专栏首页FreeBuf驻场工程师眼中的政务云安全

驻场工程师眼中的政务云安全

驻场工程师属于拿着乙方的薪水,操着甲方的心,生在甲方的阵营,活在乙方的世界。在驻场工程师眼中,政务云的安全,包括甲方的运维,也包括乙方的服务。

维护政务云平台安全运行,大部分工作是围绕云平台租客业务系统安全来展开的,因为云平台自身安全,主要就是爆发漏洞的时候,打上响应的补丁就行了,例如,最近的CPU漏洞(Meltown和Spectre)爆发,各云平台都在积极解决。这里从一个驻场工程师的角度阐述下云平台租客安全的工作内容。

政务云平台的运作,参与的单位一般有:

监管部门,一般为当地政府部门、网监、网信办等。 云计算服务商,一般为当地运营商,负责整个平台的建设,运维。 虚拟化平台服务商,为云平台提供硬件服务器,云平台管控中心等。 安全服务商,为云平台提供安全设备和安全服务的厂商。 租户:最终的用户,租用政务云平台,搭建自己的网站、应用系统等。

保护好租客安全,需要从事前、事中、事后三个维度出发,事前工作,包括用户网站上线前检测,上线后防护,重大时期保障等。事中工作,即监测工作,监测平台网站的安全状态,定期查看云监测,云平台上硬件工具等的告警,分析安全日志。事后工作,在安全事件发生后,进行的应急响应,协助调查取证。

事前工作:

(1)配置模板机,Windows和Linux系统分别配置模板机,按照等保要求,做好基线配置,打上最新的补丁。用户申请虚拟机资源的时候,就可以将加固好的模板机配置给用户。

(2)政务云上线流程:租户根据网站规模,申请虚拟机资源,在虚拟机上搭建网站应用,完成后,在政务云内网进行上线前检测,渗透测试,漏洞扫描,基线检查,通过安全检测后,将网站发布到互联网。

(3)网站上线后,配置所有能用的安全设备进行防护、监测,网站云监测、云防护,硬件waf,流量分析,日志分析,虚拟化杀毒等。

(4)重大时期保障,在G20、十九大、互联网大会等重要时期,提交保障计划、应急预案给云计算服务商和监管部门,安排人员24小时值守,因为放在政务云的网站,大部分都是展示型的,如:门户网站等,所以,必要时候,可以采用极端手段,如:使用防篡改系统,将所有首页锁定,不允许修改等。值守时期,监控的重点也是网站篡改情况,一旦发现篡改,立即下线处理,然后准备应急溯源。

事中工作:

(1)定期对平台上的服务器进行漏洞扫描、渗透测试、病毒扫描、日志分析等。

(2)关注各个监控平台如:网站云监控、流量分析平台的告警等。

事后工作:

(1)应急响应,对于监控到、用户反馈的安全事件,安排应急溯源,输出应急报告,向监管单位汇报,并对后期工作进行调整。

(2)安全工作调整,针对安全新闻或在政务云发生的安全事件,对政务云安全工作进行调整,如:挖矿病毒事件大规模爆发,需要进行的安全工作:对所有租户服务器进行杀毒,统计最近时期所有服务器CPU、内存使用率情况,日志分析,排查挖矿病毒痕迹。

有次和一个跳槽到甲方的前任(同事)吃火锅,聊起了甲方安全和乙方安全,那位哥们说,在乙方,做完渗透测试后,提交了测试报告,就完事了。在甲方,负责渗透测试的安全部门,在测试完后,还得盯着业务部门修复,业务部门不愿意修复的,就要搬个小板凳坐在程序员边上,苦口婆心的劝他们修复,告诉他们不修复会有多大危害,会造成多大的损失,有的时候,还要在网上找修复方法,陪着程序员一起修复。

驻场工程师是乙方人员,对甲方的一些事情,不能越俎代庖,但是也要承担一部分甲方的责任,需要做到什么程度呢,这里举几个例子:

(1) 每次提交渗透测试报告后,作为驻场工程师,不可能盯着各个单位的网站负责人去修复,对于拖了很久还不进行修复的单位,驻场工程师可以做的是:对漏洞修复情况进行追踪,整理列表,哪些网站漏洞已经完成修复,哪些网站存在高危漏洞,但是还没有修复。定期将整理的列表发送给监管部门。 (2)租户网站在上线前检测的时候,一般安全漏洞都会被发现并修复,上线后有些用户对网站进行修改,添加模块等操作,会带来新的安全问题。用户在修改网站后,一般不会联系安全服务商进行再次渗透测试。这时候,驻场工程师能做的事情:举办安全意识培训,增加用户的安全常识和安全意识。修订政务云安全制度,由监管方审核签发,将该情况编写到制度中。 (3) 类似政务云这种环境,用户数量较多,容易出现用户V**、堡垒机初始密码不修改,运维人员调动后密码不作废等情况。作为驻场工程师,很难从管理制度方面去约束该情况。这时,驻场工程师可以将初始密码放入弱口令字典中,定期扫描,输出弱口令报告给监管部门。每季度将各单位账号列表发送给用户进行核实,将核实结果整理成列表,发送给监管部门。

维护好政务云的安全,驻场工程师能做的是:甲方运维加上乙方服务,还有一颗不能说破的责任心。

*本文作者:雨水,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-01-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Jira服务工作台路径遍历导致的敏感信息泄露漏洞分析

    本文中,作者通过对JIRA Servcie Desk应用下普通用户和管理员账户的权限测试,发现可以普通用户身份访问获取到管理员账户关键路径下的一些敏感信息,这些...

    FB客服
  • 前端加密后的一次安全测试

    在做一次安全测试项目中,发现使用BurpSuite抓到的包都是经过加密的,加密后的字符串类似base64编码方式,遂采用base64尝试解码,然而并没有解出来…...

    FB客服
  • 你了解暗网的真相吗?

    关于“暗网”这个词,在当下也逐渐被公众所熟知,而一提到“暗网”,相信大部分人最初的印象会想到毒品、数据、个人隐私信息、赌博、军火、黑客等标签。那么是否所有的网站...

    FB客服
  • 整合ThinkPHP功能系列之微信企业付款至用户零钱银行卡

    沈唁
  • 为什么摩拜和ofo很难合并?

    在共享单车最火爆的时候,我指出这是一个非常危险的模式,因为资本进入的态势和整个行业形成的组合——本来是出租业务,最后却变成流量入口。大家不惜代价地去做,相当于大...

    企鹅号小编
  • clearfix为什么用display:table,而不用display:block

    但是为嘛用 display:table哪? 我用display:block好像也是显示很正常,也能清除浮动。

    javascript.shop
  • Ubiq:A Scalable and Fault-tolerant Log Processing Infrastructure

    互联网应用通常会产生大量的时间日志需要进行分析和处理。本文介绍Ubiq的架构,它是一个分布式系统,用于处理不断增长的日志文件,具有可扩展性、高可用、低延迟的特性...

    林一
  • Word+Excel教你轻松批量获取Oncomine数据

    众说周知Oncomine数据库是肿瘤研究的一大利器。然而,在线的图常常不符合期刊格式的要求,而下载数据却贵的一批!这时候我们该怎么办呢?

    百味科研芝士
  • [WCF安全系列]绑定、安全模式与客户端凭证类型:WSHttpBinding与WSDualHttpBinding

    在上一篇文章中,我们详细地介绍了BasicHttpBinding具有怎样的安全模式的支持,已经在各种安全模式下分别可以采用怎样的客户端凭证。接下来我们来进一步分...

    蒋金楠
  • Hive源码系列(五)编译模块之整体介绍

    Driver:提供执行接口,负责接收查询请求并建立session,创建一系列环境参数等

    数据仓库践行者

扫码关注云+社区

领取腾讯云代金券