freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

驻场工程师眼中的政务云安全
2018-01-29 10:00:37

驻场工程师属于拿着乙方的薪水,操着甲方的心,生在甲方的阵营,活在乙方的世界。在驻场工程师眼中,政务云的安全,包括甲方的运维,也包括乙方的服务。

维护政务云平台安全运行,大部分工作是围绕云平台租客业务系统安全来展开的,因为云平台自身安全,主要就是爆发漏洞的时候,打上响应的补丁就行了,例如,最近的CPU漏洞(Meltown和Spectre)爆发,各云平台都在积极解决。这里从一个驻场工程师的角度阐述下云平台租客安全的工作内容。

政务云平台的运作,参与的单位一般有:

监管部门,一般为当地政府部门、网监、网信办等。

云计算服务商,一般为当地运营商,负责整个平台的建设,运维。

虚拟化平台服务商,为云平台提供硬件服务器,云平台管控中心等。

安全服务商,为云平台提供安全设备和安全服务的厂商。

租户:最终的用户,租用政务云平台,搭建自己的网站、应用系统等。

绘图1.png

保护好租客安全,需要从事前、事中、事后三个维度出发,事前工作,包括用户网站上线前检测,上线后防护,重大时期保障等。事中工作,即监测工作,监测平台网站的安全状态,定期查看云监测,云平台上硬件工具等的告警,分析安全日志。事后工作,在安全事件发生后,进行的应急响应,协助调查取证。

事前工作:

(1)配置模板机,Windows和Linux系统分别配置模板机,按照等保要求,做好基线配置,打上最新的补丁。用户申请虚拟机资源的时候,就可以将加固好的模板机配置给用户。

(2)政务云上线流程:租户根据网站规模,申请虚拟机资源,在虚拟机上搭建网站应用,完成后,在政务云内网进行上线前检测,渗透测试,漏洞扫描,基线检查,通过安全检测后,将网站发布到互联网。

(3)网站上线后,配置所有能用的安全设备进行防护、监测,网站云监测、云防护,硬件waf,流量分析,日志分析,虚拟化杀毒等。

(4)重大时期保障,在G20、十九大、互联网大会等重要时期,提交保障计划、应急预案给云计算服务商和监管部门,安排人员24小时值守,因为放在政务云的网站,大部分都是展示型的,如:门户网站等,所以,必要时候,可以采用极端手段,如:使用防篡改系统,将所有首页锁定,不允许修改等。值守时期,监控的重点也是网站篡改情况,一旦发现篡改,立即下线处理,然后准备应急溯源。

事中工作:

(1)定期对平台上的服务器进行漏洞扫描、渗透测试、病毒扫描、日志分析等。

(2)关注各个监控平台如:网站云监控、流量分析平台的告警等。

事后工作:

(1)应急响应,对于监控到、用户反馈的安全事件,安排应急溯源,输出应急报告,向监管单位汇报,并对后期工作进行调整。

(2)安全工作调整,针对安全新闻或在政务云发生的安全事件,对政务云安全工作进行调整,如:挖矿病毒事件大规模爆发,需要进行的安全工作:对所有租户服务器进行杀毒,统计最近时期所有服务器CPU、内存使用率情况,日志分析,排查挖矿病毒痕迹。

有次和一个跳槽到甲方的前任(同事)吃火锅,聊起了甲方安全和乙方安全,那位哥们说,在乙方,做完渗透测试后,提交了测试报告,就完事了。在甲方,负责渗透测试的安全部门,在测试完后,还得盯着业务部门修复,业务部门不愿意修复的,就要搬个小板凳坐在程序员边上,苦口婆心的劝他们修复,告诉他们不修复会有多大危害,会造成多大的损失,有的时候,还要在网上找修复方法,陪着程序员一起修复。

驻场工程师是乙方人员,对甲方的一些事情,不能越俎代庖,但是也要承担一部分甲方的责任,需要做到什么程度呢,这里举几个例子:

(1) 每次提交渗透测试报告后,作为驻场工程师,不可能盯着各个单位的网站负责人去修复,对于拖了很久还不进行修复的单位,驻场工程师可以做的是:对漏洞修复情况进行追踪,整理列表,哪些网站漏洞已经完成修复,哪些网站存在高危漏洞,但是还没有修复。定期将整理的列表发送给监管部门。

(2)租户网站在上线前检测的时候,一般安全漏洞都会被发现并修复,上线后有些用户对网站进行修改,添加模块等操作,会带来新的安全问题。用户在修改网站后,一般不会联系安全服务商进行再次渗透测试。这时候,驻场工程师能做的事情:举办安全意识培训,增加用户的安全常识和安全意识。修订政务云安全制度,由监管方审核签发,将该情况编写到制度中。

(3) 类似政务云这种环境,用户数量较多,容易出现用户VPN、堡垒机初始密码不修改,运维人员调动后密码不作废等情况。作为驻场工程师,很难从管理制度方面去约束该情况。这时,驻场工程师可以将初始密码放入弱口令字典中,定期扫描,输出弱口令报告给监管部门。每季度将各单位账号列表发送给用户进行核实,将核实结果整理成列表,发送给监管部门。

维护好政务云的安全,驻场工程师能做的是:甲方运维加上乙方服务,还有一颗不能说破的责任心。 

*本文作者:雨水,转载请注明来自FreeBuf.COM

# 云安全 # 政务
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者