互联网企业安全高级指南读书笔记之基础安全措施

最新推荐文章于 2022-04-21 09:51:12 发布
最新推荐文章于 2022-04-21 09:51:12 发布
阅读量766 收藏 2
点赞数
分类专栏: 读书笔记 互联网企业安全高级指南读书笔记 文章标签: 互联网企业安全高级指南 读书笔记 基础安全措施
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tan6600/article/details/79784450
版权

互联网服务安全域抽象示例

image_1c64c3b8btqt1q824h01ieq18om9.png-197kB

虚线部分代表安全域的边界,把不同的业务(垂直纵向)以及分层的服务(水平横向)切开,只在南北向的 API 调用上保留最小权限的访问控制,在东西向如无系统调用关系则彼此隔离

生成网络和办公网络

  • 生产网络的 SSH 22 端口在前端防火墙或交换机上默认阻止访问
  • 远程访问(运维连接)通过 VPN 或专线连接到机房生产网络
  • 通过生产网络的内网而非外网登录各服务器或自动化运维平台
  • 办公网络中运维环境、发布源和其他 OA 环境 VLAN 隔离
  • 虽然在同一个物理办公地点,但运维专线和办公网络的接入链路各自独立
  • 为保证可用性,运维专线最好有两条以上巨来自不同的 ISP,防止单链路故障时无法运维
  • 跳板机有所有的运维操作审计

系统安全加固

Linux 加固

  • 禁用 LKM
  • 限制 /dev/mem
  • 内核参数调整
  • 禁用 NAT
  • Bash 日志
高级技巧

高阶的方法就是修改 shell 本身,不依赖于内置的 HISTFILE,而是对所有
执行过的命令无差别的记录

修改 shell 源代码是一种方式,不过相比之下,直接修改 libc 可能会更加高效。主要涉及的对象就是 exec 函数族: 

#include <unistd.h>
extern char **environ; 
int execl();
int execlp();
int execle();
int execv();
int execvp();
int execue();

修改以上库函数,支持额外的 syslog,这样能记录所有运行过的程序。实际上,另外 5 个函数都是调用的 execve()

另一种 Shell 审计的高级方式是将 Shell 的 log 统一收集后基于机器学习,以算法学习正常管理员的 Shell 命令习惯,而不是以静态规则定义黑白名单

应用配置加固

目录权限

可写目录不解析,解析目录不可写。在诸如 node.js 等新型语言发展的时候,这些规则适用面可能会越来越小

解析目录不可写:chmod 755 /web/root
可写目录不解析:

location ~* ^/data/cgisvr/log/.*\.(php|php5)$ {
deny all;
}

对于 PHP,在 Nginx 配置文件中添加上述配置

Web 进程以非 root 运行

Nginx 的 master 进程默认以 root 权限运行,而处理用户数据的 worker 进程默认以 Nginx 权限运行

过滤特定文件类型
location ~* \.(log|class|inc|bak) $ {
rewrite ^ http://www.example.com/ permanent;
}

远程访问

  • 使用 SSH V2
  • 禁止 root 远程登录

帐号密码

对付暴力破解最有效的方式是多因素认证、非密码认证

网络访问控制

image_1c64eo2nl6usaudbhetug1bk1m.png-257.7kB

  • 资产权重划分到位,对最高安全优先级的网络追求多维和细粒度的 NACL
  • 单点实现较强的入侵检测和降维防御能力

补丁管理

  • 自动化运维:如何大批量地 push 补丁
  • ITSM 成熟度:打补丁尽可能地不影响在线服务的可用性
  • 架构容灾能力:支持有损服务,灰度和滚动升级,好的架构应该支持比如让逻辑层的某些功能功能服务器下线,接入层把流量负载均衡到其他服务器,打完补丁后再切回来
  • 系统能力:提供热补丁,不需要重启
  • 快速单个漏洞扫描:补丁 push 升级成功的检测

日志审计

日志成千上万,一开始就想建 SOC 的往往都是没有经验的人。

可以通过 syslogd 导出日志,统一集中存储,是否使用 ELK、Splunk 要看公司的具体需求

服务器 4A

账户(Account)、认证(Authentication)、授权(authorization)、审计(Audit)

规模很大的服务器集群,必须使用类似 SSO 的统一权限管理,目前有两种方式:一种是基于 LDAP 的方案,另一种是基于堡垒机的方案

基于 LDAP

image_1c64ipjj0f8k1k66c2f15b12b61j.png-211kB

LDAP 的方案可以使用 LDAP 服务器作为登录的 SSO,统一托管所有的服务器账号,在服务器端对于 Linux 系统只要修改 PAM(Pluggable Authentication Modules),Windows 平台则推荐 pGina(pGina 是一个开源插件,作为原系统凭证提供者 GINA 的替代品,实现用户认证和访问管理),使登录认证重定向到 LDAP 服务器做统一认证

基于堡垒机

image_1c64is5j414p37i6jkf1ou565g20.png-384.5kB

在 Radius 上新建用户 Richard,为该用户生成 SSH 的公私钥对,使用自动化运维工具将公钥分发到该用户拥有对应权限的服务器上。用户的 SSH 连接由堡垒机托管,登录时到 Radius 服务器使用动态令牌认证身份,认证成功后授权访问其私钥,则对于有 SSH 公钥的服务器该用户都可以登录。网络访问控制上应设置服务器 SSHD 服务的访问源地址为堡垒机的 IP

PolluxAvenger
关注
专栏目录
互联网企业安全高级指南读书笔记之网络安全
不急不躁
04-17 2304
网络入侵检测 传统 NIDS 绿盟 IDS 体系架构 绿盟 IPS 体系架构 IDS/IPS 部署示意图 大型全流量 NIDS 由于 NIDS 采用的是基于攻击特征的签名库,只要加载的攻击特征一多,系统负载会马上飙升,远到不了系统的标称负载就会出现丢包和误报的上升。不能跟基础架构一起扩展的安全解决方案最终都会掣肘 针对 IPS 一个打折扣的版本就是利用 DDo...
互联网企业安全高级指南读书笔记之甲方安全建设方法论
不急不躁
04-02 2084
初期三件事 事前的安全基线 事中的监控能力 事后的应急响应 其实做攻防和研发安全产品完全是两码事,存在巨大的鸿沟,如果拿做攻防的团队直接去做安全工具开发,恐怕挫折会比较多,即便有些研究员擅长做底层的东西,但对于高并发生产环境的服务器工具而言,还是有很大的门槛。另一方面做攻防和做研发的思路也截然不同,此时其实是在交付产品而不是在树立安全机制,所以往往要分拆团队,另外招人 如何推动安全策...
互联网企业安全高级指南》笔记 —— By Kun_Sigma(2)
06-21
互联网企业安全高级指南》笔记 《互联网企业安全高级指南》笔记 《互联网企业安全高级指南》笔记 《互联网企业安全高级指南》笔记 --最好的
读书笔记:《互联网企业安全高级指南》知识梳理
Lee_Natuo的博客
03-21 1111
互联网企业安全高级指南读书笔记之入侵感知体系
不急不躁
04-08 1208
主机入侵检测 开源 HIDS OSSEC、Mozilla InvestiGator 和 OSquery OSSEC 是典型的 B/S 架构,通常一个 Server 集群最多配置 2000 台 agent 接入。在此基础上,OSSEC 也支持在开发插件、采集数据、解析/检测规则三个方面的功能扩展 Mozilla InvestiGator 具备了现代 HIDS 架构的雏形,但是整体上 MI...
互联网企业安全高级指南读书笔记(3)
zhalang8324的博客
05-07 315
第八章 入侵感知体系主机入侵检测1.开源:OSSECMIG:救火利器OSquery:有一定IDC规模,有一定安全开发能力,对入侵检测有基于大数据理解的公司2.自研:架构设计:            行业法规需求            基础安全需求            企业自身的特殊安全风险需求            运维体系\网络环境适应Agent功能模块:            基线安全   ...
互联网企业安全高级指南读书笔记之业务安全与风控
不急不躁
04-04 1634
帐号安全 注册 账号安全要从源头抓起,对抗垃圾注册的手段一般包括: 图片验证码 邮件验证码 短信验证码 语音验证码 电话语音验证码 逆向的协议如果经常变化或者复杂程度较高就会成为黑产的门槛,甲方安全团队应持有各种社工库,并随时更新,在用户注册时比对社工库内容,如个人注册信息相同,做出风险提示或者强制修改密码 登录 登录环节的问题包括:撞库、暴力破解、盗号登录、非常用设备登录...
DAMA数据管理知识体系指南-读书笔记9
baidu_38792549的博客
10-26 1097
第九章文件和内容管理 一、引言 文件和内容管理是指针对存储在关系型数据库之外的数据和信息的采集、存储、访问和使用过程的管理。它的重点在于保持文件和其他非结构化或半结构化信息的完整性,并使这些信息能够被访问。 1.1业务驱动因素 文件和内容管理的主要业务驱动因素包括法律遵行性要求、诉讼响应能力和电子取证请求能力以及业务连续性要求。 法律法规要求组织保留某些活动的档案 电子取证是查找可能作为法律诉讼证据的电子档案的过程 组织应对电子取证请求的能力取决于其主动管理电子...
【南卡樱桃|读书笔记《学习高手》】
weixin_44698581的博客
04-21 9610
∝学霸分享 6大课 通过英语、写作和SMART原则、OKR工作法、LEO解读五步法等文章。同样适用于国内教育环境。 ∝3 学霸分享,直通世界名校的超级学习法 ∞第18课 LEO手把手教你如何学好英语 ◆第1小课 单词 ◆第2小课 语法 ◆第3小课 听力 ◆第4小课 阅读 ◆第5小课 口语 LEO的学习仪式感 我在不同英语学习阶段使用的教材 ∞第19课 三要素写作法,把文章写到读者心里去 ◆第1小课 Ethos,可信 ◆第2小课 Pathos,情感 ◆第3小课 Logos,逻辑 ◆19-本课核心方法回顾 ∞第
《果壳中的C# C# 5.0 权威指南》 (09-26章) - 学习笔记
GATTACA2011
02-05 1491
《果壳中的C# C# 5.0 权威指南》 ========== ========== ========== [作者] (美) Joseph Albahari (美) Ben Albahari [译者] (中) 陈昇 管学理 曾少宁 杨庆川 [出版] 中国水利水电出版社 [版次] 2013年08月 第1版 [印次] 2013年08月 第1次 印刷 [定价] 118.00元 ========== =...
互联网企业安全建设高级指南资料汇编.zip
08-10
互联网企业安全建设思路 互联网企业安全高级指南 互联网企业安全建设落地实践 互联网企业落地等保2.0实践分享 工业互联网安全战略落地与推进建议 工业互联网安全实践与趋势分析 工业互联网时代的安全挑战与对策 从大型互联网企业零信任实践之路谈如何构建立体化的防御体系 等保2.0体系互联网合规实践白皮书 工业互联网体系架构 电信和互联网行业数据安全治理白皮书 电信和互联网大数据安全管控分类分级实施指南 传统型互联网公司在零信任建设上的思考 工业互联网安全实践 数据驱动的工业互联网自适应防护框架 互联网网关最佳实践安全策略 工业互联网安全战略落地与推进建议 工业互联网安全架构白皮书 工业互联网企业网络安全分类分级指南 传统金融业务与互联网金融并存模式下的数据安全设计 电子认证在互联网司法服务中的作用 工业互联网数据安全白皮书 互联网医院平台化运营探索与实践 混合云下的DevOps在vivo互联网的探索落地 工业互联网及其驱动的制造业数字化转型 面向能源互联网的数据安全防护策略与创新技术思考 大型互联网平台SDL实践:业务风险深度评估 “互联网+”时代的 数据安全 互联网个人信息安全保护指南 移动互联网应用(App)收集个人信息基本规范 移动互联网医疗安全风控白皮书 “互联网+行业”个人信息保护研究报告 如何构建企业自身的工业互联网安全可视化体系 筑牢新基建时代工业互联网安全防线 工业互联网主要解决三大问题 构建可视、可管、可控的互联网 互联网行业高弹性系统构建最佳实践 下一代互联网安全解决方案 筑牢下一代互联网安全防线-IPV6网络安全白皮书 社区电商互联网甲方安全体系 威胁情报在互联网行业的应用 新一代工业互联网发展模式与成功实践:数据驱动的新价值网络 智能安全从边缘开始 保护企业免受互联网威胁的全新模式
1安全与风险管理
zd454909951的博客
02-09 1574
安全和风险 1.1 安全基本原则 核心目标是为关键资产提供可用性、完整性和机密性 (1)可用性:确保授权用户能够对数据和资源进行及时和可靠的访问 独立磁盘冗余阵列RAID、群集、负载平衡、冗余数据的电源线、软件和数据备份、磁盘映像、异地备用设施、回滚功能、故障切换配置 (2)完整性:保证信息和系统的准确性和可靠性,并禁止对数据的非授权更改。 散列(数据完整性)、配置管理(系统完整性)、变更控制(进程完整性)、访问控制、软件数字签名、循环冗余校验码CRC (3)机密性:确保在数据处理
互联网企业高级安全指南学习心得(一)企业安全概念篇
安全DOG
02-26 451
企业安全总概念部分: 概念:企业安全是根据所处的产业地位、IT总投入能力、商业模式和业务需求为目标,而建立起来的安全解决方案以及保证方案实践的有效性而进行的一系列系统化、工程化的日常安全活动的集合。 包括内容: 1.网络安全基础、狭义但核心的部分,以计算机和网络为主体的网络安全,主要聚焦再纯技术层面。 2.平台和业务安全:跟所在行业和主营业务相关的安全管理。 3.广义的信息安全:以IT为核心,除...
互联网企业安全高级指南读书笔记1-5
weixin_30421809的博客
08-06 129
这本书一上市就买了,但一直没有系统的总结下其中的知识点。 最近抽时间仔细读并总结下。 非常认可书评里微步在线CEO薛锋的点评:   互联网安全从业者最大的挑战并非技术,而是如何建立正确的行业格局观,并且能够与业务团队、安全团队管理层、公司管理层简历良好的沟通机制,取得信任和支持。 甲方做安全不是简单的找漏洞修漏洞这么简单。 趁周末有时间,以思维脑图的形式总结了下,第一章第二章略过了,讲一...
互联网企业安全高级指南读书笔记(2)
zhalang8324的博客
04-10 321
第一版读书笔记的内容太多,方式不行,严重影响看书效率,第二版 重新写。第七章网络安全网络入侵检测传统NIDS出口处部署,可以在1day披露的时候做虚拟补丁用NIDS可以为字眼NIDS争取时间。开源SNORT全流量NIDSIDC规模决定NIDS架构。D还是P对于门槛而言,发现远低于保护。厂商而言提供一个可以解决问题的平台,更重要的是能自定义规则,支持一种脚本语言,让甲方能够专注与自身核心业务安全。(...
互联网企业安全高级指南读书笔记之漏洞扫描
不急不躁
04-13 941
漏洞扫描的种类 按漏洞类型分类 ACL 扫描 ACL 扫描用来按一定的周期监视公司服务器及网络的 ACL 的,其作用如下: 安全部分可以根据扫描报告整改暴露在公网中的高危服务 某些应用发现新漏洞时,可以快速从数据库中查询对应服务与版本,报到业务部门修复 ACL 扫描周期至少一天一次: 服务器数量较少,直接用 nmap 扫描,扫描结果直接存放到数据库中 服务器数量很多,用 ...
互联网企业安全高级指南读书笔记之办公网络安全
不急不躁
04-04 641
安全域划分 终端管理 补丁管理 微软自身解决方案中的 SCCM(WSUS/SMS 替代品,支持 Linux 和 OSX) 利用第三方终端管理软件中附带的补丁推送功能 组策略(GPO) 例如允许客户端运行软件的黑白名单,系统配置选项,USB 权限管理等 终端 HIPS 深究其技术意义不大,甲方唯一要做的就是选型,然后买 网络准入 NAC 802.1x ...
互联网企业安全高级指南读书笔记之大规模纵深防御体系设计与实现
不急不躁
04-10 1199
设计方案 数据流视角 服务器视角 IDC 视角 逻辑攻防视角 场景裁剪 应对规模 自研 HIDS、RASP 都是奢侈品,可以用 OSSEC、OSquery 等产品代替 网络分光可以用扫描器+ Web 日志分析代替 SQL 审计可以在 CGI 层解决 业务类型 如果业务流量中中大部分都是 HTTP 类型的,那么应该重点投入 WAF、R...
互联网企业安全高级指南读书笔记安全大环境与背景
不急不躁
03-31 635
技术很重要,但攻防只解决了一半问题,安全的工程化以及体系化的安全架构设计能力是业内普遍的软肋,多数人不擅此道 大多数乙方安全公司的顾问或者工程师其实都没有企业安全管理的真正经验,虽不能把这些直接等价于纸上谈兵,不过确实是乙方的软肋 产品线安全里,一切都会更进一步,不只是像互联网企业那样关注入侵检测、漏洞扫描等,而是从设计和威胁建模的角度去看整体和细节的安全 不想当将军的士兵不是好士兵,虽然有...
HTTP权威指南读书笔记:Web基础安全性与内容分发
HTTP权威指南是一本深入解析HTTP协议的书籍,涵盖了Web的基础、结构、安全、内容发布等多个方面。以下是对书中部分知识点的详细阐述: 1. HTTP概述: - HTTP(Hypertext Transfer Protocol)是互联网上应用最广泛...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值