运维安全的四个层次

运维安全的四个层次

网络安全

网络设备的安全

  • 思科、华为等网络设备定期升级,修复bug和曝出的漏洞
  • 公网防火墙,核心交换机等核心网络设备的管理

外网安全策略

  • IDC,防火墙策略,严把上行端口开放
  • 公网上下行流量监控
  • 对DDos攻击提高警惕,提前准备应急预案
    • 临时提高流量,硬抗
    • 启动流量清洗,将攻击流量引入黑洞,有可能误杀正常用户

专线安全策略

  • 对涉及金融、支付等项目设立专线

VPN安全策略

  • IPsec VPN:site to site
  • OpenVPN: peer to site
  • 摒弃PPTP等不含加密算法的vpn服务
  • 端口全禁止,需要通信的申请审批后,再由管理员开放

数据安全

数据库用户权限

  • 管理员权限限定,不允许远程root
  • 定期更换管理员密码
  • 应用权限最小化,专人管理
  • 手动查询权限可审计

数据库审计设备

  • 数据库主库不能开一般查询日志(为了性能)
  • 交换机上镜像流量,接入审计设备,实现实时审计
  • 不要设计串行在系统里,形成单点和瓶颈

数据库脱敏

  • 姓名、身份证、手机号、银行卡号等敏感信息应脱敏处理
  • 对程序脱敏协同系统架构部共同出规范
  • 对手动查询权限脱敏,按列授权,录屏

备份策略

  • 每周全备,每天增备
  • 备份文件要每天利用内网流量低谷时间,推送到远程主机,有条件的应跨机房备份
  • 一定要规划定期恢复测试,保证备份的可用性

应用安全

操作系统安全

  • 系统基础优化(内核优化,优化工具)
  • 日期,时区同步
  • root密码复杂度足够高,需要在操作系统里做定时过期策略
  • 每三个月使用脚本更新服务器的root密码和iDrac密码,并将更换后的密码加密打包发送给指定管理员邮箱,同时提交gitlab
  • 对系统关键文件进行md5监控,例如/etc/passwd,~/.ssh/authorized_keys文件等,如有变更,触发报警
  • 定期查毒,漏扫,定期安排更新操作系统
  • /etc/ssh/sshd_config里配置:
    • PasswordAuthentication no
    • PermitRootLogin without-password
  • 使用saltstack等批量管理软件进行特权命令执行和备份脚本执行(避开ssh协议)

应用系统安全

WEB应用防火墙(WAF)

  • 防SQL注入
  • 防CC攻击
  • 防XSS跨站脚本

应用系统漏洞

  • 关注0day漏洞新闻
  • 及时整改并上线投产
  • 组织技术力量测试,复现

日志收集和分析

  • 完善日志收集方案,集中转储
  • 通过应用系统日志分析,进行安全预警

DNS劫持

  • 全站https,购买泛域名证书
  • 有条件的可以自己维护公网DNS,上dnssec数字签名
  • 采购基调、听云等第三方拨测服务,分布式监控网站质量
  • 向ISP投诉,工信部举报

Basic Auth

  • 在nginx上做,非常简单
  • 对防脚本攻击有奇效

企业邮箱服务器安全

推荐使用微软的Exchange

功能强大,维护相对简单

投产反垃圾邮件网关

投产梭子鱼反垃圾邮件网关,防伪造发信人

群发审核管控

用好邮件组

接入AD域控

域名安全管理

做好ICP备案

  • 域名证书
  • 域名实名认证(公司模板)
  • 接入商处蓝色幕布拍照
  • 法人身份证、管理员身份证
  • 网站真实性核验单

公网解析

  • 专人管理,邮件申请,审批
  • 将业务解析至不同公网IP出口,双活机房
  • 智能解析,解析至不同线路
  • 如有条件,可购买公网解析套餐服务,安全服务等

内网安全

80%以上的企业IT安全问题出自内网安全

堡垒机

  • 一定要强制使用堡垒机登录服务器
  • ssh私钥通行短语机制,避免密钥失窃
  • 定期审计堡垒机操作日志
  • 如果有必要,可以上2FA(双因子验证)

AD域控

有条件一定要接入windows域控,要求密码复杂度和定期过期

  • 邮箱
  • wifi
  • vpn账号密码
  • 内网系统账号
  • 业务系统账号
  • 网络设备等

办公网安全

  • 专业的HelpDesk团队
  • 企业级杀毒软件
  • 办公电脑接入域控
  • 上网行为管理
  • 流量监控,mac地址绑定
  • 有条件的可以在办公环境上一个小型的业务机房
  • wifi管控,单做guest接入点,不能访问业务核心网络