntivi e template, principalmente attraverso le notifiche emesse dagli sviluppatori ed eventuale disabilitazione di quelli non supportati; aggiornamento del software, attraverso il caricamento di tutti i file core, verificandone il corretto trasferimento; ripristino del sito online, attraverso la specifica funzionalità e ripristino dei contenuti memorizzati tramite il backup potenzialmente persi; verifica di correttezza funzionale di tutto il sito, in modo da certificare il corretto aggiornamento. Si noti che, per quanto riguarda le attività di aggiornamento dei CMS gestiti da Area Servizi ICT, la compatibilità di moduli aggiuntivi e template a fronte di un aggiornamento del sistema è garantita soltanto per quelli direttamente supportati da Area Servizi ICT stessa. Qualora fosse stato concesso l utilizzo di un componente alternativo non direttamente supportato, il fruitore è ritenuto responsabile della verifica di compatibilità e dell eventuale disservizio che potrebbe incorrere in seguito all aggiornamento. 1.1.5.1. Specificità per il Patching di sicurezza Per quanto riguarda gli aggiornamenti di sicurezza, Area Servizi ICT svolge un monitoraggio costante delle vulnerabilità riscontrate per componenti core e moduli aggiuntivi attraverso i canali ufficiali. 11
Per i componenti core è disponibile un servizio (Joomla! Vulnerable Extension List) che riporta le descrizioni delle vulnerabilità riscontrate, l indicazione delle versioni del CMS coinvolte e le principali azioni correttive da intraprendere. Per i moduli aggiuntivi, invece, è disponibile un servizio (Joomla! Developer Network Security News) che riporta la lista dei moduli potenzialmente vulnerabili. Tale servizio ha uno scopo informativo e rimanda direttamente allo sviluppatore per quanto riguarda l aggiornamento o le eventuali azioni correttive. Qualora una vulnerabilità della piattaforma CMS possa impattare su alcuni dei sistemi gestiti, Area Servizi ICT si riserva il diritto di implementare le azioni correttive nel più breve tempo possibile. Qualora un modulo aggiuntivo supportato fosse incluso nella lista dei moduli potenzialmente vulnerabili, Area Servizi ICT si riserva il diritto di disabilitarlo temporaneamente al fine di valutarne il potenziale impatto ed eventualmente attendere l aggiornamento di sicurezza da parte dello sviluppatore. Il fruitore autorizzato a utilizzare moduli aggiuntivi differenti da quelli supportati, è tenuto a comportarsi allo stesso modo, fornendo opportuna notifica ad Area Servizi ICT. Ulteriori informazioni circa le modalità in cui tali aggiornamenti sono effettuati e notificati da parte di Area Servizi ICT sono descritte in una sezione nel documento [Servizi di hosting offerti dall'area Servizi ICT: policy di sicurezza] 1.1.6. Backup contenuti Area Servizi ICT esegue attività di backup dei contenuti e delle configurazioni dei sistemi direttamente gestiti. In particolare per i CMS direttamente gestiti, Area Servizi ICT installa e configura componenti aggiuntivi in grado di integrare nativamente tali attività di backup. Al fine di non sovraccaricare i sistemi, al fruitore non è consentito installare agenti o componenti aggiuntivi che consentano di effettuare backup dei contenuti del servizio web, rispetto a quelli già integrati nell installazione di base del CMS fornita da Area Servizi ICT se non previo accordo con Area Servizi ICT stessa. Il fruitore, qualora abbia necessità di ripristinare i contenuti del sito, può inoltrare richiesta ad Area Servizi ICT, la quale provvederà a mettere a disposizione l ultimo backup disponibile. I backup a lungo periodo di retention non sono direttamente a disposizione del fruitore, poiché utilizzati da Area Servizi ICT soltanto per fini sistemistici. Ulteriori dettagli sulle tipologie di informazioni incluse nei backup, sulle modalità di accesso e sui tempi di retention si rimanda a documentazione specifica [Polimi - Offerta_hosting_ASICT]. 1.1.7. Gestione incidenti Area Servizi ICT ha in carico la gestione degli incidenti e richiede un contributo proattivo da parte del fruitore, qualora ve ne fosse la necessità. Tale contributo potrebbe essere richiesto, ad esempio, per fornire lo snapshot del CMS al momento dell identificazione dell anomalia, al fine di 12
identificare la problematica, correggerla ed eventualmente innalzare il livello di sicurezza di tutto il sistema. In particolare, tale snapshot include in particolare tutti i file, i contenuti inclusi del database, e i log appartenenti al servizio coinvolto. Nell eventualità dell identificazione di incidenti, o di componenti giudicati potenzialmente pericolosi, Area Servizi ICT si riserva il diritto di sospendere l erogazione del servizio coinvolto. Le modalità di sospensione del servizio saranno valutate a seconda della tipologia di incidente in modo da impattare il meno possibile sull operatività del servizio medesimo. Inoltre, qualora vi sia la possibilità di compromissione dell intera macchina che eroga il servizio, dato che essa condivide l erogazione di servizi a fruitori differenti, Area Servizi ICT si riserva il diritto di sospendere preventivamente l esecuzione delle macchina, causando potenzialmente temporanei disservizi agli altri servizi che ne condividono le risorse. In ogni caso, una volta risolto il problema sarà definito un piano di ripristino in accordo col fruitore per arrivare alla riattivazione del servizio. 1.1.8. Altre configurazioni specifiche In questa sezione sono riportate ulteriori indicazioni specifiche circa la configurazione di alcuni aspetti legati alla pubblicazione su Internet di un sito web in hosting presso Area Servizi ICT, quali l attribuzione del nome di dominio, le statistiche di utilizzo, l indicizzazione nei motori di ricerca e la pianificazione di processi batch. 1.1.8.1. Attribuzione del nome di dominio Un soggetto che eroga un servizio riconducibile a finalità del Politecnico di Milano è tenuto a comunicare ad Area Servizi ICT, durante la fase di richiesta dello stesso, il nome di dominio che intende registrare. La comunicazione con Area Servizi ICT deve avvenire sia qualora la richiesta includa un nome di terzo livello del dominio istituzionale (es. nomedominio.polimi.it), sia nel caso in cui riguardi un dominio esterno (es. nomedominio.it, nomedominio.eu, nomedominio.com ecc.). Area Servizi ICT, in funzione della tipologia di servizio e del nome scelto, fornirà specifiche istruzioni sulle modalità tecniche con cui realizzare tale registrazione. Tale procedura deve essere seguita da qualunque soggetto eroghi un servizio che faccia qualsivoglia forma del brand Politecnico di Milano, oppure tratti dati di proprietà o condivisi con strutture dell Ateneo, indipendentemente dal fatto che il servizio stesso sia erogato dai sistemi gestiti da Area Servizi ICT, da altri dipartimenti, o da enti esterni. 1.1.8.2. Statistiche di utilizzo del servizio Area Servizi ICT è in grado di generare di default statistiche di utilizzo dei siti web ospitati all interno del proprio datacenter attraverso software che effettuano analisi dei log, quali AWStats. I report relativi a tale statistiche possono essere richiesti dal fruitore sotto forma aggregata su base mensile o annuale. 13
Qualora il fruitore necessiti di utilizzare servizi di elaborazione delle statistiche di terze parti, in particolare che richiedano l installazione di un token di utilizzo, quale ad esempio Google Analytics, il fruitore è tenuto a inoltrare specifica richiesta ad Area Servizi ICT, la quale provvederà a effettuare la richieste per la generazione del token di utilizzo del servizio e alla configurazione del servizio. Tale vincolo è necessario per soddisfare i requisiti di proprietà dei dati del Politecnico di Milano. Al fruitore sarà concesso pieno accesso (con privilegio amministrativo) alle informazioni statistiche di utilizzo del servizio. 1.1.8.3. Indicizzazione nei motori di ricerca Per quanto riguarda la configurazione per l indicizzazione dei contenuti da parte dei motori di ricerca, durante la fase progettuale il fruitore è tenuto a comunicare le necessità e Area Servizi ICT provvederà ad effettuare l impostazione iniziale, escludendo o abilitando tutti i contenuti all indicizzazione. Eventuali successive modifiche a tali impostazioni sono da ritenersi a carico del fruitore. 1.1.8.4. Pianificazione di processi batch Nel caso in cui vi sia la necessità di eseguire dei processi batch da parte di un applicativo web, il fruitore è tenuto a inoltrare richiesta ad Area Servizi ICT, fornendo dettagli circa le finalità di tali processi, la frequenza di esecuzione e i privilegi necessari. In funzione delle specifiche esigenze Area Servizi ICT si riserva il diritto di valutare la richiesta ed eventualmente proporre la soluzione più idonea. Nel caso in cui il CMS offrisse funzionalità per la gestione di processi, tale funzionalità rappresenterebbe la modalità privilegiata per la pianificazione e l esecuzione dei processi batch. Di norma, i processi batch devono essere sviluppati seguendo le indicazioni e i principi descritti in sezione 1.2.4.2 (Sviluppo sicuro di applicazioni web), tenendo conto anche delle limitazioni alle quali l ambiente di esecuzione può essere soggetto, le quali sono riportate in sezione 1.2.4.1 (Configurazione sicura dell ambiente). 1.1.8.5. Utilizzo di risorse centralizzate In generale, i servizi di hosting CMS erogati da Area Servizi ICT sono configurati in modo da poter utilizzare una limitata 1 quantità di risorse centralizzate, intese in termini di calcolo o servizi di rete generali, quali ad esempio mail server, ecc. Qualora il fruitore necessiti di utilizzare una qualunque risorsa centralizzata in modalità massiva (ad esempio per la configurazione di una funzionalità newsletter che faccia uso intensivo del mail server) è tenuto a inoltrare specifica richiesta ad Area Servizi ICT, motivando gli scopi e le previsioni di utilizzo. Area Servizi ICT si riserva il diritto di valutare tale richiesta, proponendo 1 Il dimensionamento delle risorse utilizzabili dai servizi di hosting CMS è tipicamente effettuato considerando che i siti erogati abbiano un livello di carico medio/basso. 14
eventualmente soluzioni alternative, o acconsentendo al dimensionamento del servizio in modo da consentire l utilizzo intensivo di tale risorsa. 1.1.9. Principali riferimenti Area Servizi ICT si attiene in generale a best practice quali quelle riportate nella presente sezione. Sono qui riportati i principali riferimenti e risorse utili per la messa in sicurezza delle installazioni del Content Managment System Joomla!. Tra le varie risorse disponibili sono qui riportate: Joomla! Security CheckList (http://docs.joomla.org/category:security_checklist), all interno della quale sono riassunte le principali operazioni da eseguire per garantire un livello di sicurezza accettabile nell installazione di Joomla!. In generale, inoltre, tutta la documentazione è utile per le linee guida di configurazione sicura. Joomla! Developer Network, Security News (http://developer.joomla.org/security/news.html), un servizio che notifica le vulnerabilità di sicurezza relative alla parte core del CMS e le relative contromisure da intraprendere. The Joomla! Extensions Directory (http://extensions.joomla.org/), il repository ufficiale dei moduli aggiuntivi di Joomla! all interno del quale sono contenute tutte le informazioni necessarie per valutare la qualità e la sicurezza dei moduli stessi. Joomla! Vulnerable Extensions List (http://docs.joomla.org/vulnerable_extensions_list), un servizio che pubblica le vulnerabilità di sicurezza identificate all interno dei moduli aggiuntivi. 1.2. Piattaforma per lo sviluppo di applicazioni web Una piattaforma per lo sviluppo di applicazioni web è costituita da un insieme di componenti tecnologiche che abilitano lo sviluppo e l erogazione di servizi o applicativi web. Nel contesto di questo documento è stata selezionata la piattaforma LAMP, poiché risulta tra le maggiormente utilizzate a livello globale ed è alla base del CMS Joomla!, descritto nella sezione precedente. LAMP è un acronimo che indica le componenti tecnologiche che costituiscono tale piattaforma: Linux, il sistema operativo alla base della piattaforma; Apache, il web server utilizzato per l erogazione delle pagine web e dei contenuti multimediali; MySQL, il database management system (DBMS) che consente di gestire la memorizzazione delle informazioni; PHP, il linguaggio di scripting utilizzato per l implementazione della logica applicativa delle pagine web dinamiche; 15
Tali componenti tecnologiche offrono in generale numerose funzionalità e la loro messa in sicurezza è un operazione particolarmente complessa. Per raggiungere tale scopo, Area Servizi ICT segue le principali linee guida e best practice di sicurezza, in modo da garantire un elevato livello di protezione da minacce ai propri sistemi. Nelle seguenti sezioni sono riportati soltanto alcuni cenni circa alcune azioni che possono essere intraprese da Area Servizi ICT per la messa in sicurezza. Tali raccomandazioni non da sono da intendere come esaustive, ma devono essere complementate con le raccomandazioni incluse nelle principali linee guida e best practice specifiche, delle quali sono riportati alcuni esempi. 1.2.1. Linux Linux è un sistema operativo disponibile in numerose distribuzioni open source, le quali differiscono tra loro per dettagli di funzionamento, configurazione e gestione dei pacchetti software. Gli aspetti da considerare per la sicurezza a livello di sistema operativo possono quindi variare a seconda della distribuzione utilizzata e sono quindi da definire a seconda dei requisiti identificati in fase di progettazione. In generale alcune delle principali raccomandazioni che possono essere seguite includono: crittografia delle partizioni e delle comunicazioni, in particolare in ambienti condivisi e in caso di manipolazione di dati sensibili; hardening del sistema tramite l installazione minima del software necessario, e l attivazione dei soli servizi richiesti. installazione di software di sicurezza che consenta di prevenire la diffusione di malware o virus e che consenta di limitare gli accessi alla macchina; fornire solo il livello minimo di privilegio necessario all esecuzione degli applicativi e dei servizi definiti durante la fase progettuale, riducendo al minimo le utenze di tipo amministrativo; Relativamente al tema hardening del sistema, nel perimetro di hosting di Area Servizi ICT i servizi generali di base (secondo quanto definito in [Servizi hosting offerti dall Area Servizi ICT: policy di sicurezza], quali ad esempio mail server, dns, ecc.) sono resi disponibili su macchine condivise le quali consentono ad Area Servizi ICT di mantenere un maggior livello di controllo e, di norma, non possono essere abilitati su qualunque macchina. Relativamente al tema privilegio minimo, nel perimetro di hosting di Area Servizi ICT vale quanto segue: Area Servizi ICT mantiene un accesso amministrativo a livello di sistema operativo su tutte le macchine, fisiche o virtuali, erogate tramite i propri sistemi. Area Servizi ICT si riserva il diritto di fornire utenze al fruitore con il livello di privilegio necessario ad eseguire le attività concordate durante la fase progettuale. 16
Inoltre, qualora il fruitore ne fosse abilitato, l accesso alle macchine potrebbe essere concesso tramite opportuna interfaccia web di gestione erogata tramite connessione sicura http, oppure tramite connessione SSH protetta da chiave privata. Al fine di garantire un livello di sicurezza congruo con quanto stabilito dalla policy e di avere configurazione omogenea all interno dell infrastruttura, Area Servizi ICT utilizza dei modelli di template del sistema operativo Linux per l installazione di nuove istanze. 1.2.1.1. Specificità per il software installabile Il software nella maggior parte delle distribuzioni Linux è distribuito in pacchetti che consentono di semplificare l installazione e la configurazione attraverso software di gestione. Tipicamente vi sono differenti repository attraverso i quali sono installati i pacchetti software, alcuni dei quali supportati dalla comunità che sviluppa il sistema operativo stesso, e altri di sviluppatori di terze parti. Alcuni di questi repository potrebbero includere pacchetti poco stabili o potenzialmente dannosi che potrebbero sovrascrivere alcune configurazioni di sicurezza del sistema operativo oppure introdurre vulnerabilità. Con riferimento alle modalità di erogazione dei servizi di hosting da parte di Area Servizi ICT, nelle distribuzioni CentOS, tra le più utilizzate da Area Servizi ICT stessa, il sistema di gestione dei pacchetti è basato su RPM (Red Hat Package Manager). Per prevenire l inclusione di pacchetti poco stabili o potenzialmente dannosi, la configurazione del sistema di gestione dei pacchetti è effettuata esclusivamente da Area Servizi ICT e generalmente si limita ai repository direttamente supportati dalla comunità che sviluppa il sistema operativo. La modifica di tale configurazione è proibita al fruitore. Qualora vi fosse la necessità di installare software differente, il fruitore è tenuto a notificare la richiesta ad Area Servizi ICT, la quale valuterà entro 5 giorni lavorativi, in funzione delle specifiche esigenze, se consentire, o negare tale installazione. In ogni caso è assolutamente proibita l installazione di software di virtualizzazione che abiliti la creazione e l esecuzione di macchine virtuali all interno di un sistema operativo installato da Area Servizi ICT. Area Servizi ICT si riserva comunque il diritto di monitorare il software installato ed eventualmente rimuoverlo qualora non autorizzato o in seguito all identificazione di problematiche prestazionali o di sicurezza. 17
1.2.1.2. Principali riferimenti In generale, per sistema operativo noto, sono disponibili una moltitudine di documenti che descrivono linee guida specifiche e best practice per l installazione e la configurazione sicura specifiche per il sistema operativo stesso. A titolo esemplificativo sono in seguito riportati alcuni riferimenti a risorse relative ad alcune distribuzioni Linux: National Security Agency, Guide to the Secure Configuration of Red Hat Enterprise Linux (http://1.usa.gov/toqsrq), all interno del quale sono riportate linee guida per la configurazione sicura della distribuzione Linux Red Hat, le quali sono comunque applicabili, almeno nei concetti base, altre distribuzioni. National Institute of Standard and Technology, Guide to General Server Security (http://1.usa.gov/tsh7kp), nel quale sono riportati concetti e raccomandazioni generali circa le principali attività seguire per garantire un adeguato livello di sicurezza di server. CentOS wiki, Operating System Protection (http://wiki.centos.org/howtos/os_protection) all interno della quale sono riportate le principali best practice per la configurazione del sistema operativo. 1.2.2. Apache Apache è un server web che ha il compito di ospitare ed erogare le risorse multimediali di un sito web, quali ad esempio pagine html, immagini, ecc. comunicando con browser remoti attraverso il protocollo http. Apache, come tutti i componenti applicativi, non è esente da vulnerabilità e bug. Tali vulnerabilità sono periodicamente evidenziate e corrette attraverso aggiornamenti software. Inoltre, Apache mette a disposizione numerose funzionalità, le quali necessitano di essere configurate opportunamente in base alle specifiche esigenze. Pertanto la messa in sicurezza è subordinata anche a un processo di configurazione che limiti il più possibile l eventuale creazione di situazioni di potenziale rischio. Alcuni esempi di linee guida di base per la configurazione e la gestione sicura del web server Apache possono essere: creare un utenza di sistema dedicata all esecuzione dei processi di apache che abbia i privilegi necessari per la sola visualizzazione delle pagine web e non quelli per l esecuzione di codice arbitrario, potenzialmente pericoloso; definire in maniera granulare i privilegi di accesso a file e directory, in modo da limitare gli accessi ai soli utenti autorizzati. In particolare, tale aspetto si traduce nel duplice punto di vista di limitare gli accessi diretti al file system dalla macchina e gli accessi alle risorse tramite il web. Nel primo caso ad esempio i privilegi devono essere concessi in modo che soltanto il soggetto che gestisce i contenuti e l amministratore della macchina possano 18
accedere alla porzione del file system che ospita i file pubblicati sul web. In maniera duale, l accesso tramite web deve essere limitato ai soli contenuti, inibendo in particolare l accesso a directory e file di configurazione; impostare configurazioni che prevengano l accesso tramite web di informazioni potenzialmente sensibili, quali ad esempio la versione corrente di Apache tipicamente inclusa nel banner (tale informazione dovrebbe essere rimossa qualora il sito sia online), oppure informazioni sulla configurazione generale e sullo stato attuale, visualizzabili tramite le funzionalità offerte da alcuni moduli aggiuntivi (mod_info e mod_status). Tali informazioni potrebbero infatti essere fruttate da un utente malevolo per realizzare attacchi mirati; disabilitare in generale la funzionalità di listing, che abilita la visualizzazione di tutti i contenuti presenti all interno di una pagina web; verificare che siano installati i soli moduli di apache strettamente necessari all esecuzione; limitare opportunamente l utilizzo di risorse della macchina attraverso specifiche configurazioni, al fine di prevenire attacchi di tipo Denial of Service (DoS) che potenzialmente potrebbero inficiare anche sulle prestazioni di altri servizi nel caso di ambienti condivisi. Tali configurazioni possono ad esempio includere limitazioni al numero di connessioni ammissibili, alla durata delle connessioni, alla frequenza delle richieste da parte dello stesso utente, alle dimensioni delle richieste, ecc. abilitare e configurare componenti di sicurezza specifici per Apache, tra cui ad esempio il modulo mod_security, il quale consente di rilevare i più comuni attacchi quali Cross Site Scripting (XSS), esecuzione di codice da remoto, ecc. attraverso il monitoraggio dei log e configurazioni. Area Servizi ICT adotta gli accorgimenti di cui sopra nella configurazione delle proprie istanze di web server. Area Servizi ICT inoltre, al fine di limitare la proliferazione di vulnerabilità note, mantiene i sistemi aggiornati all ultima versione possibile. 1.2.2.1. Principali riferimenti Alcuni esempi di linee guida e pratiche per la configurazione sicura di Apache HTTP Server possono essere recuperati all interno di documentazione specifica ai seguenti riferimenti: Documentazione ufficiale di Apache HTTP Server (http://httpd.apache.org/docs/current/), all interno della quale sono riportate le guide per la configurazione e, in particolare, alcune raccomandazioni per garantire un livello di sicurezza adeguato (http://bit.ly/rwzcec). CISecurity, Security Configuration Benchmarks for Apache HTTP Server (http://bit.ly/vkwxkw), che racchiude le principali line guida per la configurazione sicura, 19
redatte sulla base delle principali best practice adottate. 1.2.3. MySQL MySQL è un database management system (DBMS) relazionale open source, tra i più diffusi e utilizzati. Le best practice per la configurazione di tale DBMS includono ambiti quali: protezione delle porzioni del file system che ospitano dati, log e tutti i file dell applicazione, in modo da non renderli accessibili né in lettura né in scrittura da utenze non autorizzate; protezione delle connessioni effettuate con il database, limitando al minimo gli accessi diretti (in particolar modo se associati a utenze con privilegi amministrativi), privilegiando invece interfacce di gestione standard; predisposizione di un opportuno sistema di backup, in grado di garantire continuità operativa anche in seguito a problematiche legate alla perdita delle informazioni. All interno dell infrastruttura gestita da Area Servizi ICT, MySQL è utilizzato per memorizzazione e la gestione delle informazioni strutturate. Conformemente a quanto descritto nelle indicazioni generali, di norma Area Servizi ICT non abilita per il fruitore connessioni dirette con il database, ma mette a disposizione accessi mediante opportune interfacce web (ad esempio phpmyadmin) erogate attraverso connessioni sicure https. Data la presenza di molti ambienti condivisi all interno di tale infrastruttura, per ogni applicazione differente, viene associata un istanza dedicata di MySQL. Nel caso particolare dei CMS, inoltre, potrebbero essere create due istanze dedicate associate allo stesso servizio: una dedicata alle componenti core, e una dedicata ai contenuti del cms. Tale scelta progettuale consente di semplificare la gestione, in particolare per quanto riguarda le attività di aggiornamento, e di innalzare il livello di sicurezza, limitando il perimetro di azione, evitando l eventualità di proliferazione di eventi malevoli, e rendendo possibile una configurazione maggiormente puntuale. In generale, le configurazioni del DBMS sono a carico di Area Servizi ICT e sono effettuate in funzione delle specifiche esigenze del progetto. 1.2.3.1. Principali riferimenti Sono qui riportati alcuni dei principali riferimenti alle principali linee guida e pratiche di sicurezza più diffuse: MySQL Reference Manual (http://dev.mysql.com/doc/), che include tutte le informazioni relative al prodotto, include le possibili configurazioni. 20