系统安全加固

系统安全是所有安全工作的第一步,这部分内容可以归入安全基线。

Linux加固

禁用LKM ,限制/dev/mem,内核参数调整,禁用NAT,Bash日志,应用配置加固,Web进程以非root运行,过滤特定文件类型

 远程访问 使用SSH V2,而不是V1 使用SSH V2,而不是V1

网络访问控制

安全域和访问控制的区别在于,安全域是更加高层次的圈地运动,而NACL相对更具体化,针对的是每一个系统;安全域相对固化,基本不会变动,而NACL则会应需而变。

服务器4A

4A指:账户(Account)、认证(Authentication)、授权(Authorization)、审计(Audit)。对于较大规模的服务器集群,不太可能使用每台服务器单独维护用户名密码(或是证书)的权限管理方式,而必须使用类似于SSO的统一权限管理。目前主要有两种方式:一种是基于LDAP的方案,另一种是基于堡垒机的方案。

1.基于LDAP

基于LDAP的服务器SSO架构如图

甲方安全建设思考-3-LMLPHP

 LDAP的方案可以使用LDAP服务器作为登录的SSO,统一托管所有的服务器账号,在服务器端对于Linux系统只要修改PAM(PluggableAuthentication Modules? ), Windows平台则推荐pGina(pGina是一个开源插件,作为原系统凭证提供者GINA的替代品,实现用户认证和访问管理),使登录认证重定向到LDAP服务器做统一认证。

基于堡垒主机的方式如图

甲方安全建设思考-3-LMLPHP

在Radius上新建用户Richard,为该用户生成SSH的公私钥对,使用自动化运维工具将公钥分发到该用户拥有对应权限的服务器上。用户的SSH连接由堡垒机托管,登录时到Radius服务器使用动态令牌认证身份,认证成功后授权访问其私钥,则对于有SSH公钥的服务器该用户都可以登录。网络访问控制上应设置服务器SSHD服务的访问源地址为堡垒机的IP。

网络安全

 网络入侵检测

1.传统NIDS

IDS(入侵检测系统)NIDS(网络入侵检测系统)

绿盟的NIDS产品架构

甲方安全建设思考-3-LMLPHP

绿盟科技IPS体系架构

甲方安全建设思考-3-LMLPHP

IDS/IPS部署示意图

甲方安全建设思考-3-LMLPHP

 大型全流量NIDS

甲方安全建设思考-3-LMLPHP

 传统NIDS在大型互联网场景下有如下几个明显的缺陷:

❑ IDC规模稍大很容易超过商业NIDS处理带宽的上限,虽然可以多级部署,但无法像互联网架构一样做到无缝的水平扩展,不能跟基础架构一起扩展的安全解决方案最终都会掣肘。❑ 硬件盒子单点的计算和存储能力有限,很容易在CPU时间和存储空间上达到硬件盒子的上限,即使有管理中心可以腾挪存储空间也解决不了这个问题。❑ 规则数量是性能杀手,最不能被并行处理的部分会成为整个架构的瓶颈。❑ 升级和变更成本高,可能对业务产生影响。❑ IDC规模较大时,部署多台最高规格商业NIDS的TCO很高(Google如果用IBM的解决方案会破产)。

NIDS硬件扩展方案 

甲方安全建设思考-3-LMLPHP

 这样看上去比厂商提供的多层级联的方案稍微好一点,貌似解决了水平扩展问题,但是它仍然没有解决TCO的问题,无论如何这种方案都不适合拿到台面上来作为最佳实践,它只能用于暂时换取自研NIDS的时间。

基于大数据的NIDS架构

甲方安全建设思考-3-LMLPHP

❑ 分层结构,所有节点全线支持水平扩展。❑ 检测与防护分离,性能及可用性大幅提升,按需决定防护,支持灰度。❑ 报文解析与攻击识别完全解耦,入侵检测环节“后移”。❑ 依赖大数据集群,规则数量不再成为系统瓶颈,并且不再局限于基于静态特征的规则集,而是能多维度建模。❑ “加规则”完全不影响业务。

 这是全流量全协议全功能版本,你也可以只取其中一部分,比如对于以HTTP/HTTPS为主的Web平台可以只关注HTTP类协议。

关于D还是P

对于单纯的检测来说,过分的实时性要求其实意义不是特别大,攻击行为发生后10秒钟告警和10分钟告警效果都差不多,慢一点也不会误事。

对互联网服务而言,可用性是除了数据丢失以外的第二大严重问题,如果要实现P就会面临延迟和误杀的风险,因此P方案实际比D方案难了一个阶梯。

在“和平时期”,一般不需要启用P功能,只使用D就可以。

08-18 13:26