Implementación de un SIEM para la auditoría de eventos de seguridad sobre cluster de Kubernetes en un entorno multicloud

Abstract

En la actualidad cualquier organización que trabaje con sistemas y tecnologías de información está expuesta a múltiples amenazas de seguridad. El cada vez mayor número y heterogeneidad de estos sistemas hace indispensable que las organizaciones tengan capacidad de registrar, auditar y correlar todos los eventos de seguridad en un sistema centralizado con el objetivo de mantener bajo control la postura de seguridad y su nivel de riesgo tecnológico. A través de este trabajo y empleando el caso ficticio de una organización para contextualizar el supuesto tecnológico de partida, se realiza un estudio de los SIEM de mercado, con una clara orientación hacia el uso de un modelo de software libre así como un diseño empleando los paradigmas del modelo cloud. Para ello se diseña e implementa un modelo de arquitectura desplegando una solución SIEM sobre un proveedor de cloud de mercado con capacidad de resiliencia y escalado. Una vez alcanzado este objetivo, se diseña un juego de pruebas de concepto para validar la solución y se pone a prueba sobre un ecosistema distribuido de agentes remotos, corroborando la generación de eventos de auditoría de seguridad tanto desde sistemas On-premise como desde origenes en múltiples proveedores cloud.

Nowadays any organization that works with information systems and technologies is exposed to multiple security threats. The increasing number and heterogeneity of these environments makes it essential for these organizations to have the ability to audit and correlate all security events in a centralized system in order to keep the security posture and the level of risk under control. Through this work and using a fictitious case of an organization to contextualize the starting technological assumption, a study of market SIEMs is carried out withclear orientation towards with opensource software and implementation in a multicloud model with scaling and resilience capabilities. Then an architecture model is been designed and next it will the base for deployment a SIEM solution on a market cloud provider. Once final system is designed and deployed, a set of proofs of concept is performed to validate the solution on distributed and remote agents, testing the generation of security events as from sources on-premises and multiple cloud providers.

En l'actualitat qualsevol organització que treballi amb sistemes i tecnologies d'informació està exposada a múltiples amenaces de seguretat. El cada vegada major número i heterogeneïtat d'aquests sistemes fa indispensable que les organitzacions tinguin capacitat de registrar, auditar i correlar tots els esdeveniments de seguretat en un sistema centralitzat amb l'objectiu de mantenir sota control la postura de seguretat i el seu nivell de risc tecnològic. A través d'aquest treball i emprant el cas fictici d'una organització per a contextualitzar el supòsit tecnològic de partida, es realitza un estudi dels SIEM de mercat, amb una clara orientació cap a l'ús d'un model de programari lliure així com un disseny emprant els paradigmes del model cloud. Per a això es dissenya i implementa un model d'arquitectura desplegant una solució SIEM sobre un proveïdor de cloud de mercat amb capacitat de resiliència i escalat. Una vegada aconseguit aquest objectiu, es dissenya un joc de proves de concepte per a validar la solució i es posa a prova sobre un ecosistema distribuït d'agents remots, corroborant la generació d'esdeveniments d'auditoria de seguretat tant des de sistemes On-'premise com des de origenes en múltiples proveïdors cloud.