驻场工程师眼中的政务云安全

2018 年 1 月 29 日 FreeBuf 雨水

驻场工程师属于拿着乙方的薪水,操着甲方的心,生在甲方的阵营,活在乙方的世界。在驻场工程师眼中,政务云的安全,包括甲方的运维,也包括乙方的服务。

维护政务云平台安全运行,大部分工作是围绕云平台租客业务系统安全来展开的,因为云平台自身安全,主要就是爆发漏洞的时候,打上响应的补丁就行了,例如,最近的CPU漏洞(Meltown和Spectre)爆发,各云平台都在积极解决。这里从一个驻场工程师的角度阐述下云平台租客安全的工作内容。

政务云平台的运作,参与的单位一般有:

监管部门,一般为当地政府部门、网监、网信办等。

云计算服务商,一般为当地运营商,负责整个平台的建设,运维。

虚拟化平台服务商,为云平台提供硬件服务器,云平台管控中心等。

安全服务商,为云平台提供安全设备和安全服务的厂商。

租户:最终的用户,租用政务云平台,搭建自己的网站、应用系统等。

保护好租客安全,需要从事前、事中、事后三个维度出发,事前工作,包括用户网站上线前检测,上线后防护,重大时期保障等。事中工作,即监测工作,监测平台网站的安全状态,定期查看云监测,云平台上硬件工具等的告警,分析安全日志。事后工作,在安全事件发生后,进行的应急响应,协助调查取证。

事前工作:

(1)配置模板机,Windows和Linux系统分别配置模板机,按照等保要求,做好基线配置,打上最新的补丁。用户申请虚拟机资源的时候,就可以将加固好的模板机配置给用户。

(2)政务云上线流程:租户根据网站规模,申请虚拟机资源,在虚拟机上搭建网站应用,完成后,在政务云内网进行上线前检测,渗透测试,漏洞扫描,基线检查,通过安全检测后,将网站发布到互联网。

(3)网站上线后,配置所有能用的安全设备进行防护、监测,网站云监测、云防护,硬件waf,流量分析,日志分析,虚拟化杀毒等。

(4)重大时期保障,在G20、十九大、互联网大会等重要时期,提交保障计划、应急预案给云计算服务商和监管部门,安排人员24小时值守,因为放在政务云的网站,大部分都是展示型的,如:门户网站等,所以,必要时候,可以采用极端手段,如:使用防篡改系统,将所有首页锁定,不允许修改等。值守时期,监控的重点也是网站篡改情况,一旦发现篡改,立即下线处理,然后准备应急溯源。

事中工作:

(1)定期对平台上的服务器进行漏洞扫描、渗透测试、病毒扫描、日志分析等。

(2)关注各个监控平台如:网站云监控、流量分析平台的告警等。

事后工作:

(1)应急响应,对于监控到、用户反馈的安全事件,安排应急溯源,输出应急报告,向监管单位汇报,并对后期工作进行调整。

(2)安全工作调整,针对安全新闻或在政务云发生的安全事件,对政务云安全工作进行调整,如:挖矿病毒事件大规模爆发,需要进行的安全工作:对所有租户服务器进行杀毒,统计最近时期所有服务器CPU、内存使用率情况,日志分析,排查挖矿病毒痕迹。

有次和一个跳槽到甲方的前任(同事)吃火锅,聊起了甲方安全和乙方安全,那位哥们说,在乙方,做完渗透测试后,提交了测试报告,就完事了。在甲方,负责渗透测试的安全部门,在测试完后,还得盯着业务部门修复,业务部门不愿意修复的,就要搬个小板凳坐在程序员边上,苦口婆心的劝他们修复,告诉他们不修复会有多大危害,会造成多大的损失,有的时候,还要在网上找修复方法,陪着程序员一起修复。

驻场工程师是乙方人员,对甲方的一些事情,不能越俎代庖,但是也要承担一部分甲方的责任,需要做到什么程度呢,这里举几个例子:

(1) 每次提交渗透测试报告后,作为驻场工程师,不可能盯着各个单位的网站负责人去修复,对于拖了很久还不进行修复的单位,驻场工程师可以做的是:对漏洞修复情况进行追踪,整理列表,哪些网站漏洞已经完成修复,哪些网站存在高危漏洞,但是还没有修复。定期将整理的列表发送给监管部门。

(2)租户网站在上线前检测的时候,一般安全漏洞都会被发现并修复,上线后有些用户对网站进行修改,添加模块等操作,会带来新的安全问题。用户在修改网站后,一般不会联系安全服务商进行再次渗透测试。这时候,驻场工程师能做的事情:举办安全意识培训,增加用户的安全常识和安全意识。修订政务云安全制度,由监管方审核签发,将该情况编写到制度中。

(3) 类似政务云这种环境,用户数量较多,容易出现用户VPN、堡垒机初始密码不修改,运维人员调动后密码不作废等情况。作为驻场工程师,很难从管理制度方面去约束该情况。这时,驻场工程师可以将初始密码放入弱口令字典中,定期扫描,输出弱口令报告给监管部门。每季度将各单位账号列表发送给用户进行核实,将核实结果整理成列表,发送给监管部门。

维护好政务云的安全,驻场工程师能做的是:甲方运维加上乙方服务,还有一颗不能说破的责任心。

*本文作者:雨水,转载请注明来自FreeBuf.COM

登录查看更多
0

相关内容

【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
华为发布《自动驾驶网络解决方案白皮书》
专知会员服务
125+阅读 · 2020年5月22日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
【德勤】中国人工智能产业白皮书,68页pdf
专知会员服务
303+阅读 · 2019年12月23日
【大数据白皮书 2019】中国信息通信研究院
专知会员服务
137+阅读 · 2019年12月12日
在K8S上运行Kafka合适吗?会遇到哪些陷阱?
DBAplus社群
9+阅读 · 2019年9月4日
金融风控面试十二问
七月在线实验室
20+阅读 · 2019年4月9日
云游戏行业发展趋势分析报告
行业研究报告
13+阅读 · 2019年3月24日
企业数据AI化战略:从数据中台到AI中台
36大数据
11+阅读 · 2019年2月18日
【工业大数据】一文带你读懂《工业大数据白皮书》
产业智能官
14+阅读 · 2018年1月20日
【区块链】区块链是什么?20问:读懂区块链
产业智能官
8+阅读 · 2018年1月10日
安全牛发布《威胁情报市场指南》报告
安全牛
13+阅读 · 2017年7月10日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
Mesh R-CNN
Arxiv
4+阅读 · 2019年6月6日
Arxiv
6+阅读 · 2019年4月8日
Arxiv
5+阅读 · 2018年5月16日
Arxiv
8+阅读 · 2018年4月8日
VIP会员
相关资讯
在K8S上运行Kafka合适吗?会遇到哪些陷阱?
DBAplus社群
9+阅读 · 2019年9月4日
金融风控面试十二问
七月在线实验室
20+阅读 · 2019年4月9日
云游戏行业发展趋势分析报告
行业研究报告
13+阅读 · 2019年3月24日
企业数据AI化战略:从数据中台到AI中台
36大数据
11+阅读 · 2019年2月18日
【工业大数据】一文带你读懂《工业大数据白皮书》
产业智能官
14+阅读 · 2018年1月20日
【区块链】区块链是什么?20问:读懂区块链
产业智能官
8+阅读 · 2018年1月10日
安全牛发布《威胁情报市场指南》报告
安全牛
13+阅读 · 2017年7月10日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
Top
微信扫码咨询专知VIP会员