为什么要做基线配置管理组织在不同的时期部署了不同

*本文原作者:百合·周,本文属于FreeBuf原创打赏计划,未经允许禁止转载

一、为什么要进行基线配置管理

一个组织在不同的时间部署了不同的业务系统,业务系统由不同的操作系统和支撑系统承载。在业务系统运行过程中,很少升级或更改操作系统。此外,由于不同供应商的支持,现有的操作系​​统和应用版本跨度很大,在安全人员或运维人员资源不足的情况下,难以支持基线配置工作。

对于组织的运维和安全人员来说,如果正在运行的业务系统一直运行顺畅,是不可能想到做基线配置、升级补丁、修复漏洞的。考虑进行基线管理通常来自三个原因:

* 合规要求,更高级别的安全检查;

* 发生安全事件软件开发基线 对应文档,根本原因在于安全配置或加固失败;

* 由经验丰富的安全运维人员积极推动。

做好基线的配置和加固是安全运维工作中一项非常基础的工作,但它与很多安全事件密切相关,比如未配置的登录策略,会导致账号爆炸、敏感信息泄露等,默认密码,并启用易受攻击服务的端口。做好基础基线管理和系统加固,可以在很多突发的安全漏洞中有足够的响应时间。

二、如何做基线配置管理

从整个安全工作的角度来看,需要组织高层的支持,以及基线配置管理。安全运维人员需要与业务、开发、运维共同商讨,为基础运维环境定制合适的统一方案。相同版本的操作系统和应用软件(容器、框架)。开发者(包括外包开发)使用操作系统推荐的操作系统版本进行定制开发。运维人员使用分发软件(如 SaltStack、Puppet)统一修改基线的配置。可以参考以下步骤:

建立基线配置管理计划

在了解组织的现有资产(谁负责?运行什么版本的操作系统,支持系统的版本?谁是供应商?是否有开发或外包开发支持等)。与业务、开发、运维共同讨论制定合理的版本统一方案,就统一时间达成共识,并寻求高层支持。

实施状态和实施效果与绩效相关,明确了基线排序、实施和审核的职责。有检查方法来确认安全基线部署不成功的原因,奖惩措施将提高基线执行的效果。

定制的基本操作系统映像

基础镜像包括选择操作系统的版本、如何分区、如何最小化安装、如何部署必要的工具软件(如杀毒、主机入侵检测、运维系统Agent等) .),以及统一的基本操作系统 分发映像以开发作为其基础的自定义开发环境。

开发基线配置模板

基线配置模板可以包括运维和安全两部分。运维部分包括性能相关配置、稳定性相关配置、个性化配置。同一个应用程序(Tomcat、IIS、Apache等)可以做成统一的配置模板,由SaltStack和Puppet分发。同时也可以制作标准化的配置脚本,在局部分布的情况下也可以统一基线配置。

安全基线配置可以参考2个来源:工信部基线配置要求;

有很多安全配置建议。虽然是英文的,但还是建议阅读清楚,写清楚为什么要修改配置。更新也比较及时。

分发基线配置

最好将基线配置与运维一起分发。由运维支撑系统分布,可加快效率。如果现阶段运维没有统一的分发管理系统,可以通过单一的配置脚本完成,效率非常低。

基线配置检查

基线配置检查由独立的商业产品支持,也可以使用运维管理系统进行检查。

基线配置修订

主流操作系统每隔几年就会升级一次,商业版操作系统可能供应商不支持。需要建立基线修订的触发条件。在什么情况下,基线要根据提前量进行修改。完善的修订流程会修订基线配置。

图片[1]-为什么要做基线配置管理组织在不同的时期部署了不同-唐朝资源网

三、基线管理配置文档示例

同安全文件要求,分为3级文件,1级为指导规范,2级为具体操作要求,3级为结果和检验记录。

《安全基线技术规范》

框架分类可以参考CIS Benchmark的分类。

《XX基线配置》

下面还有一个通用的基线配置文档

检查记录可以将合规选项添加到基线配置文件中。

四、总结

最好与其他部门合作实施基线配置。一般来说,安全基线的创建和检查是安全部门的职责,实际的执行是由运维来完成的。如果没有成熟的运维能力和系统支持,会使基线效率低下,容易错过。安全人员可协助运维,建立基本的运维支撑环境。安全运维和运维有很多共同点,很多痛点是相同的。加强与其他部门人员的沟通,提高组织的安全防御能力。如果资源不足,想办法标准化和自动化。

现在很多业务系统都部署在云端,一些组织已经实现了DevOps解决方案软件开发基线 对应文档,使用Docker直接部署应用,基线配置也需要跟上技术趋势,比如安全镜像的配置Docker 和 Dockerfile 的安全配置。

© 版权声明
THE END
喜欢就支持一下吧
点赞251 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片