如何做好基线配置
http://www.freebuf.com/articles/es/158781.html?utm_source=tuicool&utm_medium=referral
https://www.tuicool.com/articles/VFvme2e
一、為什么要做基線配置管理
一個組織在不同的時期部署了不同的業務系統,承載業務系統的是不同的操作系統和支持系統。業務系統在運行期間,基本上很少做操作系統的升級或變更。再就是由于不同供應商的支持原因,導致現存的操作系統和應用版本跨度很廣,安全人員或運維人員資源不夠的情況下很難支持做基線配置工作。
對組織的運維和安全人員來說,如果運行的業務系統一直不出事,是想不到要做基線配置、升級補丁、修復漏洞這些事情的,考慮做基線管理,通常來自于3個原因:
* 合規性性要求,上級安全檢查;
* 遇到安全事件,根源落在安全配置或加固未做好的原因上;
* 有經驗的安全運維人員主動推動。
做好基線配置和加固是安全運維工作中很基礎的工作,卻跟很多安全事件有著緊密關系,如登錄策略未配置好導致賬號可以爆破、敏感信息泄露、默認口令、開啟了含有漏洞服務的端口。做好基礎的基線管理和系統加固可以在很多突發安全漏洞情況有足夠的響應處理時間。
二、怎樣做好基線配置管理
從整個安全工作來說,需要組織高層的支持,基線配置管理也同樣需要,安全運維人員需要跟業務、開發、運維一起討論,定制一個適用的基礎運維環境統一計劃,使用相同版本的操作系統和應用軟件(容器、框架)。開發人員(包括外包開發)使用運維的建議的操作系統版本定制開發。運維人員使用分發軟件(如:SaltStack、Puppet)統一做基線的配置修改。可以參考如下步驟:
建立基線配置管理規劃
在了解組織現有資產情況(負責人是誰?現在運行的操作系統是什么版本,支持系統是什么版本?供應商是誰?是否還有開發或外包開發支持等)。同業務、開發、運維一起討論制定合理的版本統一化建議,對統一化的時間達成一致的共識,并尋求最高管理層的支持。
實施情況和實施效果跟績效關聯,明確基線的訂制、實施、評審責任,有檢查手段能夠確認安全基線未能成功部署的原因,有獎懲措施會提高基線落實的效果。
定制基礎操作系統鏡像
基礎鏡像包括選擇那個版本的操作系統、如何進行分區,如何最小化安裝,如何部署必須的工具軟件(如殺毒,主機入侵檢測、運維系統Agent等),統一做好的基礎操作系統鏡像分發給開發作為基礎的定制開發環境。
制定基線配置模板
基線配置模板可以包含運維和安全2個部分,運維部分如性能相關配置、穩定性相關配置、個性化配置。同一個應用(Tomcat、IIS、Apache等)可以做成一個統一的配置模板由SaltStack、Puppet進行分發。同時也可以做一份標準化配置腳本,在部分能分發的情況下也能統一基線配置。
安全的基線配置可以參考2個來源:工信部基線配置要求;
https://learn.cisecurity.org/benchmarks?的安全配置建議,內容很多,雖然是英文版本的,建議讀一下,寫清楚了為什么要修改成的配置原因,更新也比較及時。
分發基線配置
分發基線配置最好和運維一起做,由運維支撐系統進行分發,可以加速效率。如果運維目前階段還沒有統一的分發管理系統,可單個用配置腳本完成,這樣效率就很低。
基線配置檢查
基線配置檢查有獨立的商業產品可以支持,也可以使用運維管理系統進行檢查。
基線配置修訂
每隔幾年主流操作系統就會進行一次大版本的升級,商業版的操作系統也有可能供應商不在支持,需要建立基線修訂的觸發條件,滿足什么情況下對基線進行修訂,按照提前做好的修訂流程修訂基線配置。
三、基線管理配置的文檔示例
同安全文檔要求,分為3級文檔,1級是指導規范,2級是具體操作要求,3級是結果和檢查記錄。
《安全基線技術規范》
其中框架分類可以參考CIS Benchmark的分類。
《XX基線配置》
還有種常見的基線配置文檔見下面
檢查記錄可以在基線配置文檔增加個符合選項。
四、總結
落實好基線配置還是于其他部門做好配合,一般安全基線的創建和檢查屬于安全部門負責,實際的實施由運維來做,如果沒有比較成熟的運維能力和系統支持,做基線效率很低容易遺漏。安全人員可以協助運維建立基礎運維支撐環境,安全運維和運維共通的部分很多,很多痛點是一樣的,多和其他部門的人員溝通,一起提升組織的安全防御能力。資源不足就想辦法標準化和自動化。
現在很多業務系統在云上部署,也有組織實施了 DevOps 方案,使用 Docker 直接部署應用,基線配置也需要跟上技術趨勢,如 Docker 中配置安全的鏡像,Dockerfile 的安全配置。
總結
- 上一篇: google翻译
- 下一篇: java 获取图片像素_转:java提取