驻场工程师眼中的政务云安全

驻场工程师属于拿着乙方的薪水，操着甲方的心，生在甲方的阵营，活在乙方的世界。在驻场工程师眼中，政务云的安全，包括甲方的运维，也包括乙方的服务。

维护政务云平台安全运行，大部分工作是围绕云平台租客业务系统安全来展开的，因为云平台自身安全，主要就是爆发漏洞的时候，打上响应的补丁就行了，例如，最近的CPU漏洞（Meltown和Spectre）爆发，各云平台都在积极解决。这里从一个驻场工程师的角度阐述下云平台租客安全的工作内容。

政务云平台的运作，参与的单位一般有：

监管部门，一般为当地政府部门、网监、网信办等。 云计算服务商，一般为当地运营商，负责整个平台的建设，运维。 虚拟化平台服务商，为云平台提供硬件服务器，云平台管控中心等。 安全服务商，为云平台提供安全设备和安全服务的厂商。 租户：最终的用户，租用政务云平台，搭建自己的网站、应用系统等。

保护好租客安全，需要从事前、事中、事后三个维度出发，事前工作，包括用户网站上线前检测，上线后防护，重大时期保障等。事中工作，即监测工作，监测平台网站的安全状态，定期查看云监测，云平台上硬件工具等的告警，分析安全日志。事后工作，在安全事件发生后，进行的应急响应，协助调查取证。

事前工作：

（1）配置模板机，Windows和Linux系统分别配置模板机，按照等保要求，做好基线配置，打上最新的补丁。用户申请虚拟机资源的时候，就可以将加固好的模板机配置给用户。

（2）政务云上线流程：租户根据网站规模，申请虚拟机资源，在虚拟机上搭建网站应用，完成后，在政务云内网进行上线前检测，渗透测试，漏洞扫描，基线检查，通过安全检测后，将网站发布到互联网。

（3）网站上线后，配置所有能用的安全设备进行防护、监测，网站云监测、云防护，硬件waf，流量分析，日志分析，虚拟化杀毒等。

（4）重大时期保障，在G20、十九大、互联网大会等重要时期，提交保障计划、应急预案给云计算服务商和监管部门，安排人员24小时值守，因为放在政务云的网站，大部分都是展示型的，如：门户网站等，所以，必要时候，可以采用极端手段，如：使用防篡改系统，将所有首页锁定，不允许修改等。值守时期，监控的重点也是网站篡改情况，一旦发现篡改，立即下线处理，然后准备应急溯源。

事中工作：

（1）定期对平台上的服务器进行漏洞扫描、渗透测试、病毒扫描、日志分析等。

（2）关注各个监控平台如：网站云监控、流量分析平台的告警等。

事后工作：

（1）应急响应，对于监控到、用户反馈的安全事件，安排应急溯源，输出应急报告，向监管单位汇报，并对后期工作进行调整。

（2）安全工作调整，针对安全新闻或在政务云发生的安全事件，对政务云安全工作进行调整，如：挖矿病毒事件大规模爆发，需要进行的安全工作：对所有租户服务器进行杀毒，统计最近时期所有服务器CPU、内存使用率情况，日志分析，排查挖矿病毒痕迹。

有次和一个跳槽到甲方的前任（同事）吃火锅，聊起了甲方安全和乙方安全，那位哥们说，在乙方，做完渗透测试后，提交了测试报告，就完事了。在甲方，负责渗透测试的安全部门，在测试完后，还得盯着业务部门修复，业务部门不愿意修复的，就要搬个小板凳坐在程序员边上，苦口婆心的劝他们修复，告诉他们不修复会有多大危害，会造成多大的损失，有的时候，还要在网上找修复方法，陪着程序员一起修复。

驻场工程师是乙方人员，对甲方的一些事情，不能越俎代庖，但是也要承担一部分甲方的责任，需要做到什么程度呢，这里举几个例子：

（1） 每次提交渗透测试报告后，作为驻场工程师，不可能盯着各个单位的网站负责人去修复，对于拖了很久还不进行修复的单位，驻场工程师可以做的是：对漏洞修复情况进行追踪，整理列表，哪些网站漏洞已经完成修复，哪些网站存在高危漏洞，但是还没有修复。定期将整理的列表发送给监管部门。 （2）租户网站在上线前检测的时候，一般安全漏洞都会被发现并修复，上线后有些用户对网站进行修改，添加模块等操作，会带来新的安全问题。用户在修改网站后，一般不会联系安全服务商进行再次渗透测试。这时候，驻场工程师能做的事情：举办安全意识培训，增加用户的安全常识和安全意识。修订政务云安全制度，由监管方审核签发，将该情况编写到制度中。 （3） 类似政务云这种环境，用户数量较多，容易出现用户V**、堡垒机初始密码不修改，运维人员调动后密码不作废等情况。作为驻场工程师，很难从管理制度方面去约束该情况。这时，驻场工程师可以将初始密码放入弱口令字典中，定期扫描，输出弱口令报告给监管部门。每季度将各单位账号列表发送给用户进行核实，将核实结果整理成列表，发送给监管部门。

维护好政务云的安全，驻场工程师能做的是：甲方运维加上乙方服务，还有一颗不能说破的责任心。

*本文作者：雨水，转载请注明来自FreeBuf.COM