Puzzle Security-Days April 2020

 

Das siebenköpfige Team des Branches vereint Members aus den verschiedenen Geschäftsbereichen (Dev, Ops und UX). Dieses Team hat sich zum Ziel gesetzt, die Awareness für Security bei Puzzle zu stärken. Der Branch dient ausserdem als firmenweite Anlaufstelle für IT-Sicherheitsfragen.

Die Security-Days, die das erste Mal im April durchgeführt wurden, fanden – wegen des Corona-Lockdowns – remote statt. Trotzdem hat es uns viel Spass gemacht und die Durchführung war ein voller Erfolg.

Projekte

Wir möchten euch eine kurze Übersicht geben, was an den beiden Tagen erarbeitet wurde.

1. SSL Labs und Security Headers Dashboard

Um was geht es?

SSL Labs analysiert die TLS Konfiguration eines HTTPS Webservers und vergibt einen sogenannten “Grade” zwischen A+ und F. Security Headers untersucht und bewertet die vom Webserver gesendeten Security HTTP Response Headers mit einem Wert zwischen A+ und F. Je näher die Bewertungen an A+ liegt, desto sicherer ist ein Webserver konfiguriert.

Was wurde umgesetzt?

Franziska Bühler hat mit Hilfe einer GitLab CI Pipeline die automatisierte Generierung der beiden Grades für alle Puzzle Webserver implementiert. Dank Reto Kupferschmid wird aus diesen Resultaten, ebenfalls automatisiert, ein Grafana Dashboard erstellt.

In einem nächsten Schritt erarbeitet Franziska Bühler einfache Anleitungen für die Verbesserung der Scores. In sogenannten Tech Kafis wird sie mit den Verantwortlichen zusammen konkret an den Verbesserungen der Scores arbeiten.

2. pwmate – Automated Password Changes

Um was geht es?

Ein CLI-Tool, das es erlaubt, Passwörter automatisch zu erneuern. Es wird automatisch ein neues, sicheres Passwort generiert. Für das Login wird das bestehende Passwort aus dem Passwort-Manager ausgelesen und nach erfolgreichem Wechsel, wiederum dort eingetragen.

Was wurde umgesetzt?

Nik Wolfgramm hat in die Tasten gehauen. Es entstand ein funktionierender Prototyp, welcher Passwörter von cloudscale.ch -Accounts erneuern kann.

Als Passwort-Manager wird das hauseigene Cryptopus sowie Hashicorp Vault unterstützt.

Mehr Infos dazu im Projekt-Repo auf GitHub.

3. Mailserver Security und GPG Ablösung / Analyse

Christian Fasnacht hat sich die Puzzle Mailserver Security resp. Phishing und Spam Schutz Mechanismen angeschaut. SPF (Sender Policy Framework) und DMARC (Domain-based Message Authentication, Reporting and Conformance) wird schon eingesetzt, DKIM (DomainKeys Identified Mail) ist bis jetzt nur vorbereitet aber noch nicht aktiviert.

Ein weiterer Punkt war die Analyse für die Ablösung von GPG. GPG hat bekanntlich diverse Security Probleme und auch die Keyserver waren in der Vergangenheit von Problemen betroffen. Leider scheint es aber bis jetzt keinen gleichwertigen Ersatz zu geben. Diese Analyse und das Folgeprojekt wird weiter verfolgt.

4. Keycloak-Konfiguration as Code

Um was geht es?

Keycloak ist eine Open Source Identity and Access Management Lösung, die bei Puzzle zunehmend ein zentraler Baustein für die interne Infrastruktur bildet.

Nachdem die Bereitstellung der Infrastruktur bereits vorgängig durch die Members Reto Kupferschmid und Lukas Preisig automatisiert wurde, sollte nun auch noch die Konfiguration folgen.

Was wurde umgesetzt?

Ramon Spahr hat auf Basis des Tools keycloak-config-cli und mittels GitLab CI eine Pipeline realisiert, welche das automatisierte Ausrollen der Konfigurationen auf die unterschiedlichen Keycloak Instanzen ermöglicht. Die Keycloak-Konfigurationen werden als Code und versionsunabhängig in einem SCM gepflegt. Diese sind verschlüsselt und werden durch die Pipeline entschlüsselt und unter Berücksichtigung der Keycloak-Version der Zielinstanz angewendet. Die Pipeline wird nun noch um entsprechende Tests ergänzt.

Fazit

In Zukunft möchten wir monatlich einen Security-Day durchführen, um uns um die Umsetzung von kleineren Verbesserungen und Innovationen kümmern zu können. Frei nach dem Motto:
Changing IT for the better – through security hacking!