接下来,病毒事件引起了公安部门的重视:
尔后,全球范多地沦陷:
与此同时,以安全著称的苹果手机和电脑,紧急推出系统修复补丁:
这次WannaCry病毒,受感染的系统是Windows。我们知道,在行业用户中,Windows通常承载办公或终端的业务。其重要性,通常低于其后端的数据中心服务器和存储所承载的业务系统。如果数据中的核心业务系统中了木马,其后果将更加不堪设想。那么,从整个数据中心看,我们如何保证信息安全呢?
数据中心信息安全的重要性
银行等行业用户的数据中心,由于有DMZ区,加上众多安全设备,如防火墙、堡垒机等,所以看起来数据中心安全无比、固若金汤。
那么,如果数据中心如果不注重信息安全,会不会发生如下的场景?
其实,信息安全的隐患无处不在,类似的悲剧有:
时代华纳疑似被黑 30多万客户数据泄漏
所以说,不注重信息安全,不仅存在隐患,还有可能造成重大的经济损失甚至影响到国家的安全。那么,数据中心信息安全的建设,需要注意哪些方面呢?
数据中心信息安全需要考虑的几个方面
数据中心的信息安全建设,不只是某一两个方面,如网络安全或者操作系统安全,而时需要考虑很多方面,操作系统的安全、网络基础设施安全、虚拟化的安全、固件安全等。而目前针对基础架构层,最核心的还是Linux操作系统和虚拟化的安全。
笔者此前参与过Linux和虚拟化的安全的项目。在虚拟化安全方面,虚拟化厂商会有自己安全加固方案。
如vSphere的安全加固,可以参照VMware厂商的Hardening Guide,读者有兴趣可以联系厂商,获取文档vSphere_6_0_Hardening_Guide_GA,笔者不方便提供。
红帽KVM虚拟化的安全加固,可以参照如下文档:
(https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/pdf/Virtualization_Security_Guide/Red_Hat_Enterprise_Linux-6-Virtualization_Security_Guide-en-US.pdf)
接下来,我们主要看一下Linux操作系统的安全建设。
Linux系统安全方面的建设
对于行业客户,如金融、电信、政府等用户,数据中心信息安全是第一位的。而在数据中心内部,Linux承载大量的核心业务。因此首先我们看一下,Linux系统的安全如何保证。
参考Gartner IT基础架构和运维成熟度模型中的技术维度,红帽根据在Linux领域长期的经验,提出OS运维成熟度模型。OS运维成熟度越高的企业,其IT架构越敏捷、 Time To Market越短、业务竞争力越强;同时,这个Linux操作系统也是越安全的:
那么行业用户数据中心安全的正确姿势,或者说,提升OS运维成熟度等级,方法是什么?
第一步,使用业内最安全的Linux系统,并购买厂商订阅服务
2016年7月,银监会发布了银行业的“十三五规划”中,和开源软件有关的相关内容:
从国家政策层面,目前银监会力主国内银行合规使用开源软件,实现自主可控,从而来提升数据中心的信息安全。
从目前来看,红帽RHEL是业内市场份额最大的企业级Linux操作系统,承载着全球众多关键金融机构的核心业务系统,它的安全和稳定性,是经过时间验证过了的(如下数据来自互联网统计):
因此,对于行业用户的核心业务系统,针对Linux的系统安全,RHEL是第一正确选择。
谈到红帽企业级Linux系统RHEL,很多人会想起红帽的CentOS。CentOS也是红帽的,还免费,为什么非要用收订阅费的RHEL呢?理由有很多,但对于行业客户而言,安全这一个理由就足够了。(源自:http://community.redhat.com/centos-faq/)
红帽RHEL订阅对于客户安全方面的意义:
1、保证系统安全及实时更新
2. 红帽RHEL提供军用级别的安全性
红帽企业 Linux 具备军用级别的安全技术 — 从网络防火墙控制到用于应用隔离的安全容器 —可有效防止外部入侵,切实保护您的业务数据安全。凭借产品安全响应团队提供的红帽企业 Linux 支持服务,您可以安心在物理、虚拟和云环境中部署应用。调研报告可参照(https://www.redhat.com/zh/files/resources/en-rhel-how-red-hat-delivers-secure-enterprise-platform-next-generation-datacenters-10900617.pdf)
3、红帽有一支系统安全特种部队
红帽有专门的安全团队来保证客户的RHEL安全,并针对可能的隐患主动联系订阅客户,进行告知并提供技术建议。
在红帽安全网站上(https://access.redhat.com/security/),红帽为订阅客户提供离线的程序(内含有离线的安全数据),搭配自动化工具在每台机器上执行,可以很快知道那台RHEL操作系统存在安全隐患。
此外,红帽RHEL有完善的安全加固文档,供客户参考:
第二步,对现有Linux操作系统进行安全加固
红帽目可以对客户RHEL操作系统进行安全加固,消除RHEL系统存在的安全隐患和漏洞。需要注意的是,红帽厂商不会对客户的CentOS提供安全加固的保障和服务。
基于信息安全形势比较严峻的问题,目前国家已经推行信息安全等级保护制度。下表是等级保护要求中,对主机安全的部分内容。
红帽可以根据客户的业务系统特点,为客户提供Linux操作系统安全加固服务。使客户的系统满足国家对于等保的要求。红帽在长期对行业客户的支持和服务中,积累了大量的经过检验的安全加固脚本和经验。
红帽已经给多内外多个知名公司实施过安全加固服务,如为全球某著名的化妆品公司提供的RHEL系统安全加固服务:
第三步,推进运维标准化
我们通过Linux系统安全加固,使现有Linux系统符合安全要求之后,我们通过运维标准化,设置操作系统的安全部署基线,然后强制要求数据中心部署的系统以此安全模板进行部署;同时,定期进行安全合规检查,发现不合规的操作系统或者虚拟机后,触发告警,手动/自动强制合规。在运维标准化方面,可以使用红帽咨询服务。
目前红帽的标准化运维咨询服务包括但不限于:
下图是红帽为某金融客户进行的,标准化咨询与实施服务内容:
总结
随着金融行业“信息化银行”、“智慧银行”、“互联网金融”的推进,IT的重要性在金融行业大幅提升。而IT程度越来越高,信息安全的重要性也随之增强。关于如何提升数据中心信息安全的,这是一个很大的课题。本文则主要从Linux操作系统方面进行了讨论,如何通过厂商的咨询服务,使数据中心的Linux操作系统更加稳定、安全地运行。