Soporte técnico

¿Necesitas ayuda?

 

Conceptos básicos de la arquitectura de seguridad de Panda SIEMFeeder

Información aplicable a:

Productos
Panda Adaptive Defense
Panda Adaptive Defense 360

En este artículo se trata la arquitectura de seguridad de Panda SIEMFeeder referente a los mecanismos AAA (Autorización, Autenticación y Acceso) y a la encriptación de las comunicaciones entre el software Panda Importer y el resto de elementos que forman la solución.

Esquema de seguridad AAA
  • Actores en la arquitectura de seguridad

    En la imagen se muestran los elementos encargados de autenticar al cliente y concederle acceso a los recursos necesarios en la plataforma para descargar los logs con la información del parque IT de la organización.

    Figura 4: arquitectura general de seguridad AAA


    • Panda Importer: programa suministrado por Panda Security encargado de recoger los logs almacenados en la plataforma Azure.
    • Topic Azure: recurso de tipo cola generado en la plataforma Azure, que almacena los logs recibidos desde Panda Security con la información de la monitorización de la infraestructura IT del cliente.
    • PAS (Panda Authorization Service): servicio que autentica y autoriza el acceso al topic Azure. Recibe de Panda Importer las credenciales asignadas al cliente en el proceso de contratación del servicio y le devuelve un token de acceso y un token de refresco.
    • PAC (Panda Access Control): servicio que permite el acceso de Panda Importer al topic de Azure provisionado para el cliente. Recibe de Panda Importer el token de refresco y devuelve una SaS key (Shared Access Signature Key).
    • Panda IdP (Identity Provider): servicio encargado de autenticar las credenciales enviadas.
    • Aether: servicio encargado de autorizar el acceso al Panda SIEMFeeder.
  • Flujo de mensaje inicial

    El flujo de mensajes inicial configura el acceso seguro al servicio Panda SIEMFeeder y es imprescindible que el equipo Panda Importer complete con éxito este procedimiento, o por el contrario no será posible acceder a la información publicada en el topic de Azure.

    A continuación, se muestra el flujo de mensajes que se intercambian en la primera ejecución de Panda Importer, numerados según la Figura 4. Este flujo de mensajes es necesario cada vez que el usuario deje de existir en el sistema o deje de tener el rol Control Total asignado en Aether.

    1. Panda Importer envía las credenciales (cuenta de correo y contraseña) asignadas al cliente.
    2. Fase Autenticación: El servicio PAS conecta con el servicio Panda IdP para validar las credenciales.
    3. Fase de Autorización: El servicio PAS conecta con el servicio Aether para comprobar que el cliente tiene acceso al servicio Panda SIEMFeeder.

      Figura 5: pasos 1 a 4 del flujo de mensajes inicial

    4. El servicio PAS genera y entrega un token de acceso y un token de refresco a Panda Importer.
    5. Panda Importer envía el token de refresco al servicio PAC.
    6. Fase de Acceso: el servicio PAC genera una SaS key (Shared Access Signature Key).
    7. Acceso al topic: Panda Importer accede al topic asignado mediante la SaS key.
    8. Panda Importer recibe los logs del topic suscrito.

      Figura 6: pasos 5 a 8 del flujo de mensajes inicial

  • Flujo de mensajes sucesivos

    Panda Importer utiliza el token de refresco para obtener la SaS key y tanto el token como la SaS key tienen una duración limitada por seguridad. Cuando expira el token de refresco, Panda Importer genera el flujo de mensajes alternativo mostrado a continuación:

    1. Panda Importer pide al servicio PAS un nuevo token de refresco. Para ello envía el token de acceso asignado en el flujo inicial mostrado anteriormente
    2. Con el nuevo token de refresco, Panda Importer pide al servicio PAC una nueva SaS key.
    3. Con la nueva SaS key, Panda Importer se conecta al topic Azure y continúa recogiendo los logs.

      Figura 7: flujo de mensajes cuando caduca el token de refresco

Características de la comunicación
  • Encriptación de las comunicaciones AAA

    Las comunicaciones establecidas para la petición y envío de tokens están encriptadas con el protocolo https SSL SHA256 – G3.
  • Duración de los tokens asignados por Panda SIEMFeeder
    • Token de refresco del PAS: 14 días
    • Token de acceso del PAS: 20 minutos
    • SAS key: 1 día

      Panda Importer utiliza el token de refresco para acceder al topic Azure. Una vez caducado, se generará un nuevo token de acceso con los datos de la cuenta introducidos en el programa Panda Importer, y con él un nuevo token de refresco para continuar accediendo al topic Azure.

      Si la cuenta utilizada en la configuración del servicio ya no se encuentra disponible o ya no tiene asignada el rol Control total, el cliente podrá seguir accediendo al servicio en tanto en cuando no expire el token de refresco (como máximo 14 días), momento en el cual será incapaz de regenerar un nuevo token de refresco y el acceso será cancelado.
  • Encriptación de las comunicaciones para la descarga de logs

    Las comunicaciones establecidas para descarga de logs están encriptadas con el protocolo TLS/SSL y SASL.

Artículos relacionados

¿Qué es Panda Importer?

Ayuda nº- 20180507 950030 ES
SIEMPRE ONLINE PARA AYUDARTE TWITTER FORO

Contacta con nuestros técnicos:

Escribe un email
SIEMPRE ONLINE PARA AYUDARTE TWITTER FORO

¿Eres un Partner o cliente de WatchGuard y necesitas ayuda con los productos Panda?

+ Info