配置管理：為您的設(shè)備創(chuàng)建基線配置可減少安全漏洞

遵循食譜（如烘烤 cookie）是確保設(shè)備和系統(tǒng)設(shè)置和配置一致性的一種方法，這反過來又減少了引入新的配置錯(cuò)誤的可能性，這些錯(cuò)誤可能導(dǎo)致攻擊者利用不需要的漏洞。這些配方是基準(zhǔn)配置，詳細(xì)記錄了操作系統(tǒng)、應(yīng)用程序或設(shè)備應(yīng)配置的確切設(shè)置。使用這些定義明確的配置來自動(dòng)執(zhí)行以快速有效的方式查找差異和配置漂移的流程。在此博客中，我們將了解配置基線如何成為確保正確設(shè)置應(yīng)用程序和設(shè)備的重要工具。

配置基線一點(diǎn)都不新鮮。系統(tǒng)工程師和管理員長期以來一直依賴這些模板來確保每個(gè)系統(tǒng)的配置都相同。由系統(tǒng)制造商和其他主題專家組提供的規(guī)范性指南是確保您的配置在設(shè)計(jì)時(shí)考慮到安全性的重要起點(diǎn)。

配置基線定義了必須如何設(shè)置特定類型的設(shè)備，并且非常詳細(xì)到每個(gè)輸入和變量。例如，配置基線定義了如何配置對(duì)設(shè)備的遠(yuǎn)程訪問以及要啟用的協(xié)議。利用基線配置應(yīng)該可以降低設(shè)備的總體運(yùn)營成本，因?yàn)樗鼈兛梢源_保整個(gè)設(shè)備組的同質(zhì)性，這反過來又可以通過自動(dòng)化和其他省時(shí)的方法促進(jìn)配置。預(yù)計(jì)如果一個(gè)設(shè)備在指定配置下運(yùn)行良好，則其余設(shè)備應(yīng)該以相同的方式運(yùn)行。適當(dāng)?shù)呐渲没€也可以提高安全性，因?yàn)橥ㄟ^它們的開發(fā)，它們需要對(duì)每個(gè)設(shè)置進(jìn)行詳細(xì)審查，并且通常會(huì)根據(jù)用例將設(shè)備的默認(rèn)行為更改為更安全的狀態(tài)。作為設(shè)備操作員，您可以研究和查看來自一個(gè)來源的規(guī)范性指南，然后擴(kuò)展此知識(shí)以為來自不同制造商的類似設(shè)備創(chuàng)建適當(dāng)?shù)幕€。這種比較方法還突出了設(shè)備之間的功能差異，甚至可能會(huì)影響您根據(jù)安全功能選擇哪些設(shè)備。配置基線應(yīng)包括如何設(shè)置這些安全功能并確保設(shè)備和系統(tǒng)適當(dāng)?shù)丶庸桃悦馐芄?。以遠(yuǎn)程訪問為例，許多設(shè)備都支持遠(yuǎn)程訪問，允許系統(tǒng)管理員和開發(fā)人員通過網(wǎng)絡(luò)進(jìn)行配置。設(shè)備支持多種協(xié)議（例如，telnet、安全外殼和 Web 瀏覽器訪問）是很常見的，但并非所有這些協(xié)議都同樣安全。

通過將您的基線與您的安全策略和標(biāo)準(zhǔn)相關(guān)聯(lián)，確保您的基線支持您組織的安全要求和義務(wù)。您的安全策略是您的信息安全計(jì)劃的基石，并在高級(jí)別定義了哪些行為是允許的，哪些行為是不允許的。一個(gè)好的安全策略是廣泛的，涵蓋與您的公司或組織相關(guān)的多個(gè)安全域。雖然政策范圍更廣、層次更高，但信息安全標(biāo)準(zhǔn)更深入到每個(gè)政策領(lǐng)域。例如，您可以在您的政策中包含一個(gè)或兩個(gè)段落來描述適當(dāng)?shù)纳矸蒡?yàn)證原則，但專門使用整個(gè)五到六頁的標(biāo)準(zhǔn)來更詳細(xì)地描述您的組織為這些身份驗(yàn)證支持的批準(zhǔn)協(xié)議和允許的用例和系統(tǒng)服務(wù)。配置基線直接支持策略和標(biāo)準(zhǔn)，并包括有關(guān)如何設(shè)置設(shè)備以使用這些系統(tǒng)的實(shí)際設(shè)置。最后，您可以選擇記錄適當(dāng)?shù)某绦騺硌a(bǔ)充標(biāo)準(zhǔn)和基線，其中包括關(guān)于如何配置更復(fù)雜的系統(tǒng)和設(shè)備的更廣泛的說明。

在我們之前的遠(yuǎn)程訪問示例中，該策略可能描述了所有設(shè)備和系統(tǒng)對(duì)網(wǎng)絡(luò)通信進(jìn)行加密并要求對(duì)特權(quán)訪問進(jìn)行身份驗(yàn)證的要求。支持標(biāo)準(zhǔn)將安全外殼（SSH，基于 TCP 22）和超文本安全協(xié)議（HTTPS，基于 443）指定為經(jīng)批準(zhǔn)的遠(yuǎn)程管理協(xié)議，并將 WS-Federation、安全斷言標(biāo)記語言 (SAML 2.0) 和 OAuth 指定為經(jīng)批準(zhǔn)的身份驗(yàn)證標(biāo)準(zhǔn)。您組織中的每種類型的設(shè)備和系統(tǒng)都會(huì)有一個(gè)為其創(chuàng)建的唯一配置基線，用于定義使設(shè)備能夠支持這些標(biāo)準(zhǔn)的特定于設(shè)備的配置設(shè)置。配置基線可以采用多種形式。最簡單的是一個(gè)表格，其中列出了設(shè)備的每個(gè)配置元素及其首選值。說明性基線可能包括配置對(duì)話框的屏幕截圖，以便于手動(dòng)設(shè)置。為了減少設(shè)備之間配置差異的可能性，請(qǐng)務(wù)必明確定義每個(gè)復(fù)選框、單選按鈕和字段的設(shè)置方式。對(duì)于較大的安裝，尋找機(jī)會(huì)通過應(yīng)用程序編程接口 (API) 或設(shè)備公開的命令來自動(dòng)執(zhí)行配置。大多數(shù)企業(yè)網(wǎng)絡(luò)設(shè)備都是這樣配置的。您可以創(chuàng)建一個(gè)包含所有重要配置命令和設(shè)置的文本文件或 XML 文檔，并將此文件加載到設(shè)備中，以確保以正確的方式配置設(shè)備。請(qǐng)務(wù)必明確定義每個(gè)復(fù)選框、單選按鈕和字段的設(shè)置方式。對(duì)于較大的安裝，尋找機(jī)會(huì)通過應(yīng)用程序編程接口 (API) 或設(shè)備公開的命令來自動(dòng)執(zhí)行配置。大多數(shù)企業(yè)網(wǎng)絡(luò)設(shè)備都是這樣配置的。您可以創(chuàng)建一個(gè)包含所有重要配置命令和設(shè)置的文本文件或 XML 文檔，并將此文件加載到設(shè)備中，以確保以正確的方式配置設(shè)備。請(qǐng)務(wù)必明確定義每個(gè)復(fù)選框、單選按鈕和字段的設(shè)置方式。對(duì)于較大的安裝，尋找機(jī)會(huì)通過應(yīng)用程序編程接口 (API) 或設(shè)備公開的命令來自動(dòng)執(zhí)行配置。大多數(shù)企業(yè)網(wǎng)絡(luò)設(shè)備都是這樣配置的。您可以創(chuàng)建一個(gè)包含所有重要配置命令和設(shè)置的文本文件或 XML 文檔，并將此文件加載到設(shè)備中，以確保以正確的方式配置設(shè)備。

這些配置基線是可審計(jì)的。許多組織使用經(jīng)過編輯的配置文件向?qū)徲?jì)員展示設(shè)備的安全配置。某些漏洞掃描程序（如 Qualys 或 Nessus）可以配置為掃描其漏洞簽名之外的配置設(shè)置。作為更廣泛的信息安全管理系統(tǒng) (ISMS) 的一部分，重要的是不僅要證明您的設(shè)備配置正確，而且要證明這些配置符合您的安全策略和程序，而這些配置基線正是這樣做的。

由于多個(gè)制造商提供的設(shè)備和系統(tǒng)種類繁多，您可能會(huì)發(fā)現(xiàn)為本地基礎(chǔ)設(shè)施創(chuàng)建配置基線比基于云的服務(wù)更多樣化。查看您用于配置最佳實(shí)踐的操作系統(tǒng)和大型企業(yè)應(yīng)用程序的這些制造商。主要的云服務(wù)提供商為他們的整個(gè)配置公開 API，因此編寫腳本和程序以快速部署新系統(tǒng)變得更加容易，該系統(tǒng)完全按照您的需要配置，就像您的其他系統(tǒng)一樣。Microsoft 已針對(duì)其當(dāng)前操作系統(tǒng)發(fā)布了推薦的安全配置設(shè)置，可從其網(wǎng)站下載。此 zip 文件包含數(shù)千個(gè)推薦設(shè)置以保護(hù)這些系統(tǒng)。Internet 安全中心為各種操作系統(tǒng)和應(yīng)用程序（包括 Microsoft Windows、Linux、iOS、Apache、Docker、Microsoft SQL Server、Oracle 等）提供推薦的安全配置的免費(fèi)下載。這些資源是免費(fèi)的，是識(shí)別可根據(jù)您的環(huán)境自定義的重要安全配置的良好起點(diǎn)。

結(jié)論

安全配置基線有助于確保以安全且可重復(fù)的方式設(shè)置您的設(shè)備和系統(tǒng)。特別是在可能由多人負(fù)責(zé)設(shè)置設(shè)備的大型組織中，這些文檔不僅確保設(shè)備設(shè)置得當(dāng)且安全，而且隨后還提供了一個(gè)檢查點(diǎn)來審計(jì)配置隨時(shí)間的漂移。配置基線是全面有效的漏洞管理程序中安全更新的補(bǔ)充組件，也是系統(tǒng)管理員和開發(fā)人員等的重要工具。

審核編輯：湯梓紅