一、術(shù)語:
安全加固(Security Hardening)、安全基準、安全控制
可能大家已經(jīng)留意到,在先進的IT環(huán)境部署中,“Hardening-安全加固”這個概念已經(jīng)被廣泛地提到并應用到生產(chǎn)環(huán)境中了;特別是它已經(jīng)作為一種提高IT環(huán)境信息安全的一項安全性增強舉措而為越來越多的企業(yè)青睞;我們通過大量的研究和實踐經(jīng)驗,深刻體會到安全加固對保護研發(fā)環(huán)境安全的諸多好處,特通過此文和讀者逐一分享。
一、安全加固(Hardening)的定義:
我們在上篇設計環(huán)境安全系列文章---《設計環(huán)境的安全體系概述》中闡述了安全域和安全層的概念,提出了“一個中心、三層隔離、五層控制”的安全體系,強調(diào)設計環(huán)境安全要做到分層控制。
圖1.1 推薦的芯片研發(fā)環(huán)境的安全框架系統(tǒng)
分層控制從技術(shù)層面來講,是一個龐大而復雜的流程,其中用到的一個手段就是本文著重要闡述的--分層安全加固。
安全加固(Hardening)從字面意思講,就是對安全性的加強,其深層目的是通過盡可能地阻止可疑入侵、及時發(fā)現(xiàn)和修復安全漏洞來降低安全風險,從而提升整體研發(fā)環(huán)境的安全防范水平。
安全加固(Hardening)是通過科學的、系統(tǒng)性的方法,運用安全技術(shù)、流程和管理等手段,參考國內(nèi)外權(quán)威的安全配置標準,并結(jié)合企業(yè)的業(yè)務環(huán)境特點,對承載關鍵數(shù)據(jù)的基礎設施、主機、應用程序、操作系統(tǒng)、數(shù)據(jù)庫、數(shù)據(jù)層等分別進行安全配置加固,從而提升信息系統(tǒng)和環(huán)境的安全,為企業(yè)建立起彈性的安全保障防護線。
安全加固(Hardening)從配置層面來看,具體的安全配置會根據(jù)安全標準建議,并結(jié)合芯片行業(yè)的最佳實踐,與前面所述的“五層控制”相互呼應進行定制。如下圖所示,安全加固重點圍繞網(wǎng)絡層、主機層、系統(tǒng)層、應用層和數(shù)據(jù)層安全進行。注意:我們這里提到的是數(shù)據(jù)而不是數(shù)據(jù)庫,是因為在研發(fā)環(huán)境中,數(shù)據(jù)庫的應用場景相對較少。但數(shù)據(jù)本身作為企業(yè)最關注的保護核心,我們需要單獨為其做特別加固。
使用安全加固(Hardening)手段不僅適合于傳統(tǒng)的數(shù)據(jù)中心,也適用于企業(yè)將研發(fā)環(huán)境部署到云上。云提供商和企業(yè)會基于“責任共擔模型”一起抗衡安全風險,其一般會負責PaaS層的信息安全,而企業(yè)自身需要負責業(yè)務環(huán)境和數(shù)據(jù)層的信息安全。因此,最佳實踐的安全加固對企業(yè)來說尤其有重要意義。
圖1.2 .分層安全加固
安全加固(Hardening)要分層化的道理不難理解,因為每層可能出現(xiàn)的安全漏洞不同,黑客所用的攻擊手段和工具不同,每層采用的安全技術(shù)、產(chǎn)品不同,使得我們的安全加固對每層來說也需要采用不同的方法。另外,分層安全加固也是主流安全規(guī)范所規(guī)定的,比如:PCI DSS、HIPAA、NIST和國家的安全等級規(guī)定等,因此分層化也是符合安全證書和審計要求的。
經(jīng)過分層安全加固處理過的環(huán)境會:
1)明顯提高研發(fā)環(huán)境的整體安全性
使得研發(fā)環(huán)境從粗線條控制—安全域隔離,到更細維度的分層控制,它基于安全概念更深層次、更細粒度地將安全風險控制延展開來;
使得安全措施和防護不再是傳統(tǒng)的,通過各種安全產(chǎn)品的單維度實施,物理、邏輯隔離,補丁管理等單一手段,而是層層相連,環(huán)環(huán)相扣地編織成一張立體的空間安全網(wǎng)
2)符合各類安全規(guī)范要求,更容易通過審計
“安全加固”的方法是根據(jù)安全規(guī)范規(guī)定來設計和定制的,比如:國家的安全等級保護提出信息安全要做到網(wǎng)絡安全、主機安全、應用安全等,這和上述講到的“分層化安全加固”是完全對應上的,因此“分層化安全加固”必然符合各類安全規(guī)范的要求。
3)提高系統(tǒng)配置效率
“安全加固”在每個重要的保護層都制定了安全基準,幾乎涵蓋了所有基礎架構(gòu)層、應用層和數(shù)據(jù)層的系統(tǒng)和服務組件,比如:
操作系統(tǒng) – 要求統(tǒng)一推送補丁,鎖定firmware的訪問;
軟件標準安裝– 要求制定軟件安裝和配置規(guī)則, 比如:制定標準軟件清單和特殊軟件安裝流程;
網(wǎng)絡即服務 – 禁用不安全的服務,比如tp,telnet等,而默認啟用ssh, sftp等安全網(wǎng)絡服務
訪問控制 – 統(tǒng)一禁用默認賬號或更改默認賬號(比如:更名管理員 administrator),實現(xiàn)“最小化權(quán)限”管理等
安全加固實際上是一個對信息系統(tǒng)和研發(fā)環(huán)境標準化部署的過程,如果對這些標準化的部署使用自動化手段,這將會大大簡化系統(tǒng)管理開銷,防止人為錯誤,并且使得故障容易得到跟蹤,安全事件更易于排查,審計數(shù)據(jù)也會被更高效地統(tǒng)一收集,這些都將極大程度地提高配置效率。
二、安全加固(Hardening)的框架:
全球公認的幾家信息安全行業(yè)機構(gòu),比如CIS[1]、NIST[2]、SANS[3]等都推出了專業(yè)的安全加固標準。
其中,互聯(lián)網(wǎng)安全中心CIS是一個非盈利組織,該組織致力于為空間網(wǎng)絡安全提供“識別、開發(fā)、驗證、推廣和維持”空間安全的最佳實踐解決方案。目前,CIS與眾多的全球知名專家、IT產(chǎn)品和服務商、安全產(chǎn)品廠商等共同努力,已經(jīng)制定發(fā)布了100多個配置安全基準建議,涵蓋25個以上供應商的IT產(chǎn)品系列[1],因此備受政府、企業(yè)、學術(shù)界、各類網(wǎng)絡安全和IT專業(yè)人士推崇。
一些芯片公司已經(jīng)在其數(shù)據(jù)中心和云上使用了CIS方法來定制系統(tǒng)安全包,云廠商也參考并和CIS合作,在基于CIS的安全基準的基礎上推出了各自的安全評估產(chǎn)品和安全指導框架。比如,亞馬遜AWS的Inspector[4],微軟云的CIS MicrosoftAzure[5]。
以下主要參考CIS的安全加固標準,簡要闡述安全基準和安全控制指南。
2.1)安全基準
正如“造房要打地基,壘磚要拉樁子線”,做好安全加固要從“基準”做起。
大家都知道,當一個操作系統(tǒng)安裝以后,比如Centos 7, 盡管在安裝過程會中有幾個選擇—最小化、圖形桌面等,但從安全角度來說,這些還是非常粗略的,遠遠不能抗衡各種安全風險;安裝后的默認操作系統(tǒng)包含和打開了很多服務和端口,這就可能打開了很多“后門”,非常不安全。
安全基準會將所有可能的“后門”和安全風險都過濾一遍,通過行業(yè)經(jīng)驗推薦出符合安全準則和審計的標準配置建議。CIS對基準也會定期更新,從云到傳統(tǒng)環(huán)境全面覆蓋,所以很多企業(yè)都會參照使用CIS的基準。
安全基準不能盲目參照“指南”,而是應該根據(jù)自身企業(yè)的IT環(huán)境規(guī)模、風險控制目標、具體的研發(fā)環(huán)境情況而進行“量身定制”裁剪,否則不僅可能造成過度投資,還有可能因配置過度復雜而影響這個系統(tǒng)的性能、管理和使用效率。
那么該如何進行“量身定制”呢?
首先,需要對IT環(huán)境進行安全域的分類。比如摩爾精英IT/CAD及EDA云計算事業(yè)部推行的三層隔離方法論,就是將芯片設計環(huán)境進行安全域的分離定義,如下圖所示:低安全的OA辦公環(huán)境域、中等安全的VDI域和高安全的計算域。
圖2.1 三層安全隔離域
其次, 進行級別分類,CIS推薦了L1和L2兩級分類
L1基準配置
配置重點主要集中考慮能迅速地降低攻擊威脅性,所以實施的是最基本的安全配置,按L1基準加固的IT環(huán)境對業(yè)務和性能的影響比較小,推薦在OA辦公環(huán)境區(qū)采用此基準配置;
L2基準配置
L2側(cè)重深度防御,實施標準嚴格,可能會對業(yè)務環(huán)境產(chǎn)生影響,推薦在安全級別最高的計算域采用此基準配置。
無論是按照L1還是L2標準進行的安全加固,都要進行充分測試驗證,才能部署到生產(chǎn)環(huán)境中,否則會對業(yè)務和性能造成極大影響。
2.2)安全控制
分層安全加固配置和安全控制是相互結(jié)合的,CIS根據(jù)重要性,建議了20個控制手段,分三個大類[6]來防范最廣泛的和最危險的攻擊行為,詳細措施如下表所示:
表2.2 CIS安全控制手段表
建議企業(yè)在規(guī)劃安全加固時,從如下四個方面來考慮,這樣即合規(guī)又全面,從而實現(xiàn) “卓有成效”的最佳實踐:
部署適合企業(yè)或業(yè)務場景的安全架構(gòu)和框架
運用最適合企業(yè)或業(yè)務場景的技術(shù)手段
選用一種有效的風險評估方案
參考國際或國內(nèi)安全規(guī)范
三、安全加固(Hardening)的實現(xiàn)要點:
我們在上一個章節(jié)中簡單介紹了安全加固的框架,即根據(jù)安全域和安全級別建立安全基準線,再結(jié)合最佳實踐采取安全控制手段。
根據(jù)安全專業(yè)機構(gòu)指南和大量實戰(zhàn)經(jīng)驗,我們總結(jié)出對各分層必要而有效的加固要點,建議在實施時將這幾方面的配置部署考慮在安全加固規(guī)劃中。
3.1)安全加固基本策略和原則
制定強密碼策略
無論是管理員,還是普通用戶、各種設備、軟件應用等都需要密碼,如果沒有一個好的安全意識和機制來保護密碼,密碼會非常容易被竊取或泄露。因此制定強密碼策略和定期更新密碼是“安全加固”的重要有效手段之一。
我們這里推薦一個好用的密碼管理工具:Teampass.net,Teampass是基于團隊的密碼管理工具,它兼容KeePass,可以按規(guī)則隨機產(chǎn)生各種類型的強密碼,方便不同團隊在同一個平臺上共同管理各自管轄領域的各種密碼。
基于“最小權(quán)限”訪問原則
系統(tǒng)訪問的控制除了密碼以外,就是IAM身份認證(Authentication)和授權(quán)(Authorization)的控制管理了。
我們看到國內(nèi)有些大的芯片公司在這方面已經(jīng)做的非常規(guī)范了,IAM管理應用到了關鍵設施和應用的訪問,比如:按“最小原則”分配權(quán)限,用戶在統(tǒng)一管理平臺上申請基于具體訪問理由的權(quán)限;或者加強超級管理員權(quán)限的管理和審計,無論網(wǎng)絡設備還是操作系統(tǒng),禁用root直接訪問,而是用用戶的唯一IT賬號登錄,再sudo到授權(quán)的功能賬號進行操作,這樣既安全又有跡可尋。
軟件安裝標準化
軟件安裝標準化不僅大大減少了管理開銷,對IT環(huán)境安全性加強也有極大的幫助。
比如避免員工隨意安裝客戶端軟件而帶入可疑代碼或病毒。因為系統(tǒng)標準化了,所以可以統(tǒng)一推送更新的安全策略到客戶端等。
定期軟件、固件、系統(tǒng)及其補丁的更新
軟件和補丁的定期更新對于信息安全的意義勿用多說了,我們在前文《設計環(huán)境的安全體系概述》中的第2節(jié)“安全事件引發(fā)的思考”中舉過臺積電因WannaCry入侵而遭受重大損失的例子,事件主要原因就是未能及時更新系統(tǒng)補丁造成的。
需要強調(diào)的是,補丁管理不是一次性的安全舉措,而是一個有序的嚴謹?shù)尼槍Σ煌瑢拥年P鍵基礎設施組件而計劃、審核、測試,并且實施的一個流程,需要持續(xù)地、堅持地進行。
日志集中收集和規(guī)劃審計策略
現(xiàn)在的系統(tǒng)和設備的日志功能已經(jīng)發(fā)展得越來越豐富了,由于IT組件眾多,日志中的信息量極大,如果不合理規(guī)劃,很難有效收集,及時發(fā)現(xiàn)安全問題。
安全加固首先要做好策略計劃,比如需要記錄哪些類設備的日志,記錄哪些內(nèi)容,必須記錄還是可選記錄等,記錄標志等;然后規(guī)劃一個集中收集、管理日志的方法,比如配置日志文件定期歸檔,搭建日志服務器,集中收集關鍵日志,并集成自動分析和安全報警流程,可以及時發(fā)現(xiàn)安全隱患、可疑入侵,比如:系統(tǒng)多次被未授權(quán)用戶登錄,文件被可疑刪除等。
系統(tǒng)日志管理已經(jīng)是安全加固不可缺少的策略之一了。
(訪問過程)加密
我們在“加密”前特地加上“訪問過程”,旨在強調(diào),這里的安全加固是針對訪問過程安全保護的,包括: 遠程登錄(ssh, rdp, vnc)。通過網(wǎng)頁訪問的應用程序,數(shù)據(jù)傳輸?shù)龋宦山谩懊魑摹倍褂眉用軈f(xié)議配置等。比如,在系統(tǒng)或網(wǎng)絡設備安全配置中默認禁用ftp,telnet,啟用TLS/SSL,用ldapsi進行認證連接,默認web訪問用https而非http等等。
下面我們對每一層需要特別加固的部分再作進一步闡述。
3.2)安全加固基本策略和原則
網(wǎng)絡為企業(yè)的關鍵基礎設施之一,因此保護公司整體網(wǎng)絡安全尤其重要,其安全控制措施之一就是對網(wǎng)絡進行安全加固,以防止對網(wǎng)絡層未授權(quán)的訪問或攻擊。
這個層的安全加固側(cè)重針對路由器、交換機、防火墻、無線、VPN等關鍵網(wǎng)絡設備及其相關配置。安全加固要基于“分級隔離”,“關閉不需要的物理網(wǎng)絡端口”、“先授權(quán)再允許訪問”的原則。
除此之外,加固的重點項列舉如下:
精細化打磨防火墻策略,梳理和有序控制網(wǎng)絡流量
我們從實踐中體會到,防火墻策略的制定是門“藝術(shù)”細活,制定規(guī)則不能太寬泛,特別是在公有云上的環(huán)境,安全組和訪問控制規(guī)則要根據(jù)架構(gòu)、訪問人員、來訪地點嚴格控制和審查。關于云上的網(wǎng)絡安全加固,建議大家閱讀微軟的“適應性網(wǎng)絡安全固化”[7]一文,值得學習并運用到生產(chǎn)環(huán)境中。
但是,防火墻規(guī)則也不能一刀切得過度限制,否則會給業(yè)務效率帶來負面影響。比如:在等級最高的研發(fā)環(huán)境中,研發(fā)團隊是跨區(qū)協(xié)同工作的,如果過度限制了應用程序和數(shù)據(jù)的訪問,會導致項目數(shù)據(jù)不能同步共享,從而影響項目開發(fā)進度。
運用OOB(Out of Band)進行遠程訪問控制。
網(wǎng)絡層的遠程訪問是經(jīng)常需要的,比如:管理員需要遠程訪問數(shù)據(jù)中心的網(wǎng)絡設備安裝、更新或排錯。傳統(tǒng)的做法是管理員打開特定的端口進行遠程操作,按時這個開放的端口也給黑客有了可乘之機,他們會利用這個端口入侵系統(tǒng)環(huán)境。OOB技術(shù)能阻止和預防這類安全風險。
無線訪問安全
這里特別強調(diào)無線訪問的安全,因為無線網(wǎng)絡相對有線網(wǎng)絡更容易被攻擊。
無線安全加固重點在于通過 802.1X協(xié)議-安全證書方式來進行認證和授權(quán)訪問。
CIS有專門對主流品牌,比如Cisco,Checkpoint, Juniper等網(wǎng)絡產(chǎn)品的安全基準指南,可以下載做安全評估。
3.3)主機的安全加固
主機安全加固主要是對主機和及其相關的用戶終端設備(筆記本、臺式機、Pad)的安全管理和加固。
加固側(cè)重對設備硬件和軟件的資產(chǎn)(CMDB)的管理配置,防止未經(jīng)授權(quán)和登記的設備連入企業(yè)網(wǎng)絡;當然除了訪問控制,對高安全性區(qū)域的進入還可以增加雙因素登入方式,提高接入門檻;終端設備還會強化移動設備接入的管理,比如通過安全策略禁止對USB的寫入或者讀寫。
主機安全還應該根據(jù)其使用場景,分類放置于數(shù)據(jù)中心的不同安全域。
3.4)操作系統(tǒng)的安全加固
操作系統(tǒng)安全加固顧名思義就是專門針對各類操作系統(tǒng)的安全配置定制。也許你會想,我們已經(jīng)做了嚴格的物理和網(wǎng)絡層隔離了,還有必要對操作系統(tǒng)進行安全加固嗎?答案是:肯定有必要的。
首先,操作系統(tǒng)是有漏洞,凡是有漏洞,就會有安全隱患;其次,不同操縱系統(tǒng)的用戶賬號可能沒有做集成,比如有的公司的研發(fā)環(huán)境,工程師可能有AD、NIS、VNC3套以上的賬號和密碼,為了省事,員工經(jīng)常使用弱密碼,甚至共享賬號和密碼,重要的項目信息很容易被看到,并以某種方式傳出去。
前面已經(jīng)提到,操作系統(tǒng)的安全加固不僅對安全風險起了“屏蔽”作用,而且安全加固是基于安全基準標準化定制的,因此部署會非常快捷而高效。
最小化安裝系統(tǒng)工具、軟件和服務,避免不必要的端口和服務打開而留下“后門”隱患;
部署防病毒軟件和病毒數(shù)據(jù)庫的定期更新,對于windows環(huán)境相信大家已經(jīng)作為默認實踐,不過有的公司還參照CIS的建議,對于Linux的操作系統(tǒng),安裝AIDE[]和防病毒軟件,如果在公有云上的場景里,建議在非安全區(qū)域里采用;
OS層的防火墻定制
OS層的防火墻建議根據(jù)實際環(huán)境定制,比如在高安全的計算域里,因為在網(wǎng)絡層方面已經(jīng)定制了嚴謹?shù)姆阑饓σ?guī)則,所以在Linux 操作系統(tǒng)層可以忽略此定制,否則會造成重復或過度加固;另外一種情況,用戶如果覺得自己的網(wǎng)絡層配置還不夠成熟,或者是在多方協(xié)同合作的環(huán)境中,就可以考慮在OS層啟用和配置防火墻規(guī)則。
我們建議通過運用Ansible,結(jié)合CIS安全基準來自動化地實現(xiàn)Linux系統(tǒng)和網(wǎng)絡層的安全加固,這樣會大大提高研發(fā)環(huán)境的安全性和管理效率。
3.5)應用層的安全加固
應用層的安全加固,也稱為“應用程序安全屏蔽”。它旨在針對企業(yè)重點使用的應用程序,進行強化安全配置,提升應用層的安全防護,防止IP被盜,代碼泄露、不合規(guī)濫用或惡意篡改等。
應用層的加固也是根據(jù)安全域、安全級別先做選擇、分類分級,然后制定不同的安全配置策略來進行加固,除了本章3.1節(jié)提到的幾個基本加固重點以外,還需要考慮增強對應用程序中的代碼保護措施,工具包的生命周期管理,更新管理、應用程序配置標準化等。
此外,建議對應用程序做瘦身處理,比如刪除sample文件和附帶的默認密碼,禁用或刪除不需要的功能組件,不要將多個功能的應用裝在同一臺服務器上等。
廠商也在致力于對產(chǎn)品的安全加固,比如像提供配置和生命管理周期產(chǎn)品的達索這樣的大廠商,更是將安全要素融入到了產(chǎn)品的開發(fā)設計中[8],那么對這類產(chǎn)品我們就可以比較輕松地按照廠商給的建議來做安全加固。
對于芯片研發(fā)環(huán)境,比較大的應用程序都內(nèi)嵌數(shù)據(jù)庫,可以考慮對數(shù)據(jù)庫另外再做一層加固,如果數(shù)據(jù)庫涉及高度敏感的數(shù)據(jù),更要考慮做加密處理。
3.6)數(shù)據(jù)層的安全加固
數(shù)據(jù)層的安全加固無疑需要最“堅實”的安全屏障,因為IP、研發(fā)數(shù)據(jù)和產(chǎn)品資料是芯片行業(yè)最為重視的安全保護核心,一旦泄露就可能對企業(yè)造成重大損失和影響。其加固重點在于圍繞存放數(shù)據(jù)和IP的存儲設備,訪問授權(quán)、傳輸路徑上的安全措施及其監(jiān)控和審計,針對芯片行業(yè),建議措施如下:
對最敏感的設計數(shù)據(jù)和IP做加密保護,在災備策略中,采用先加密再存放到備份介質(zhì)上
防止超級管理員訪問敏感數(shù)據(jù)
為Netapp配置NFS4.1 Kerberos加密來提升數(shù)據(jù)訪問安全性
數(shù)據(jù)加密傳輸,并增加監(jiān)控和審計控制措施
四、總結(jié):
系統(tǒng)安全加固是以盡可能地降低企業(yè)安全風險和威脅為目標的,本文基于安全行業(yè)推薦的最佳實踐指導框架,結(jié)合芯片研發(fā)環(huán)境展開做了簡要介紹;根據(jù)研發(fā)環(huán)境不同的安全域,分級制定安全基準,根據(jù)安全加固幾個原則推薦,對主要五個層:網(wǎng)絡層、應用層、主機層、操縱系統(tǒng)層和數(shù)據(jù)層進行特別的安全加固:比如,修補漏洞、嚴控權(quán)限、布控防火墻規(guī)則等,希望通過在諸如“一個中心、三層隔離、五層安全控制”的安全體系下,通過對網(wǎng)絡、主機、操作系統(tǒng)、應用程序和數(shù)據(jù)這五個關鍵層的安全加固和特別控制,建造起有效的阻止入侵和防止數(shù)據(jù)泄露的安全防線。
最后,我們要強調(diào)的是,安全加固不是一個一次性項目,而是一個從計劃到評估基準線再到測試最后部署的一個持續(xù)而不斷更新的流程。“千丈之堤,以螻蟻之穴潰;百尺之室,以突隙之熾焚” !信息安全的城墻需要細致、全面而長期的努力!
