众所周知,保障网络设备和应用系统的安全运行是降低基础设施攻击面的基础和前提。应用系统应进行安全配置,并对这些配置进行持续监控和长期维护,以保持在安全可靠的配置状态下运行。然而在实际应用中,虽然很多企业按照CIS标准指南的要求部署了配置系统,但难以保证长期准确的管理配置,配置漂移时有发生。什么是配置漂移?软件系统在开发和交付过程中,需要根据应用需求不断修改和调整,相关软件运行参数的配置也会随之发生变化。理想情况下,应有序且准确地跟踪这些更改。但是,由于企业的实际应用环境并不完善,企业的很多修改并没有正确同步。系统正式上线后,实际运行配置与研发设计配置不一致。这种现象称为配置漂移。配置漂移可能使组织面临重大安全风险,具体取决于漂移的严重程度。那么如何处理这种情况呢?维护系统配置的方法主要有以下三种。企业组织可以根据自身安全管理流程的成熟度选择适合自己的管理方式。方式一人工监控系统配置人工管理系统配置非常耗时,难以定期、持续进行。由于合规管理的严格要求,组织通常会尽量限制必须审计和管理的系统数量,从而尽可能减少人工监控的工作量。在这种情况下,审计人员只会验证有限范围的系统和应用程序,以验证配置的正确性和合规性。只有当发现这部分设备存在配置漂移时,组织才会采取补救措施。方式二通过扫描工具监控配置使用扫描工具可以有效补充人工监控,但这仍然需要一定程度的交互来创建工具扫描所需的管理凭据,并在需要时安排工具操作员运行扫描,并将目标结果手动更正。工具扫描通常每月或每季度执行一次,以满足合规流程的需要。在实际应用中,这种模式通常也主要针对合规要求内的应用系统,而其他系统往往被遗忘,只有在暴露问题或运行事故时才会检查。在CIS发布的指南中,建议企业组织尽可能对所有应用系统提供安全配置监控,这样即使发生变化,也应该有能力在所有操作系统上持续保持正确的配置。方式三实时监控所有系统配置在该方式下,各种应用系统可以配备轻量级代理,通过代理监控系统的配置变化和运行状态。Agent可以嵌入到已部署的镜像中,也可以包含在一些自动化工具(如Puppet或Chef)的部署过程中,从而连接所有的应用系统。一旦启动并监控agent,就可以实时发现系统的异常变化,同时启动相应的补救措施。例如,这可以通过自动创建事件单、发送电子邮件或通过安全事件管理(SIEM)工具来完成。参考链接:
