【最新】 经验分享 | 如何做好基线配置

安全工具        2018-01-05 10:03   来源:安全客   作者:安全客
*本文原创作者:白河·愁,本文属FreeBuf原创奖励计划,未经许可禁止转载一、为什么要做基线配置管理一个组织在不同的时期部署了不同的业务系统,承载业务系统的是不同的操作系

*本文原创作者:白河·愁,本文属FreeBuf原创奖励计划,未经许可禁止转载

一、为什么要做基线配置管理

一个组织在不同的时期部署了不同的业务系统,承载业务系统的是不同的操作系统和支持系统。业务系统在运行期间,基本上很少做操作系统的升级或变更。再就是由于不同供应商的支持原因,导致现存的操作系统和应用版本跨度很广,安全人员或运维人员资源不够的情况下很难支持做基线配置工作。

对组织的运维和安全人员来说,如果运行的业务系统一直不出事,是想不到要做基线配置、升级补丁、修复漏洞这些事情的,考虑做基线管理,通常来自于3个原因:

* 合规性性要求,上级安全检查;

* 遇到安全事件,根源落在安全配置或加固未做好的原因上;

* 有经验的安全运维人员主动推动。

做好基线配置和加固是安全运维工作中很基础的工作,却跟很多安全事件有着紧密关系,如登录策略未配置好导致账号可以爆破、敏感信息泄露、默认口令、开启了含有漏洞服务的端口。做好基础的基线管理和系统加固可以在很多突发安全漏洞情况有足够的响应处理时间。

二、怎样做好基线配置管理

从整个安全工作来说,需要组织高层的支持,基线配置管理也同样需要,安全运维人员需要跟业务、开发、运维一起讨论,定制一个适用的基础运维环境统一计划,使用相同版本的操作系统和应用软件(容器、框架)。开发人员(包括外包开发)使用运维的建议的操作系统版本定制开发。运维人员使用分发软件(如:SaltStack、Puppet)统一做基线的配置修改。可以参考如下步骤:

建立基线配置管理规划

在了解组织现有资产情况(负责人是谁?现在运行的操作系统是什么版本,支持系统是什么版本?供应商是谁?是否还有开发或外包开发支持等)。同业务、开发、运维一起讨论制定合理的版本统一化建议,对统一化的时间达成一致的共识,并寻求最高管理层的支持。

实施情况和实施效果跟绩效关联,明确基线的订制、实施、评审责任,有检查手段能够确认安全基线未能成功部署的原因,有奖惩措施会提高基线落实的效果。

定制基础操作系统镜像

基础镜像包括选择那个版本的操作系统、如何进行分区,如何最小化安装,如何部署必须的工具软件(如杀毒,主机入侵检测、运维系统Agent等),统一做好的基础操作系统镜像分发给开发作为基础的定制开发环境。

制定基线配置模板

基线配置模板可以包含运维和安全2个部分,运维部分如性能相关配置、稳定性相关配置、个性化配置。同一个应用(Tomcat、IIS、Apache等)可以做成一个统一的配置模板由SaltStack、Puppet进行分发。同时也可以做一份标准化配置脚本,在部分能分发的情况下也能统一基线配置。