拿来即用的企业级安全运维体系搭建指南(3)
数据安全层面,最好是和开发、业务安全联合规划设计方案。通常运维安全所能覆盖的是访问控制、认证授权、备份、加密等。
加密 传输:通常使用https实现通道安全。关于https有2个最佳事件——
存储:这里基本上是开发层面或者业务安全层面考虑,但是如果由运维安全去做,则通常只是在文件系统层面进行加密而已,比如使用企业级方案ecryptfs。 脱敏:开发测试人员需要从备份数据或者日志中拉数据进行它用,此时需要注意脱敏。通常采用替换、增删字段、去除特征以及去除关联性等方式。 8)安全事件应急响应 下面是一个通用的安全事件应急响应流程,很显然运维人员、安全人员需要配合很多工作,其中需要注意的有:
3、外部合作 运维安全,首先是运维。日常工作中与IT、安全和网络部门关系都十分密切,保持与兄弟部门的良好沟通和信息共享非常重要。下面我们探讨一下与他们合作的可能性。 1)与IT部门 主要是办公网安全,尤其是NAC:网络接入系统,通常是IT维护,但由于历史原因或者技术支持的需求,NAC可能需要运维安全人员提供技术支持,比如前面提到的VPN服务。 2)与安全部门 运维安全属于安全的一个分支,不在安全部门管理之下,但其与安全部门的联系极其密切,可以说无论是业务安全,还是运维安全,都是“站在巨人之上”。
3)与网络部门 很多企业的运维和网络很长一段时间都是放在同一个部门之下,即便拆分出来之后,两者合作也是最多。对于运维安全而言,在访问控制和DDoS防御上非常需要网络部门支持。
如网络隔离和统一出入口访问控制的落地。
网络打通、流量采集与包括ip资产信息在内的数据共享。 我们从运维安全的概念入手,强调了运维安全困境导致了我们的重视,也从安全意识和基础架构建设上剖析了导致该困境的原因,然后就事论事,希望通过运维安全意识培养、运维安全规范以及运维安全技术体系的建设,来保障一套完整的运维安全体系的有效运转,为业务发展保驾护航。 本文源于一次内部培训,从构思到成文,前后花了几周的时间,中间断断续续,勉强成文。囿于笔者的认知能力和技术沉淀,以及文章篇幅限制,可能很多地方说得不够清楚或者存在错漏。再次抛砖引玉,希望得到大家的更多指点。同时,也希望借此文刷新大家对运维安全的认识:运维安全,没那么简单。 作者介绍 林伟壕,SecDevOpsor,先后在中国电信和网易游戏从事数据网络、网络安全和游戏运维工作。对Linux运维、虚拟化和网络安全防护等研究颇多,目前专注于网络安全自动化检测、防御系统构建。 【编辑推荐】
点赞 0 (编辑:ASP站长网) |