《從安全、監控與災備說開去,談運維管理防線建設》要點:
本文介紹了從安全、監控與災備說開去,談運維管理防線建設,希望對您有用。如果有疑問,可以聯系我們。
作者介紹
戰學超,青航數據架構師.曾任職于NEC軟件、海爾B2B平臺巨商匯,負責企業數據平臺構建、B2B電商平臺數據管理與搭建.擁有豐富DBA、系統運維架構經驗,擅長數據庫、數據平臺搭建、私有云部署、自動化運維等.
在搭建運維管理平臺時,安全是不得不面對的重點模塊之一.這里結合我最近所研究以及我司在信息安全、網絡安全等方面的管理經驗,跟大家做一下分享,希望能夠起到拋磚引玉,一起構筑起堅固的企業安全運維防線.
首先是網絡安全相關.個人認為,網絡安全的第一步是劃分清楚網絡區域,不同網絡區域之間通過防火墻,網絡區域內部通過交換機和IPTABLES等做嚴格的網絡訪問限制.除了使用到的端口對某些或是某區域內終端開放外,其它要嚴格控制訪問權限,做到在網絡層面最大程度的減少安全事件發生.
企業網絡區域大概分為訪客區、辦公網、DMZ、內網這幾個區域.這是對企業有自建數據中心的情況,很多企業將服務器大多托管至IDC機房,此時DMZ、內網可以理解為IDC機房網絡.企業內部訪問IDC機房網絡或是訪問自建數據中心的DMZ、內網需要通過防火墻做嚴格控制.
一般情況下,可以將辦公網絡分為IT部門區域和非IT部門區域.只允許IT部門區域的終端有權限訪問DMZ、內網上的服務器,非IT部門的終端無權訪問.為了嚴格保護內網中的生產數據,建議IT部門細分開發區、測試區.訪客網絡一般為企業的無線wifi,主要為公司訪客提供網絡服務,這個區域一般是不需要跟辦公網、內網、DMZ等訪問的,可以嚴格隔離,避免黑客或是攻擊者通過訪客網區域供給內網.
網絡區域劃分越詳細,整個企業的網絡安全也會越高,當然管理也會越復雜.另外一點需要注意的是,對于自建數據中心,接入DMZ、內網的除了多鏈路(聯通、電信、移動個等)接入外,還需與辦公網等分開,避免相互受影響.
網絡區域劃分和網絡隔離,相當于為企業信息安全關上了一道大門,接下來通過安全軟硬件進一步關閉內門、窗戶,阻止信息的泄露.
首先,企業一般至少會采購兩種不同型號防火墻各一臺,一是為企業內部提供防火墻功能,二是避免防火墻單節點故障,不同型號的防火墻也可以避免單一防火線存在漏洞的問題.
終端管理與規范制度
終端管理要求必須安裝防病毒軟件,并且及時更新病毒庫.定時進行終端計算機的掃描工作,避免辦公區域內存在傀儡機、僵尸機等潛在威脅.另外部署WSUS(是Windows Server Update Services)服務器,以備及時下發升級系統.
例如前一陣的勒索病毒就是在掌握補丁包后,通過WSUS及時下發給所有終端PC機和Windows服務器,及時堵住漏洞以防病毒入侵.服務器端,Linux環境下,可以通過腳本、SaltStack等自動運維工具的方式,批量更新系統代碼包、程序包,做到漏洞來臨之前,及時快速自動地下發補丁包,堵住漏洞.
除了通過防病毒軟件堵住一部分PC機的潛在威脅,還需及時建立起全公司范圍內的信息安全管理規范和制度,并且定期進行信息安全培訓,提高公司人員的安全意識,不給安全威脅以可乘之機.編寫常見病毒入侵、掛馬手段文檔,結合實際案例供全公司人員學習,如可疑郵件不要點擊、QQ等即時通訊工具發送的非正常信息不要打開等.
信息安全無小事,一臺PC機的攻破,極有可能帶來整個公司的網絡癱瘓甚至數據丟失等,對人員的安全意識培訓一定不能忽視.
上網行為管理
嚴格來講,上網行為管理不能算是信息安全的設備.但是可以通過上網行為管理限制終端訪問不安全網站過濾敏感或是威脅網絡信息,還可以限制網路上傳下載帶寬等,大大降低終端被入侵的概率.
另外上網行為管理也記錄了用戶的訪問信息,在不安全事件發生后,也可以利用日志記錄,判斷不安全事件根源.
專業安全設備
為了更好地保護企業IT系統和服務器,一般情況下,還需要購置一些專業的信息安全設備.
IPS入侵防御系統(IPS: Intrusion Prevention System):
IPS是網絡安全設施,是對防病毒軟件和防火墻的補充.IPS能夠監視網絡或網絡設備的網絡資料傳輸行為,能夠即時地中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為.
IDS入侵檢測系統(Intrusion Detection Systems):
IDS是依照一定的安全策略,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性.IPS側重防御,出現問題實時防御,IDS主要是檢測,出現問題及時告警.
WAF網站應用防火墻(Web Application Firewall):
WAF主要工作在應用層,執行一系列針對HTTP/HTTPS的安全策略,對來自Web應用程序客戶端的各類請求進行內容檢測和驗證,確保其安全性與合法性,對非法的請求予以實時阻斷,從而對各類網站站點進行有效防護.WAF主要對Web應用安全提供防護,而IPS是對企業整個網絡安全進行防護.IPS一般接在防火墻之后.二者類似于保安與保鏢:IPS是企業安全體系的保安,WAF是企業Web應用的專業保鏢,保護的側重點不同.
如果說上述防火墻、IPS/IDS、WAF屬于被動防御的話,那么漏洞掃描設備屬于主動防御的設備.漏掃基于漏洞數據庫,通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,發現可利用漏洞的一種安全檢測(滲透攻擊)行為.漏掃一般會定期進行,不會實時掃描,因為對系統的性能影響相對大一些.通過漏掃,及時發現系統、網絡等漏洞,及時安裝補丁升級,防止漏洞被利用.
VPN很多時候可以跟SSL、HTTPS一起,二者主要是對數據鏈路層的加密,防止數據被抓包解析導致數據泄露.對于企業內部使用的系統,在需要公網環境下使用的時候,應避免將系統直接或是通過反向代理的方式放到公網上,盡量通過VPN的方式接入,保障內部系統的安全性.隨著數據越來越重要,尤其是客戶信息數據,在對外網提供服務的Web應用中,盡量走SSL協議,實現HTTPS,數據加密傳輸,避免敏感數據的泄露.
專業的安全設備往往需要一定數額的資金投入,但這是值得的.當下環境系統,數據的安全越來越凸顯重要,數據的丟失和泄露極有可能為企業帶來災難性的威脅.當然也可以使用開源的安全設備進行防護,如比較成熟的OSSIM開源安全信息管理系統.
當然,有些設備是不能使用開源的,如防火墻.開源的安全設備更新換代也比較快,一些新的漏洞暴露出來后一般也會及時有補丁包出來,但是由于只有社區的支持,需要付出一定的學習成本.這是很值得的,因為在不斷學習的過程中,自身對信息安全和攻防手段越來越熟悉,在構筑企業安全架構的時候也更得心應手.
服務器防護
對于服務器的防護除了專業設備外,還需對服務器自身做一定的防護,如服務器系統安全加固、服務器防火墻IPTABLES使用等.另外,通過一些常用的系統工具對系統定時執行安全監測工作.
附件中的《installVmBase.rar》是我們進行系統加固和優化的時候的初始化腳本,一般在系統安裝完畢后會首先運行該腳本.另外該腳本目前沒有啟動IPTABLES,我們會在下一版本中將啟動IPTABLES的配置寫入到腳本中,希望能夠給大家帶來一定的幫助.
(溫馨提示:登錄云盤http://pan.baidu.com/s/1gfzkorL或點擊文末【閱讀原文】可下載本腳本.)
安全工具庫主要是在日常企業安全運維的時候,常用的工具,如lsof隱蔽文件發現,SATAN系統弱點發現工具還包括內核升級腳本、OpenSSL升級腳本等.
不安全信息源
企業必須建立自己的不安全信息源,做到系統漏洞、病毒等實時獲取信息并且對于官方或是社區補丁能夠及時獲取到.在講不安全信息源之前,首先大概總結一下常見的安全威脅:掃描、木馬、Dos/DDoS、病毒、IP欺騙、ARP欺騙、網絡釣魚、僵尸網絡、跨站腳本攻擊、緩沖區溢出攻擊、SQL注入、密碼暴力破解等等方式,這里不逐一深入分享.但是我們可以根據不安全威脅的種類建立信息源收集渠道,做到對國內外安全漏洞等不安全信息及時獲取,及時升級補救.
如果說網絡區域劃分、安全軟硬件構筑起企業信息安全的軀干,那么監控和災備則屬于安全體系的左右手.
監控
通過監控及時獲取服務器系統負載、可疑文件、重要文件修改歷史、網絡流量等從網絡、文件、系統等方面判斷系統是否正在遭受威脅.
目前我們主要從以下幾個方面判斷系統是否正在遭受攻擊:
◆ ?系統負載是否突然陡增
◆ ?掃描系統是否存在可以文件
◆ ?系統重要文件最近修改歷史
◆ ?可疑用戶登陸信息
◆ ?網絡流量是否異常
通過以上幾個方面,結合Zabbix和自編腳本,進行系統及時的判斷甄別,避免對系統和數據造成更大的損失.
災備
所謂留一手,就是系統安全遭受威脅而又無法及時解決的時候,可以利用備份信息和恢復腳本快速的組建新的系統和服務恢復數據,進行正常服務的提供.
任何應用、數據庫等都必須建立健全備份恢復制度,并且定期進行演練確保備份是準確可用的.在系統遭受威脅、勒索的時候,而又難以解決,正好利用備份集進行恢復,為系統提供持續服務.
監控、災備與安全共同構成運維管理平臺的三大主題,相互配合,共同為企業的IT系統提供安全穩定的保障.
四、不安全時事件處理
不安全事件的處理流程一般遵循以下流程:第一步,隔離感染遭受威脅的主機.進行網絡的安全隔離,以防止感染其它服務器或是IT設備.
進行隔離之后,需要進一步排查,排查主要部分:排查感染主機感染源或是病毒并且就傳播方式進行判定;排查同一網段是否有其他潛在的主機遭受感染.
排查完畢后,確定感染主機的確切數量,接下來進行尋找補丁庫,及時打補丁,升級系統,恢復主機至正常.在短時間內無法確認主機源又不好解決,找不到補丁庫時,應該采用備份集對感染主機上的服務和數據進行恢復,為系統提供持續的服務.對于被感染的主機,在不確定感染方式和影響范圍的情況下,一般采用直接格機重裝的方式,徹底消除危險,然后重新進行系統安裝和重新上線.
必須在企業內部建立完善的不安全事件處理流程,包括事前防范、事中處理、事后匯報、總結的方式,不斷完善企業內部的安全管理規范和流程,做到提前防范、遇事不慌.
安全管理是一個持續運營的過程,更多的時候,我們以安全運營代替安全管理,主要突出運營.不能因為各種安全設備、防護策略做好后就高枕無憂.安全管理必須不斷持續學習,時時關注,從各個方面、各個角度運營企業的安全設備和系統,保障企業的系統、數據安全不受侵犯.
文章來自微信公眾號:DBAplus社群
轉載請注明本頁網址:
http://www.snjht.com/jiaocheng/1976.html