设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 数据 手机 公司
当前位置: 首页 > 服务器 > 搭建环境 > Windows > 正文

拿来即用的企业级安全运维体系搭建指南(3)

发布时间:2018-09-14 22:14 所属栏目:117 来源:林伟壕
导读:数据安全层面,最好是和开发、业务安全联合规划设计方案。通常运维安全所能覆盖的是访问控制、认证授权、备份、加密等。 访问控制:区分数据敏感程度,实行不同程度的访问控制。但是应当严格按照db放置于内网的原则

数据安全层面,最好是和开发、业务安全联合规划设计方案。通常运维安全所能覆盖的是访问控制、认证授权、备份、加密等。

  • 访问控制:区分数据敏感程度,实行不同程度的访问控制。但是应当严格按照db放置于内网的原则。
  • 认证授权:基于RBAC进行授权。如果是比较成熟的db或者大数据集群,还可以使用动态计算权限、动态下发权限的方式,做到有需才授权、用完就回收。
  • 备份:本地备份与远程备份,是业务需要决定是否加密备份。

加密

传输:通常使用https实现通道安全。关于https有2个最佳事件——

  • a.证书采购:开发测试环境或者非重要业务可以使用免费SSL证书Let's Encrypt,该方案支持全自动签发、续签,通过交叉证书实现了对大多数客户端环境的兼容,此外可以使用https://www.ssllabs.com/进行站点安全扫描与兼容性测试。
  • b.证书部署:针对站点接入CDN需要把证书私钥放在CDN,或者tls握手环节消耗服务端性能可能影响业务的问题,可以使用cloudflare的keyless方案,将计算压力转移到专门的集群,该集群可以使用Intel QAT硬件加速,同时在协议层面做针对性优化,从而实现压力转移与性能优化。

存储:这里基本上是开发层面或者业务安全层面考虑,但是如果由运维安全去做,则通常只是在文件系统层面进行加密而已,比如使用企业级方案ecryptfs。

脱敏:开发测试人员需要从备份数据或者日志中拉数据进行它用,此时需要注意脱敏。通常采用替换、增删字段、去除特征以及去除关联性等方式。

8)安全事件应急响应

下面是一个通用的安全事件应急响应流程,很显然运维人员、安全人员需要配合很多工作,其中需要注意的有:

拿来即用的企业级安全运维体系搭建指南

  • 保护现场,备份数据;
  • 联系产品评估影响范围;
  • 确认能否先封iptables限制外网访问;
  • 确认被黑机器接入基线审计与入侵检测情况;
  • 确认是否有数据泄露、机器被root,加了异常用户、异常进程、crontab,开放异常端口;
  • 确认被黑机器是否有内网ip,查看监控核实是否被作为跳板机;
  • 创建运维工单,跟踪和复盘漏洞发生与处理情况。

3、外部合作

运维安全,首先是运维。日常工作中与IT、安全和网络部门关系都十分密切,保持与兄弟部门的良好沟通和信息共享非常重要。下面我们探讨一下与他们合作的可能性。

1)与IT部门

主要是办公网安全,尤其是NAC:网络接入系统,通常是IT维护,但由于历史原因或者技术支持的需求,NAC可能需要运维安全人员提供技术支持,比如前面提到的VPN服务。

2)与安全部门

运维安全属于安全的一个分支,不在安全部门管理之下,但其与安全部门的联系极其密切,可以说无论是业务安全,还是运维安全,都是“站在巨人之上”。

  • 安全部门提供基础设施如DDoS防御系统和对外统一接口如SRC等;
  • 安全部门提供SDL支持,运维与产品部门的联系较安全部门更为密切,很多时候需求先到运维,才到安全,所以通过运维安全一起推动安全培训、安全架构设计与落地、渗透测试等工作也不少见;
  • 相对应的,运维安全也能根据运维部门和产品具体情况实现精细化的漏洞运营,同时推动漏洞高效修复。

3)与网络部门

很多企业的运维和网络很长一段时间都是放在同一个部门之下,即便拆分出来之后,两者合作也是最多。对于运维安全而言,在访问控制和DDoS防御上非常需要网络部门支持。

  • 访问控制

如网络隔离和统一出入口访问控制的落地。

  • DDoS防御

网络打通、流量采集与包括ip资产信息在内的数据共享。

我们从运维安全的概念入手,强调了运维安全困境导致了我们的重视,也从安全意识和基础架构建设上剖析了导致该困境的原因,然后就事论事,希望通过运维安全意识培养、运维安全规范以及运维安全技术体系的建设,来保障一套完整的运维安全体系的有效运转,为业务发展保驾护航。

本文源于一次内部培训,从构思到成文,前后花了几周的时间,中间断断续续,勉强成文。囿于笔者的认知能力和技术沉淀,以及文章篇幅限制,可能很多地方说得不够清楚或者存在错漏。再次抛砖引玉,希望得到大家的更多指点。同时,也希望借此文刷新大家对运维安全的认识:运维安全,没那么简单。

作者介绍

林伟壕,SecDevOpsor,先后在中国电信和网易游戏从事数据网络、网络安全和游戏运维工作。对Linux运维、虚拟化和网络安全防护等研究颇多,目前专注于网络安全自动化检测、防御系统构建。

【编辑推荐】

  1. 云计算技术的出现或导致IT运维体系产生重大变革
  2. Linux运维一定要知道的六类好习惯和23个教训,避免入坑!
  3. 有同也有异,对比BAT的运维文化
  4. Linux运维常见问题及解决的32个锦囊妙计
  5. 每天5万条告警,腾讯如何做到“咖啡运维”?
【责任编辑:未丽燕 TEL:(010)68476606】
点赞 0

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读