Política de Seguridad de Zabbix

El proceso de seguridad de Zabbix

Zabbix sigue un proceso estricto al desarrollar nuevas versiones de nuestro software, de acuerdo con la política de lanzamiento y ciclo de vida de Zabbix. Todas las tareas están sujetas a normas estrictas impuestas por Zabbix:

Todos los desarrolladores de Zabbix cumplen con las   directrices de codificación del proyecto.
Todo el código es revisado por un jefe desarrollador antes de ser fusionado con la base de código de Zabbix.
Todas las tareas son probadas por ingenieros de control de calidad.
Se realiza un análisis de causa raíz para detectar vulnerabilidades y los resultados se agregan a las capacitaciones de código seguro que se realizan para los desarrolladores para evitar vulnerabilidades similares en el futuro.
Los entornos de desarrollo y prueba de Zabbix Cloud mantienen un control de acceso separado, completamente aislado del entorno de producción.

Nunca se realizan pruebas en los entornos de producción de clientes de Zabbix Cloud, y los datos de cuentas/información de contactos, así como el contenido del cliente (en los nodos de Zabbix), nunca se copian ni se utilizan para pruebas/solución de problemas.
Un nodo Zabbix en la nube es casi lo mismo que una versión independiente, proporcionamos la última versión con vulnerabilidades de seguridad corregidas y hallazgos de HackerOne y otras fuentes.
Zabbix Cloud es examinado y evaluado continuamente por herramientas y equipos internos, los problemas de seguridad se transmiten al equipo de infraestructura o desarrollo para mejorar nuestra postura de seguridad.
Aunque el proceso de desarrollo está diseñado para reducir los problemas de seguridad, aún es posible que se descubran nuevas vulnerabilidades. Zabbix trata los problemas de seguridad en versiones mantenidas como una alta prioridad. Tenga en cuenta que Zabbix no corrige los problemas de seguridad en versiones que ya no reciben soporte. Si esto es necesario, se trata de un desarrollo personalizado que se cobra por hora.

Certificaciones

Para garantizar a nuestros clientes que Zabbix es una organización profesional y bien administrada, que se aplican las medidas de seguridad de la información adecuadas según sea necesario y que los clientes pueden confiar en el código fuente, nuestros servicios profesionales y nuestro servicio Zabbix Cloud, Zabbix ha:

Implementado un programa de seguridad consistente y conforme con la norma ISO/IEC 27001:2022 para la gestión de la seguridad de la información
Implementado la extensión ISO/IEC 27017:2015 para los controles de seguridad en la nube
Utilizado otras prácticas recomendadas de ciberseguridad para complementar la norma

Ver certificado en tamaño completo

Seguridad de Zabbix Cloud

Las instancias Zabbix de cada cliente están aisladas entre sí.

Los datos de las instancias Zabbix de cada cliente se encuentran en volúmenes EBS y están cifrados en reposo con AES-256.

Cada nodo de cliente utiliza los grupos NTP de Amazon Time Sync Service (time.aws.com) como fuente de tiempo.

Para las copias de seguridad de los clientes se utiliza la tecnología AWS Snapshot y el cifrado EBS con cifrado de datos en reposo AES-256.

Todas las comunicaciones en tránsito, tanto internas como externas, utilizan al menos certificados TLS 1.2 y (cuando es posible) TLS 1.3.

Los usuarios pueden registrarse con una dirección de correo electrónico válida y configurar su contraseña en la plataforma en la nube de Zabbix. Se utilizan códigos OTP por motivos de seguridad.

Las contraseñas de los clientes para las cuentas locales están protegidas con un algoritmo de hash BCRYPT, por lo que los empleados de Zabbix no tienen acceso a su contraseña y no pueden recuperarla por usted. La única opción si pierde su contraseña es restablecerla.

En los casos en los que los empleados de Zabbix necesitan conectarse a los componentes de interfaz o servidor de un cliente, revisar archivos de registro, resolver cualquier problema con los Servicios, a pedido explícito de un cliente por razones de soporte técnico o según lo exija la ley, utilizamos una combinación de servicios de gestión de claves de nivel empresarial y tecnologías de gestión de secretos. No existen privilegios permanentes para los ingenieros o el equipo de soporte. Practicamos el acceso Just-in-Time (en tiempo de ejecución) durante el período más breve posible.

Todos los empleados que trabajan dentro de Zabbix y acceden a Zabbix Cloud de cualquier manera utilizan dispositivos administrados y propiedad de la empresa con XDR y cifrado en reposo.

Se utilizan varios conjuntos de mejores prácticas: los sistemas se fortalecen con CIS, las mejores prácticas de AWS VPC, las mejores prácticas de AWS IAM, etc.

Contamos con varias soluciones internas que se utilizan para supervisar nuestros sistemas, la disponibilidad, el rendimiento y otros parámetros críticos.

La disponibilidad del sistema se puede consultar en: https://cloud-status.zabbix.com/

Informar problemas de seguridad

Antes de informar el problema:
Asegúrese que el problema que está enviando no esté relacionado con la configuración del servidor, scripts y utilidades de terceros. Para evitar posibles problemas con la configuración del servidor, recomendamos a los usuarios de Zabbix que lean las mejores prácticas recomendadas para la configuración segura de Zabbix.

Para informar un problema de seguridad, cree un nuevo problema en la sección Informes de seguridad de Zabbix (ZBXSEC) del rastreador de errores público que describa el problema (y una solución propuesta si fuese posible) en detalle. De esta manera, podemos asegurarnos que únicamente el equipo de seguridad de Zabbix y el informante tengan acceso al caso.

La siguiente información será útil para el equipo de seguridad de Zabbix:

Fecha y hora cuando identificó el defecto de seguridad.
Rango de versiones de Zabbix afectadas.
Tipo de problema de seguridad que está informando, p. ej.: XSS, CSRF, SQLi, RCE.
Componentes afectados, p. ej.: Interfaz, Servidor, Agente, API.
Cualquier detalle que pueda proporcionar, p. ej. Capturas de pantalla, grabaciones de pantalla, registros de transacciones http(s), vulnerabilidades de prueba de concepto (no comparta ninguna evidencia a través de servicios de intercambio de archivos no autentificados y evite compartir información confidencial, ya que si el equipo de seguridad de Zabbix decide que este problema no se ajusta a la descripción del defecto de seguridad, podría trasladarse al proyecto ZBX y el problema sería visible para todos los usuarios).
Instrucciones paso a paso sobre cómo reproducir el problema, ya que es posible que no sea fácil de identificar.

Cómo gestionar problemas de seguridad

El equipo de seguridad de Zabbix revisa el problema y evalúa su impacto potencial.
Si se descubre que el problema de seguridad no está relacionado con la seguridad, se trasladará a un proyecto de desarrollo interno.
El equipo de seguridad de Zabbix trabaja en el problema para brindar una solución y guarda todos los detalles sobre el problema hasta que salga la próxima versión del producto Zabbix afectado. Si el código fuente de Zabbix y el nodo de Zabbix Cloud se ven afectados por la misma vulnerabilidad, los detalles se mantendrán internos hasta que se actualicen ambos productos.

Se crean nuevos paquetes y se disponen para descarga en la sección https://zabbix.com/download y también se actualiza la versión del nodo Zabbix Cloud.
Zabbix solicita identificadores CVE para el problema de seguridad del código fuente de Zabbix.
Se envía un correo electrónico a los clientes con acuerdos de soporte válidos para indicarles un plazo para realizar la actualización antes que el problema se haga público.
Las vulnerabilidades corregidas o cualquier otro aviso de seguridad se publican en nuestra página de avisos de seguridad: https://www.zabbix.com/security_advisories.