数据中心系统安全的五层视图
数据中心是任何组织的中枢神经系统。作为承载关键业务数据的服务器的枢纽,数据中心需要得到特别关照。为了保证数据中心的IT系统安全,需要进行一些基本检查。IT系统审计员和系统维护团队必须了解这些检查点。
除了检查信息安全实践和防御机制之外,评估备份程序和实践以增强组织在安全攻击后的恢复能力也同样重要。经验法则是信息安全审计应评估机密性、完整性和可用性 (CIA) 三元组。
数据中心系统安全有五层(图1 ),每一层都需要检查。
用于保护托管在数据中心内的系统的外围层是物理层。物理层的保护实践包括数据中心机房、机架、服务器和出入流程的访问控制。保护还确保检查不同物理位置的数据副本的可用性。
数据中心物理访问控制——为访问数据中心设置多因素身份验证(MFA)并在入口和出口点以及数据中心内部保持监视控制非常重要。数据中心不像允许频繁访问和随意访问的典型工作空间。这些第一级检查和控制对于数据安全至关重要。
服务器机架的上锁控制——有必要禁止外部设备访问服务器,并防止通过未经授权的电缆连接导致的潜在数据泄漏。上锁控制有助于防止数据被盗和物理中断。
检查硬件级别的安全漏洞——对于硬件的远程监控,通常的做法是将基础硬件连接到网络。然而,为了正确的访问控制,重新验证连接要求是必要的。
固件升级——原始设备制造商(OEM)是就固件升级提供建议的最佳评判者。基础架构团队应听取制造商的建议,将固件升级到更安全、更稳定的版本。
离职员工的流程检查——所有离开组织的员工的离职手续必须包括取消物理访问。人力资源 (HR) 和 IT 团队必须协调以定期审查访问列表。
访问外部机构——必须在支持结束后立即关闭对硬件供应商支持团队的临时访问。在使用云的情况下,考虑到运营规模和客户审计,此类措施的范围更大。
灾难恢复策略、异地备份程序和业务连续性计划——建立弹性对于应对地震、火灾事故或其他灾难性事件等中断非常重要。数据关键程度、恢复点目标/恢复时间目标(RPO/RTO)和法规遵从性要求等因素是灾难恢复(DR)设计策略的重要元素。这些策略应包括DR站点的位置、应用范围、硬件大小、数据中心和 DR 站点之间的带宽要求、数据复制方法以及DR故障转移/故障恢复活动的频率等考虑因素。这里的主要关注点是跨地区站点中数据副本的物理可用性。在自然灾害的情况下,目标是有足够的能力来恢复关键数据。
“由于预计来自虚拟化层的传出流量不会太多,因此互联网访问在很大程度上会受到限制。”
逻辑层是指操作系统(OS)环境。保护逻辑层解决了虚拟化层的安全性、操作系统占用空间的优化、使用传统和下一代防御机制来保护操作系统实例以及采用与工作操作系统占用空间相关的最佳实践和流程。
虚拟化层安全——这一层很容易处理。版本更新、端口加固和Internet阻塞通常只需要在虚拟化层之上运行一些服务来控制入口流量。监控需要简单网络管理协议(SNMP)和一些有限的特定服务。因此,很容易实现对入口负载的限制。由于预计来自虚拟化层的传出流量不会很大,因此互联网访问在很大程度上会受到限制。组织应不断更新虚拟化软件,以避免旧版本中常见的安全漏洞。
定期打补丁和移除旧的和不受支持的操作系统——作为一种安全防御机制,打补丁是数据中心团队不容商榷的定期操作活动。例如,微软在每个月的第二个星期二发布Windows操作系统的安全补丁。运营团队必须及时完成这些补丁,因为他们修复了所有已知的错误。许多领先的操作系统制造商淘汰旧版本并停止为其发布安全补丁。因此,组织需要准备好摆脱旧的操作系统版本。这需要提前规划和执行。
安装操作系统——从安全的安装实践开始总是更好。一旦实例投入生产,这种方法有助于避免漏洞和停机时间。一些关键实践包括更改默认安全设置和密码、避免安装不必要的包、使用安全外壳(SSH)强化和服务器强化实践。提供用户访问权限时应采用最小权限原则。这意味着根据要求仅向用户授予适当的权限。对这个过程采取随意和自由的方法是不安全的。
通过 PAM 工具安全登录、双因素身份验证——逻辑访问控制主要有助于抵御暴力攻击并防止未经授权的访问。特权访问管理(PAM)工具可用于建立单点登录要求,并且它们提供强大的密码管理功能。这些工具使维护访问日志变得容易,并有助于确保审计合规性要求。
密码管理实践PAM——尽管PAM工具有助于实现最佳密码管理实践,但并非所有组织都为所有实例实施此类工具。尽管如此,每个组织都应该定义和实施由最佳实践组成的密码管理策略,例如密码过期设置和复杂的密码要求。
操作系统配置的备份及快照——在关键的旧系统上启用快照是安全的。如果出现任何负面事件或数据不一致问题,重新创建复杂的安装将是繁琐的。这个时候快照和配置备份可以派上用场。
操作系统占用空间优化——“行李越少,风险越小”是优化操作系统占用空间的一个很好的原则。优化应该是一个持续的过程,是常规操作的一部分。为了实现这一点,基础架构团队需要与应用程序团队密切合作,以整合和重用应用程序进程。这种方法不仅可以降低与操作系统和应用程序漏洞相关的风险,还可以减少维护工作量。它还有助于提高硬件和软件资源的利用率。
流程检查——一些流程检查可能看起来很明显,但重要的是要确保它们是万无一失的和自动化的。一个典型的例子是移除离职员工的逻辑访问权限。
传统防御机制——服务器的防病毒和反恶意软件保护以及操作系统补丁等机制是不容商榷的。必须确保在所有相关系统上100%的使用它们。对于一些内置的操作系统机制,例如SELinux ,可以酌情检查和实施。
下一代防御系统——组织应考虑实施应对高级持续性威胁(APT)的新工具,例如FireEye的产品或VMware的Carbon Black。当涉及到基于异常行为和模式变化的攻击的早期检测时,这些工具更加智能。
特别关注系统管理员的终端——系统管理员的笔记本电脑需要特别关注。系统管理员定期登录服务器进行维护活动,如果他们的机器没有得到适当的保护,就会构成更大的威胁。需要对这些系统进行强制性基本检查,包括配置最新补丁、防病毒更新和数据丢失防护(DLP)工具。
不受信任的软件——如果将不受信任的软件引入系统,整个数据中心环境将受到威胁。必须强制对所有系统进行定期审核,以识别此类偏差。需要对防病毒程序等防御系统进行微调,以检测不受信任的软件。
“限制出口流量与调节入口流量一样重要,而这通往往是一个被忽视的区域。” ©摄图网
网络层包括交换机、防火墙和路由器等元素。必须正确配置这些关键网关元素以防止攻击。保护网络层需要限制入口和出口流量、优化网络接口、应用微分段以及使用安全的防火墙配置方法。
操作系统实例的互联网访问优化——这通常是一个被忽视的领域,限制出口流量与调节入口流量一样重要。在勒索软件攻击期间,攻击者的中央指挥中心会尝试与受攻击的实例建立连接。限制互联网连接有助于防止这种连接并阻止攻击的进一步发展。通常,需要在防火墙级别对所有子网应用互联网限制。“全部拒绝”应该是第一策略,然后可以根据申请要求逐案申请例外。
清除未使用的网络接口——作为常规操作活动的一部分,删除未使用的路径非常重要。不断的变化和发展将使一些网络路径变得多余。建议对此类路径进行定期审核和优化。此类情况的示例包括: 01 虚拟化和物理操作系统级别的网络接口 防火墙和负载均衡器上未使用但已激活的端口 路由器和负载均衡器上的冗余策略和路由
拒绝在操作系统级别分配外部IP——尽可能避免在操作系统级别分配外部互联网协议(IP)地址。尽管在操作系统级别有防火墙功能,但用于此目的的网络防火墙设备更适合在中央级别进行保护。应优先考虑网络地址转换(NAT),并应在防火墙级别应用适当的限制。在中央设备上管理这些控制会更容易。可能存在例外情况,例如域名系统(DNS)实例,它们需要具有内置高级安全功能的应用程序。
移除离职员工的VPN访问权限——虚拟专用网络(VPN)是敏感内部网络的入口点。VPN级别的控制易于应用且非常有效。这些流程是不容商榷的,必须彻底地完成。
网络的微分段——尽管目标是完全阻止网络攻击,但在某些情况下,仅仅控制传播也是至关重要的。数据中心网络的智能设计和微分段有助于这一点。
保守的方法——首先“拒绝”,然后“允许”只需要的流量。这应该是防火墙政策制定者的口头禅。
网络设备的固件升级——中心网络元素如防火墙都是关键设备;因此,基础架构团队通常不愿对这些设备进行重大变更。然而,及时安装固件升级是重要的,以避免将来出现停机和失控情况。
检查防火墙上的IPS签名更新——由于网络或支持问题,防火墙可能会停止获取入侵防御签名 (IPS) 更新。组织需要对此实施监控检查。
网络元素的配置备份——防火墙、负载均衡器和交换机等中心元素的配置至关重要,应该有一种机制将这些备份提取到网络管理员可以轻松访问的地方。
生产和备份数据的隔离——防止攻击从生产环境传播到备份实例很重要。根据业务标准,组织可以采用传统的备份方法(例如磁带和异地备份)或较新的技术(例如AirGap解决方案或混合方法)。
“组织需要确保及时更新 SSL 证书并定期更改加密密钥。” 图片来源于公共图片库
审查应用程序层的流程对于保护应用程序和数据库系统至关重要。在这一层,重点应放在维护应用程序和数据库实例的安全方法、生产和测试环境的隔离、使用健壮的数据加密方法以及实施代码和数据库备份系统。
数据加密机制——对静态数据和传输中数据进行加密对于避免数据泄露至关重要。应用程序和数据库系统的设计应确保与最新和最稳定的安全套接字层/传输层安全 (SSL/TLS) 方法兼容。组织需要确保及时更新 SSL 证书并定期更改加密密钥。
Web应用程序防火墙等防御机制——Web 应用程序防火墙 (WAF) 增加了对第 7 层攻击的保护,包括 HTTP 泛洪和结构化查询语言 (SQL) 注入等 Web 安全漏洞。典型的网络外围防火墙无法应对此类攻击;因此,必须通过 Web 应用程序防火墙 (WAF) 添加额外的安全性。由于 WAF 是一种相对较新的技术,因此使用它增加了操作的复杂性。安全团队需要充分了解这项技术,并确保 WAF 下所有面向外部的关键应用程序都使用阻塞模式。
安全编码和数据库安装实践——最好在应用程序构建的初始阶段做正确的事情。
应用程序代码备份和数据库备份过程——建议至少保留两个备份(一个同城,一个异地副本)。
·
生产、开发和测试环境的隔离——隔离对于确保生产环境的安全很重要。与微分段的概念类似,这有助于避免攻击从测试环境传播到生产环境。鉴于测试范围很大,测试环境更容易受到攻击。
生产环境限制——为了避免对生产环境产生负面影响,需要进行访问限制。对于较小的组织,如果不可能有隔离的团队,网络隔离将有助于防止错误。
关键应用程序和数据库变更的日志捕获流程——轻松跟踪变更和快速周转有助于防止因生产环境的变化而出现任何问题。
应用程序和数据库用户的密码管理——在应用程序和数据库管理中应遵循最佳密码管理实践,类似于操作系统用户密码管理。
程序间依赖关系的安全连接——基础设施团队应该从应用程序和数据库团队获取所有必要的信息,并确保只为应用程序和数据库连接打开必须的端口。
整合数据库实例并减少数据库占用空间——“行李越少,风险越小”的原则也适用于数据库整合和减少占用空间,类似于操作系统占用空间。
特别关注面向外部的应用程序——面向外部的应用程序本质上更容易受到攻击。Web、移动和第三方应用程序需要更多的关注和安全性,因为对它们的控制较少。
“五层视图涵盖了与数据中心系统安全相关的所有方面,并将它们整合为一份综合指南。”
图片来源于公共图片库
物理、逻辑、网络和应用程序层的安全检查主要由系统管理员和应用程序开发团队管理。进一步的治理检查由信息安全团队负责。这些职责包括:
审查组织安全运营中心 (SOC) 的网络威胁情报系统和运营 审查防火墙、防病毒和WAF等防御机制工具 审查信息安全操作,包括漏洞评估和渗透测试(VAPT)活动以及外部和内部审计 检查组织的信息安全意识情况(即审查网络安全意识计划,为系统管理员提供信息安全培训) 检查标准操作程序、变更管理程序和文档 审查IT安全策略 与供应商合作伙伴检查保密协议 (NDA) 中的数据隐私条款和条件 审查与员工签订的协议以加强组织敏感数据的隐私 提供组织信息安全稳健性的360度视图,包括内部控制、系统稳健性、对合作伙伴的控制、来自客户的风险以及云托管的附加控制
需要进行基本检查以确保数据中心的IT系统安全。这些检查可以从五个不同的角度来看待:物理、逻辑、网络、应用和信息安全。
在物理层面,重点应该主要放在流程控制而不是技术方面。在逻辑层面,重点应该放在操作系统的安全性上。在网络层面,重点应该主要是优化和保护数据中心网络的入口和出口。
在应用程序级别,重点有两个方面:如何保护应用程序免受攻击以及如何保护关键业务数据。在信息安全层,关键治理检查应由信息安全团队进行。
五层视图涵盖了与数据中心系统安全相关的所有方面,并将它们整合为一个综合指南,使从业者更容易实施有效的安全。
上一篇:有效网络安全审计的要点