ChefSystemHardening的标准和良好实践”。的确,系统加固不仅是拥有多样化基础架构的大型IT团队日常工作的一部分,而且还可以为系统保护带来广泛的安全功能。下面,我将与您了解什么是系统加固、加固的重要性、加固标准以及Chef如何帮助DevSecOps团队快速轻松地加固异构系统。什么是系统加固?系统加固是一种通过减少服务器、应用程序、firmware和其他面向网络的系统级漏洞。系统加固通常需要基础设施和安全管理工具的帮助。这些工具将有助于审计各种系统,检测潜在的攻击向量,并最大限度地减少攻击面。鉴于各种网络安全攻击对企业的影响,系统加固可以作为抵御攻击者的战略防御,以补偿系统级通常用于攻击系统和访问敏感数据的漏洞。以下是与系统加固相关的一些关键操作:删除或禁用不再使用的系统限制各种权限删除冗余应用程序、端口、功能和用户帐户监控各种漏洞理想情况下,运行漏洞扫描是一个系统的绝佳起点加强。因为他们会发现各种缺失的补丁和安全更新,以及可以作为攻击点的开放端口。系统强化可能还需要更改服务和应用程序的默认密码,使用应用程序防火墙上的严格规则限制或控制流量,启用帐户锁定机制,以及执行持续的合规性审计。由于系统加固是一个持续、动态的过程,我们需要提前确定负责的团队以及可以长期实施的系统加固策略。目前大部分企业都会遵循CIS(CenterforInternetSecurity,互联网安全中心)、NIST(NationalInstituteofStandardsandTechnology,美国国家标准技术研究院)、ENISA(欧洲网络与信息安全)制定的标准。组织发布的严格的系统加固指南,例如,但是,这样的指南不允许公司一劳永逸。企业需要在不减少应用程序和操作系统的特性和功能的情况下,通过构建多层安全纵深防御原则来继续缩小各种网络攻击面。从广义上讲,系统加固可分为以下几种类型:服务器加固:旨在保护服务器上的端口、功能、数据和权限。涉及的技术包括:定期更新服务器软件、打补丁和使用强密码机制。软件加固:通过编辑或更新应用程序代码,升级所有应用程序的安全措施,以应对各种攻击。操作系统强化:旨在保护在所有端点上运行的操作系统。涉及的技术包括更新系统级补丁和限制有权访问操作系统的帐户。数据库加固:旨在确保数据库和DBMS的安全。涉及的技术包括限制用户访问、禁用不必要的服务和加密数据库中的信息。网络加固:旨在确保服务器和端点之间网络中所有通信通道的安全。系统强化的重要性系统强化大大降低了网络攻击的风险。系统级审计违规的一个常见原因是导致“合规性漂移”的配置更改。换句话说,每次我们添加新的服务器、用户和应用程序时,都有可能产生新的漏洞。一个普遍的现象是,当企业拥有大量可配置的软硬件资产时,安全运维人员需要花时间手动或自动根据CIS等基准配置和调整新旧资产。而且完成后,他们不能保证没有引入新的错误。正是因为这样的现象普遍存在于各种IT生态中,所以我们需要特别关注那些不断变化的IT基础设施,确保其动态的安全配置和持续的合规检查。对此,企业往往需要实施自动化工具,通过对异构IT资产的持续监控和审计,确保在出现偏差时及时修复和协助加强IT系统。GoodPracticesforSystemHarden由于系统加固是必不可少的过程,我们综合了NIST和CIS颁布的goodpractice标准,提出了以下系统综合加固策略:遵循CIS、NIST、ENISA等基于企业的系统加固标准标准针对特定需求,制定系统加固计划使用基于CIS基准的安全审计工具,进行持续审计,识别系统中的漏洞使用自动化漏洞扫描和修补工具,识别缺失补丁、错误配置、安全更新,然后快速实施漏洞修复使用强大的用户权限和访问规则,删除整个基础设施中不需要的账户和权限使用CIS认证的自动化合规工具,自动生成合规偏差报告和修复建议系统加固推荐图系统Hardening和ChefComplianceChefCompliance是一个自动化解决方案,包括CIS和DISASTIG基准,可用于审计和修复系统中的各种漏洞,以促进IT生态系统和安全性的合规性。在ChefCompliance中,企业可以同时使用ChefInfra(配置管理)和ChefInSpec(合规)两个模块:根据CIS推荐的基准进行持续审计,评估异构资产的当前配置和状态。STIG,更正错误配置审计特定控制,谨慎使用例外和豁免从单个仪表板查看所有端点的配置和合规状态借助ChefCompliance,组织可以跨混合和多云环境维护安全性,同时提高DevOps的整体效率过程。同时,IT团队能够借助Chef的持续安全审计和修复来进行系统加固,以检测和修复不同IT组件中的漏洞。由于IT管理员获得了完整的可见性,因此他们可以根据业务的实际需求轻松调整基线并维护合规性配置文件。同时,他们还可以为大规模分布式混合和边缘基础设施实施系统级加固。捕获、定义、监控、修复和报告使用Chef进行系统强化的好处从安全性和合规性的角度来看,使用Chef进行系统强化的好处主要是:改善安全态势:通过CIS和STIG实现标准化配置文件可以持续审计并修复,以确保降低系统数据泄露、漏洞利用、恶意软件安装和非授权访问的风险。更好的可审计性:Chef精心规划的配置文件可以让复杂的安全审计变得更简单、更快速、更透明,并且可以交付适用于主流平台和操作系统的易于阅读的代码。改进的系统功能:通过无差错自动化、面向流程的加速、配置一致性和全面的安全基础设施,Chef提高了系统的整体效率和DevOps团队的生产力。使用ChefInSpec扫描检查系统强化状态如果您正在寻找用于系统强化的自动化工具以确保异构IT资产的合规性,请下载适用于Windows或Linux系统的免费版ChefWorkstation,运行公开可用的ChefInSpec配置文件。无需额外安装,仅在目标节点上使用下面提供的DevSec基线即可分析Linux和Windows的系统态势。您不需要克隆存储库,因为以下命令会从GitHub中提取内容。通过为SSH或WinRM提供相关凭证,您可以扫描本地、云端和边缘系统中的IT资产:Linux:DevSec的Linux基线$inspecexec-tssh://user@node-i~/.ssh/id_rsaWindows:WindowsBaseline$inspecexec-twinrm://user:password@node这些简单的命令会立即报告各种通过和失败,无论您的系统最初是如何配置的测试结果,并且可以突出显示那些易受攻击的地方。同时,ChefAutomate(Chef生态系统的仪表板)的用户还可以使用ChefCompliance来安排使用各种默认或自定义系统强化配置文件的定期扫描。译者简介JulianChen,社区编辑,拥有十余年IT项目实施经验,善于把控内外部资源和风险,专注传播网络与信息安全方面的知识和经验;通过其他形式分享前沿技术和新知识;经常在线上和线下开展信息安全培训和讲座。原标题:SystemHardeningStandardsandBestPracticesWithChef,作者:AnugrahaBenjamin
