拿来即用的企业级安全运维体系搭建指南
9月15日技术沙龙 | 与东华软件、AWS、京东金融、饿了么四位大咖探讨精准运维!
本文我们将针对如何解决问题来进行详细说明,从问题入手,通过纠正或者培养良好的运维安全习惯,搭建完整的运维安全技术体系。 一、培养良好的运维安全习惯 想要解决运维安全的问题,首先就必须要培养良好的运维安全习惯。这包括了很多方面的做法,比如: 端口开放
iptables
权限管理
脚本安全
密钥管理
服务管理
代码管理
应用选型
关注应用安全配置文档
二、企业级运维安全体系 安全体系是一套很大的概念。从流程规范,到技术架构,不是本文所能解释清楚。因此,下面所探讨的企业级运维安全体系,会把我接触到的或者已经落地的方案大体介绍一下,涉及到其中的具体落地,则待以后再撰文详细讨论。 首先,整套运维安全体系,其实属于企业安全体系的一部分,所以大体上思路不会相差太多。其次,运维安全,更关注的是“运维”,所以像业务风控、反欺诈、app反编译则不在考虑范围之内。下面让我们一同看看一套完整的企业级运维安全体系长什么样。 1、流程规范 运维规范如同人间法律,“人生而自由,却无往不在枷锁之中”。这套规范,不仅是约束、指引运维人员,也是约束、指引开发测试人员,以及围绕生产活动的所有参与者。 培训 此处的培训不是安全部门做的员工安全意识培训所能替代的,也不是针对开发测试人员举办的研发安全培训,而是只面向运维人员的意识与技术培训。就比如本文前面的安全陋习和安全习惯,就可作为意识培训的蓝本。而后面所讲的技术体系,则可作为技术培训的基础。这类培训可以放在校招培训课程里,也可以放在部门沙龙讲座里讲。 审批+审核+评估 首先,审核或者审批,不是为了阻碍业务发展,更不是为了没事找事,而是希望通过流程去减少或者避免人的因素导致忽略安全。所以权限申请要上级审批、功能开放要安全人员或者同组同事审核、功能上线要安全人员评估测试。 当然,实现的方式可以灵活多样,比如默认通过,可以根据产品或者业务需要开启审批、审核机制,然后把评估机制放在业务上线流程中,只有通过评估才能上线。在安全部门比较强势或者相对重视安全的企业,相信以上机制都落实的比较到位。 安全报表 安全可视化、数据化非常重要,是体现安全价值的形式之一,因此通过与企业SRC或者安全部的对接,可以获取运维相关的漏洞、安全事件统计数据,然后根据内部需求进行二次处理、通过定期报表的形式发给运维人员或者部门领导甚至技术负责人查看,让他们了解运维安全态势。这种做法通常能让他们看到安全不足,从而让大家从数据得到警示,或者获得上级关注,使得获得更多的资源或者实现自上而下推动安全规范落地走向可能。 流程规范的落地包括但不限于以上几点,但我觉得这几点是最重要的。 2、技术体系 1)访问控制 安全域划分下的网络隔离
统一出入口级访问控制 建设IDC级别统一入口,结合NAT网关实现出入向访问控制 目前BATJ都有自己的企业级GW作为统一应用层入口,同时使用NAT网关走出向流量。GW的实现开源方式不少,一旦作为企业级GW仍需自研。而NAT网关,则可采购具备API功能的分布式硬件防火墙或者自研NAT网关,解决IDC内网出向流量RS直接回外网时无外网IP的问题,或者服务器直接对外发起请求的情况,然后再采用统一系统管理。目前业界多有分享,相关思路不难找到。 敏感端口访问控制 一旦有了统一的出入口,整个生产网就像办公网一样,可以对外屏蔽敏感端口访问,对内限制出向流量,在风险缓解和攻击阻断上行之有效。 应用层访问控制 通过WAF防刷、限流是一种通用方案,如果没有WAF的可以应用的acl自行进行控制,比如nginx的limit_rate或者haproxy的acl。 (编辑:ASP站长网) |