運維是必需品�����,安全是奢侈品
2022年10月31日
最近在某群聽到這句話:運維是必需品����,安全是奢侈品。
安全���,一直是大部分公司想引起重視�,又不引起重視的存在����。想引起重視的原因是安全問題不斷出現(xiàn)���,經(jīng)常會聽到某某云廠商的服務器不可用了,某某公司的服務器被入侵了���,某某公司的數(shù)據(jù)庫被前員工刪了��,層出不窮的安全問題讓安全人員防不勝防���。
就算如此,大部分公司還是不引起重視�����。主要有以下三種原因:
(1)公司并沒有專業(yè)的安全人員�,沒有較強的安全意識,再加上沒有發(fā)生太大的安全事故
(2)安全==花錢��,要做安全���,就要做好花錢的準備����,并且價格不菲
(3)僥幸心里
總結(jié)整理了下面幾個安全規(guī)范:
端口安全
系統(tǒng)安全
應用安全
網(wǎng)絡安全
數(shù)據(jù)安全
端口安全
現(xiàn)在的應用基本都是 TCP/IP 形式進行通信,如果想從外面環(huán)境進行訪問�,就需要放開相應的端口和 IP,比如常用的 HTTP/HTTPS 端口�����,SSH 端口��,RDP 端口等���,為了安全,我會遵從以下原則:
如果是普通的服務器���,可以使用 iptables 進行規(guī)則制定����,如果是云服務器��,可以通過云安全組進行訪問控制�����。
系統(tǒng)安全
如果按著等保 3 級的標準,系統(tǒng)安全要做的就比較多�,比如要開啟防火墻,要備份審計日志��,要配置各種策略�。一般只做下面幾種:
登錄/密碼管理
日常的服務器維護需要我們登錄到目標服務器進行操作,那么就會涉及到密碼�、密鑰等問題,我一般會遵從以下原則:
提升密碼復雜度
設(shè)置密碼失效時間
定期修改密碼
設(shè)置密碼重試次數(shù)
檢查系統(tǒng)是否存在空密碼
禁止空密碼登錄
建議使用密鑰進行登錄管理
通過堡壘機來做訪問控制
漏洞管理
“漏洞是修不完的�,我們只能查漏補缺”。
大部分公司現(xiàn)在都是以開源為主���,而且大部分公司都是借助開源軟件構(gòu)造自己的業(yè)務體系����,并沒有對這些開源軟件做太多的安全質(zhì)量把控���,以至于很多安全問題都是開源軟件引起的�����。而且現(xiàn)在很多軟件供應商對外售賣的商業(yè)軟件中也大量采用了開源軟件��,但是安全責任并沒有從開源代碼提供者轉(zhuǎn)移到軟件供應商�����,這就導致最終還是由用戶來承擔了軟件漏洞的安全風險���。
就拿 CentOS 系統(tǒng)而言�����,企業(yè)會在服務器上安裝各種軟件�,比如 ssh����、mysql���、redis 等�,而這些應用軟件又會有許多漏洞���,這就導致我們的系統(tǒng)就像一個篩子:漏洞百出�����。如果被用心之人利用����,損失將不可估量。
為此����,我們一定要經(jīng)常對系統(tǒng)進行漏洞掃描和修復,切記抱著僥幸心里�����。
如果你常用云���,就算不買安全產(chǎn)品�,它們也會提供基礎(chǔ)的漏洞掃描能力�,但是不會幫你修復,不然就要額外收費了���。我們可以借助它把漏洞整理出來�����,自己修復����。
基線檢查
基線檢查是一個日常檢查維護,主要檢查以下問題:
弱口令
賬號權(quán)限
身份鑒別
密碼策略
訪問控制
安全審計
入侵防范
安全并不是一勞永逸的事情�,它需要每時每刻都投入心血、時間���,而基線檢查可以有效的指出安全問題��,方便進行安全加固��。
條件允許����,建議購買商業(yè)的軟件��。退而求其次��,就只能去找一些開源的軟件了���,比如百度推出的 OpenRASP。
應用安全
應用是業(yè)務的基石����,應用是業(yè)務的載體����。如果應用出問題��,業(yè)務也不遠了���。
而且����,現(xiàn)在很多開放人員都只關(guān)注業(yè)務實現(xiàn)與否��,并不太關(guān)注應用的安全����,這就會導致:
在開發(fā)的過程中可能引入了有漏洞的組件
涉及的用戶密碼沒有做加密處理
把用戶密碼直接放代碼中,然后上傳到公開倉庫中
我就遇到過某開發(fā)人員將代碼放到 Github���,而里面有阿里云 OSS 的密鑰����,這就直接導致密鑰泄漏����。幸虧阿里在這方面的掃描能力很足����,很快就發(fā)現(xiàn)并告警處理����。
在應用安全這塊,主要關(guān)注以下問題:
這類基本需要借助商業(yè)軟件來完成�,比如 WAF。
網(wǎng)絡安全
買買買�。重要的事情說三遍。
網(wǎng)絡防御這塊��,除了買�,好像沒什么其他的辦法,比如 DDoS�。
當然,除了 DDoS 這類攻擊外����,暴力破解也是常有的事,如果不嫌麻煩���,可以自己去封禁 IP,其結(jié)果是真麻煩���。
所以����,最終都要以 RMB 破萬法。
數(shù)據(jù)安全
數(shù)據(jù)安全牽扯的就比較多��,常規(guī)主要以下幾種:
防止 SQL 注入
敏感數(shù)據(jù)脫敏
數(shù)據(jù)庫審計
訪問控制
備份冗余
這里以數(shù)據(jù)庫為例���,我們主要按以下規(guī)則進行處理:
最后
大家有沒有發(fā)現(xiàn)����,安全拼到最后都是 RMB,當 RMB 都不能解決的時候�����,就拼人脈了�。
道路千萬條,
安全第一條�����。
操作不規(guī)范,
運維兩行淚�����。
來源: 運維開發(fā)故事
