等保的实施过去了一段时间,基础环境没有明显调整,很多人就会把环境加固这事放下了。但正确的做法是应该持续关注加固基准的变化,及时实施应用。
笔者:国际认证信息系统审计师、软考系统分析师
在我这之前介绍过的,已经是2023年5月的事了:
网络安全加固基准:CIS Benchmarks 2023年5月的更新
依然是先说下载地址:
https://www.cisecurity.org/cis-benchmarks
刚刚最新发布的 CIS Benchmarks是2024年3月的公告,所以是时候来看看这差不多一年里,CIS Benchmarks 有多少变化。
按CIS 2023年年度报告,CIS Benchmarks 全年共被下载了超过132万次,下载次数最多的前5是:独立于发行版的Linux基准、Microsoft Azure Foundations 基准、Windows 10 单行基准、Microsoft 365 Foundations 基准和Windows Server 2019 基准。
全年对CIS各项基准进行了120多次更新,为云服务增加了新基准,为微软Intune实现了Build Kit等。其中,首次释出的即1.0.0版本的基准包括:
AKS Optimized Azure Linux OS、AWS Compute、AWS Database Services、Azure Compute Services、Cisco FirePower、Cisco IOS XR 7.x、MariaDB、Microsoft Exchange Server 2019、Microsoft Intune for Apple iOS 16、Microsoft Intune for Microsoft Office、Microsoft Windows Server 2019 单行、Mozilla Firefox、Snowflake Foundations、YugaByteDB 2.x。
2024年开年到现在,更新了的包括有:
Amazon Linux 2、Amazon Web Services Foundations、CentOS Linux 7、Cisco NX-OS、Google Chrome (GPO)、Google Kubernetes Engine (GKE)、Microsoft Azure Foundations、Microsoft Intune for Windows 10、Microsoft Intune for Windows 11、Microsoft Windows 10 Enterprise、Microsoft Windows 11 Enterprise、Microsoft Windows Server 2019 STIG、Oracle Cloud Infrastructure Foundations、Oracle Database 19c、Oracle Linux 7、Oracle Solaris 11.4、Red Hat Enterprise Linux 7、Red Hat OpenShift Container Platform。
其中需要注意的包括:
1、Red Hat Enterprise Linux 7、Oracle Linux 7、CentOS Linux 7 和 Oracle Solaris 11.4 等四项均为 Final Update 。随着 RHEL 7的生命周期终结,对应的安全加固基准也不再更新。Solaris 也已经被放弃,很是可惜,不过自己也从未正式上过船。
2、每项基准的更新内容都相当多,比如估计是最多人关心的 CentOS Linux 7 基准,共处理了353项支持需求,增加了220项新建议,删除了146项建议,更新了120项建议。就冲着这个数量,就应该全面REVIEW一次已经进行了的加固设置。
3、微软相关产品的加固是重点,比如Azure 和 Intune 都获得了大量修改更新。而 Windows 的基准由于 ADMX 模版的更新、加入了与 Intune 的对照等大量变更影响,等于重写了一次,同样应该全面REVIEW 微软 Windows 的加固设置。
除了更新了Benchmarks之外,CIS 还同时更新了 Build Kits 工具。Build Kits 是可以自动化地把 CIS Benchmarks 的加固基准设置应用到实际环境的工具,大部分的加固设置都可以通过该工具实现,但该工具需要先申请 CIS 的会员后才能使用:
https://www.cisecurity.org/cis-securesuite/cis-securesuite-build-kit-content
Build Kits 的工作原理很简单。在 Windows 环境通过组策略对象整合加固设置,然后通过域控推送到终端或直接单机应用。在 Linux 或 Unix 环境通过 SHELL 脚本在目标环境上执行修改系统设置。
笔者认为还是必须提醒读者,CIS Benchmarks 的加固设置是一种最大化的理想安全实践,而不是环境应用的具体实践,并不是打开文档对着就一项项100%地设置上的。
对于第一次接触的网络安全管理员或者系统管理员,很可能会犯了全部设置都启用的错误,然后导致终端或者服务器脱网,只能跑现场恢复的结果。如果服务器买了BMC的远控功能就还好,终端就跑定了。
具体一点说,就是 CIS Benchmarks 的加固设置是需要使用人在阅读理解后再自己设计一套适合自己的子集后再进行设置的。
一方面设置之间有少许是存在相互矛盾的,选了A就不应该选B。典型如 Windows 环境加固基准中,对终端被远程访问的限制和对远程桌面连接设置加固就有矛盾,叠加单机或域控模式不同情况就必须考虑如何选择。
另一方面是设置的理想化程度是按操作系统能达到的最大安全级别去考虑的,这必然会造成和现实应用环境的冲突。典型如对于 Linux 环境,CIS Benchmarks 始终强调保持 SELinux 启用,而很多初级的 Linux 系统管理员对于 SELinux 开启后因各种受限而碰到的应用出错、运行失败束手无策,不懂得如何调整,迫于项目上线时间要求而只能禁用。为此笔者之前还专门写过一个系列:
所以笔者在自己的环境内,对于如何应用 CIS Benchmarks 是要专门写 SOP 给管理员的。SOP 的内容首先要求在应用 CIS Benchmarks 设置之前,需要经过设计、设置和测试验证的过程。其次就是对于可能导致负面结果的加固设置,列出清单以提醒管理员。
其实经历了实施等保之后,参与其中人都应该思考一个问题:别人有诸如 CIS 这样的机构和 CIS Benchmarks 这样的公共知识,而我们这边有没有这种公共知识?
目前来说,有一些但不多。比如TC260编写了关于 Windows 7 的加固指南:
网络安全标准实践指南—Windows 7 操作系统安全加固指引
https://www.tc260.org.cn/upload/2022-05-26/1653558347828098387.pdf
又如一些厂家自行开发的加固脚本:
银河麒麟服务器操作系统安全加固脚本
https://gitee.com/huanhi/kylin_server_secplus
但前者就只有 Windows 7 这一份,而后者都是零散且多数是长期不更新。
国内现在那么多自主可控的要求,催生了各种号称国产的基础软件,但对于安全加固,我认为大部分厂家并没有着重在这一点上花心思。只有阿里云一直是在 CIS 有自己的基准 Alibaba Cloud 和 Aliyun Linux。
不过,想想既然某操作系统对打算加入其生态的ISV都是各种限制(知乎上声讨得那个热烈啊),也就释然了。
本站微信订阅号:
本页网址二维码: