云租户实施安全测试的典型方式
发布网友
发布时间:2022-04-28 15:43
共1个回答
热心网友
时间:2022-06-19 12:22
在《网络安全法》出台后,等级保护制度上升到法律层面。在此背景下孕育出来等保2.0标准体系也进行了大的升级,在原等级保护核心标准(基本要求、测评要求、设计要求)的基础上,进行重新修订,整个标准体系制定为一个矩阵,针对每一个特定的安全领域,做出相应的扩展要求,比如云计算领域,制定云计算扩展要求。
虽然云等保不是新鲜事物,然而用户还是一知半解,实际上,云等保是在原等保框架下新增了扩展要求。对比传统等保而言,云等保在定级、备案、建设整改、测评、监督检查等环节上的工作都必不可少。云等保总体分为两个部分,技术要求及管理要求。物理和环境安全可以复用云平台自身的安全检测结果,而其它技术要求则需要通过云上安全服务产品进行满足。
对于云服务商而言,在自身已知的领域上加大对云等保的研究,往往比较容易,但对于云租户而言,因为专业水平有限,且对相应法规条例的关注和解读并不及时,希望通过本文对等保条例的深入解读,帮助云租户们减少知识盲区,同时通过对照必备的安全防护措施进行查缺补漏,构建更加健全、立体的云上安全防护体系。
在基础网络环境已经满足等保的前提下,从云租户的角度出发,以下的安全防护措施是需要云租户进行提供的:
日志审计(每台服务器)
数据库审计(需要覆盖到所有的数据库)
主机入侵检测及恶意代码检测(每台服务器)
WEB安全防火墙
SSL证书(实现https数据加密传输)
云防火墙
堡垒机
防篡改
1、态势感知(含日志审计功能)
【安全区域边界-入侵防范】b)应在关键网络节点处检测、防止或*从内部发起的网络攻击行为;
测评项解读:此项要求有相关安全设备,如:抗APT攻击系统、网络回溯系统、威胁情报检测系统、态势感知或相关组件具有检测、防止或*内部发起的网络攻击行为的功能;
【安全计算环境-安全审计】c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
测评项解读:此项要求设备产生的日志需要定期做备份,实现审计记录的保护。
【安全管理中心-集中管控】d)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
测评项解读:此项要求系统涉及的网络设备、安全设备、服务器、中间件、应用系统、管理平台等相关日志统一收集和分析,并且审计记录留存时间满足180天。
态势感知可以收集各品牌的网络设备、安全设备、中间件、服务器、应用系统日志。通过日志格式范式化可以将收集到的日志进行研判分析,通过不同的安全事件规则识别出是否存在外部攻击、内网渗透、恶意文件等,同时可以通过平台及时进行处置。
所以将相关设备日志接入态势平台,可以符合以上三项要求。通过对收集的日志进行分析,满足防止或*从内部发起的网络攻击行为。日志实时推送至态势感知平台,满足集中收集日志及备份保存180天。
2、数据库审计
【安全计算环境-安全审计】a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;d)应对审计进程进行保护,防止未经授权的中断。
测评项解读:以上要求项测评对象为数据库、数据库软件开启审计功能,并且对应的审计记录需要实现保存180天;或者是通过第三方的数据库审计系统来实现数据库操作的审计。
方法1:安装部署安全狗数据审计系统。安全狗数据库审计系统可以对审计和事务日志进行审查,从而跟踪各种对数据库操作的行为,最终满足以上四项要求项。主要审计内容为对数据库的操作、对数据库的改变、执行该项目操作的人以及其他的属性。审计数据记录到安全狗数据库审计系统中具备较高的准确性和完整性,并且可以实现备份保存180天。
方法2:数据库软件开启审计功能。(开启审计功能有可能影响数据库的正常运行,开启之前建议先做测试),且开启后对应的审计记录需要通过脚本或是手动定期做备份,以实现日志留存180天。
3、云眼(主机入侵检测及恶意代码检测)
说明:对于服务器数量较多的情况,可以通过云眼的基线检查功能模块,对所有主机进行基线检测,并可以将检查结果导出报告,对有不符合的主机再做进一步的整改。
【安全计算环境-入侵防范】b)应关闭不需要的系统服务、默认共享和高危端口;
测评项解读:
此项有3个要求
1.关闭多余的服务如:lerter、Remote Registry Servicce Messsenger,、ask Scheler、telnet
2.默认共享:Windows操作系统在安装完成后,自动设置共享的目录为:C盘、D盘、E盘、ADMIN目录(C:\Windows)等,即为ADMIN$、C$、D$、E$等
3.高危端口(例如135,137,138,139,445,3389等)
针对要求1:通过运行--》services.msc,禁用或停止多余的服务。
针对要求2:通过运行--》cmd--》net share xxx /delete( 关闭xxx默认共享)
针对要求3:可以通过云眼-安全防护-防护设置-端口安全,开启严格模式,仅开放只规则中的端口,关闭规则外所有端口。
对以上3个要求进行修改即可符合该项要求。
