从WannaCry血案谈数据中心信息安全

接下来,病毒事件引起了公安部门的重视:

尔后,全球范多地沦陷:

与此同时,以安全著称的苹果手机和电脑,紧急推出系统修复补丁:

这次WannaCry病毒,受感染的系统是Windows。我们知道,在行业用户中,Windows通常承载办公或终端的业务。其重要性,通常低于其后端的数据中心服务器和存储所承载的业务系统。如果数据中的核心业务系统中了木马,其后果将更加不堪设想。那么,从整个数据中心看,我们如何保证信息安全呢?

数据中心信息安全的重要性

银行等行业用户的数据中心,由于有DMZ区,加上众多安全设备,如防火墙、堡垒机等,所以看起来数据中心安全无比、固若金汤。

那么,如果数据中心如果不注重信息安全,会不会发生如下的场景?

“最坚固的城堡,往往是从内部被攻破”

“The easiest way to capture a fortress is within the body“

其实,信息安全的隐患无处不在,类似的悲剧有:

时代华纳疑似被黑 30多万客户数据泄漏

所以说,不注重信息安全,不仅存在隐患,还有可能造成重大的经济损失甚至影响到国家的安全。那么,数据中心信息安全的建设,需要注意哪些方面呢?

数据中心信息安全需要考虑的几个方面

数据中心的信息安全建设,不只是某一两个方面,如网络安全或者操作系统安全,而时需要考虑很多方面,操作系统的安全、网络基础设施安全、虚拟化的安全、固件安全等。而目前针对基础架构层,最核心的还是Linux操作系统和虚拟化的安全。

笔者此前参与过Linux和虚拟化的安全的项目。在虚拟化安全方面,虚拟化厂商会有自己安全加固方案。

如vSphere的安全加固,可以参照VMware厂商的Hardening Guide,读者有兴趣可以联系厂商,获取文档vSphere_6_0_Hardening_Guide_GA,笔者不方便提供。

红帽KVM虚拟化的安全加固,可以参照如下文档:

(https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/pdf/Virtualization_Security_Guide/Red_Hat_Enterprise_Linux-6-Virtualization_Security_Guide-en-US.pdf)

接下来,我们主要看一下Linux操作系统的安全建设。

Linux系统安全方面的建设

对于行业客户,如金融、电信、政府等用户,数据中心信息安全是第一位的。而在数据中心内部,Linux承载大量的核心业务。因此首先我们看一下,Linux系统的安全如何保证。

参考Gartner IT基础架构和运维成熟度模型中的技术维度,红帽根据在Linux领域长期的经验,提出OS运维成熟度模型。OS运维成熟度越高的企业,其IT架构越敏捷、 Time To Market越短、业务竞争力越强;同时,这个Linux操作系统也是越安全的:

那么行业用户数据中心安全的正确姿势,或者说,提升OS运维成熟度等级,方法是什么?

第一步,使用业内最安全的Linux系统,并购买厂商订阅服务

2016年7月,银监会发布了银行业的“十三五规划”中,和开源软件有关的相关内容:

从国家政策层面,目前银监会力主国内银行合规使用开源软件,实现自主可控,从而来提升数据中心的信息安全。

从目前来看,红帽RHEL是业内市场份额最大的企业级Linux操作系统,承载着全球众多关键金融机构的核心业务系统,它的安全和稳定性,是经过时间验证过了的(如下数据来自互联网统计):

因此,对于行业用户的核心业务系统,针对Linux的系统安全,RHEL是第一正确选择。

谈到红帽企业级Linux系统RHEL,很多人会想起红帽的CentOS。CentOS也是红帽的,还免费,为什么非要用收订阅费的RHEL呢?理由有很多,但对于行业客户而言,安全这一个理由就足够了。(源自:http://community.redhat.com/centos-faq/)

红帽RHEL订阅对于客户安全方面的意义:

1、保证系统安全及实时更新

  • 通过Red Hat Network提供的安全更新信息,可以使你的系统得到安全、最新、稳定的保障。
  • errata及update----访问errata及update可以保证你的系统的安全、和稳定
  • upgrade及new version----通过upgrade及new version功能,可以使你的系统得到平滑升级、新功能的增加
  • 自动维护能力----管理多个系统,减少你在系统维护上的工作量,节省系统维护时间
  • 更关注你的核心业务----不用担心由于升级造成的系统问题,这个工作由RedHat来替你完成。
  • 方便的分发方式----根据自己的需要来定制、选择自己所需要的功能软件包。

2. 红帽RHEL提供军用级别的安全性

红帽企业 Linux 具备军用级别的安全技术 — 从网络防火墙控制到用于应用隔离的安全容器 —可有效防止外部入侵,切实保护您的业务数据安全。凭借产品安全响应团队提供的红帽企业 Linux 支持服务,您可以安心在物理、虚拟和云环境中部署应用。调研报告可参照(https://www.redhat.com/zh/files/resources/en-rhel-how-red-hat-delivers-secure-enterprise-platform-next-generation-datacenters-10900617.pdf)

3、红帽有一支系统安全特种部队

红帽有专门的安全团队来保证客户的RHEL安全,并针对可能的隐患主动联系订阅客户,进行告知并提供技术建议。

在红帽安全网站上(https://access.redhat.com/security/),红帽为订阅客户提供离线的程序(内含有离线的安全数据),搭配自动化工具在每台机器上执行,可以很快知道那台RHEL操作系统存在安全隐患。

此外,红帽RHEL有完善的安全加固文档,供客户参考:

第二步,对现有Linux操作系统进行安全加固

红帽目可以对客户RHEL操作系统进行安全加固,消除RHEL系统存在的安全隐患和漏洞。需要注意的是,红帽厂商不会对客户的CentOS提供安全加固的保障和服务。

基于信息安全形势比较严峻的问题,目前国家已经推行信息安全等级保护制度。下表是等级保护要求中,对主机安全的部分内容。

红帽可以根据客户的业务系统特点,为客户提供Linux操作系统安全加固服务。使客户的系统满足国家对于等保的要求。红帽在长期对行业客户的支持和服务中,积累了大量的经过检验的安全加固脚本和经验。

红帽已经给多内外多个知名公司实施过安全加固服务,如为全球某著名的化妆品公司提供的RHEL系统安全加固服务:

第三步,推进运维标准化

我们通过Linux系统安全加固,使现有Linux系统符合安全要求之后,我们通过运维标准化,设置操作系统的安全部署基线,然后强制要求数据中心部署的系统以此安全模板进行部署;同时,定期进行安全合规检查,发现不合规的操作系统或者虚拟机后,触发告警,手动/自动强制合规。在运维标准化方面,可以使用红帽咨询服务。

目前红帽的标准化运维咨询服务包括但不限于:

下图是红帽为某金融客户进行的,标准化咨询与实施服务内容:

总结

随着金融行业“信息化银行”、“智慧银行”、“互联网金融”的推进,IT的重要性在金融行业大幅提升。而IT程度越来越高,信息安全的重要性也随之增强。关于如何提升数据中心信息安全的,这是一个很大的课题。本文则主要从Linux操作系统方面进行了讨论,如何通过厂商的咨询服务,使数据中心的Linux操作系统更加稳定、安全地运行。

原文发布于微信公众号 - 大魏分享(david-share)

原文发表时间:2017-05-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

13个有用的渗透测试资源博客

渗透测试是寻找能够用来攻击应用程序、网络和系统的漏洞的过程,其目的是检测会被黑客攻击的安全脆弱点。渗透测试可以检测如下内容:系统对攻击的反应,存在哪些会被攻击的...

35510
来自专栏译文

保护您的企业免受黑客攻击的5个技巧

对攻击和信息泄漏的报导成为世界各地的头条新闻,许多公司从中“学到”了他们的第一堂课:一次广为人知的信息泄漏将对他们的品牌声誉造成严重损害。在所受到的教训中,最大...

850
来自专栏FreeBuf

IBM X-Force发现新型银行木马IcedID

近日,IBM X-Force研究团队在一项针对最近一系列攻击美国金融机构的案例中发现了一款新型银行木马,并将其命名为“IcedID”,该银行木马目前似乎还正处于...

2335
来自专栏企鹅号快讯

机房传统UPS和模块化UPS有什么区别?

前言: 了解模块化UPS的人都知道,如今模块化UPS成为很多企业的新宠,市场份额节节攀高,机房UPS电源产品层出不穷,模块化UPS具有良好的可用性和稳定性,就算...

2107
来自专栏安全领域

腾讯云网站管家WAF 一指禅

腾讯云网站管家优势陈述腾讯云网站管家:共享腾讯Web 安全防护能力,让受护用户Web 业务轻松部署腾讯业务安全级别防护能力

1.1K8
来自专栏云计算D1net

如何选择云主机

4884
来自专栏FreeBuf

2016年移动安全趋势及威胁预测

2015年已经过去,这一年间发生了很多令我们很震惊的事件,透过这些大事件和漏洞,我们可以预测一下2016年移动安全趋势和可能存在的安全威胁。 1. 恐怖威胁 ...

2245

网络分段如何网络系统帮助企业家应对勒索软件风险

几个月前,我们的孩子所在的南卡罗来纳州最大的学区之一的,网络系统受到了携带病毒的勒索软件的攻击,这个“ 勒索软件”是一种恶意软件,攻击者通过加密获取访问权限的数...

830
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(125)-MM-129消耗性材料采购

MM 129消费品采购 本业务情景处理采购过程中的采购订单创建活动。此外,它还介绍了采购订单审批、消费品收货、服务条目表审批以及按行项目收到发票等的附加处理步骤...

3114
来自专栏黑白安全

美国政府正采取措施整改备受困恼的 CVE 系统

据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。

1633

扫码关注云+社区

领取腾讯云代金券