系统管理
云服务的系统管理
与内部部署资产的系统管理相比,云服务的系统管理带来了独特的挑战。值得注意的是,云服务的系统管理责任通常在服务提供商和组织之间共享。由于服务提供商实施的技术堆栈和系统管理流程通常对组织来说是不透明的,因此组织应考虑服务提供商的控制平面在不同的安全域中运行。因此,以下安全控制可能需要调整。
系统管理过程和过程
系统管理的一个关键组件是确保使用系统管理过程支持的已批准的系统管理进程执行特权操作。这将确保以可重复和负责的方式采取特权行动。
开发和实施系统管理流程和支持系统管理过程。
独立的特权操作环境
对整个网络安全的最大威胁之一是用于管理活动的操作环境的损害。除了特权用户的非特权操作环境之外,为特权用户提供单独的特权操作环境,可以更好地保证特权活动和凭据不会受到损害。
使用不同的物理机被认为是分离特权和非特权操作环境的最安全解决方案;但是,基于风险的方法可能会确定基于虚拟化的解决方案是否足够。在这种情况下,虚拟化的非特权操作环境应从物理或虚拟化特权操作环境中运行。
特权用户使用单独的特权和非特权操作环境。
特权操作环境不会在未启动的操作环境中进行虚拟化。
非特权账户无法登录到已登录的操作环境。
特权账户(不包括本地管理员账户)无法登录到未启动的操作环境。
用于特权任务的专用管理员工作站无法与与管理活动无关的资产进行通信。
所有管理基础结构(包括但不限于管理员工作站和跳转服务器)都已强化。
专用管理区域和通信限制
通过将管理员工作站与更广泛的网络隔离,可以提高管理安全性。这可以通过多种方式实现,例如通过使用虚拟局域网、防火墙、网络访问控制以及 Internet 协议安全服务器和域隔离。建议无论特权用户是否具有物理上独立的管理员工作站,都应应用分段和隔离。
管理员工作站被放置在与用户工作站分开的网络区域中。
管理流量限制
将管理流量的流限制为仅明确需要相互通信的网络区域可以减少网络危害的后果,并使其更容易检测是否确实发生。此外,尽管用户工作站需要与关键资产(如 Web 服务器或域控制器)进行通信才能正常运行,但它们不太可能需要向这些资产发送或接收管理流量。
下图概述了如何在包含不同网络区域的网络之间实现管理流量筛选。唯一允许的管理流量流是"管理员工作站区域"和"跳转服务器区域"以及"跳转服务器区"和"关键资产区"之间的流量流。所有其他流量都将被阻止,因为管理流量没有理由在其他网络区域之间流动。
仅允许管理流量来自用于管理系统和应用程序的网络区域。
跳转服务器
跳转服务器(也称为跳转主机或跳转盒)用于管理单独安全域中的资源。使用跳转服务器作为管理代理的一种形式可能是简化和保护特权活动的有效方法。实现跳转服务器可以产生以下好处:
1.执行多因素身份验证的高效和有效的焦点
2.存储和修补管理工具的单一位置
3.简化了管理流量过滤的实施
4.记录、监控和警报的焦点。
在典型方案中,如果特权用户想要执行管理活动,他们将使用远程桌面协议或安全Shell直接连接到目标服务器。但是,在跳转服务器设置(如下所示)中,特权用户将首先连接到跳转服务器并进行身份验证,然后使用远程桌面协议、安全Shell或远程管理工具访问目标服务器。
在实施跳转服务器时,建议组织实施多因素身份验证,强制实施严格的设备通信限制并加强管理基础结构,否则跳转服务器将产生很少的安全优势。
管理活动通过跳转服务器进行。
跳转服务器无法与资产通信以及发送和接收与管理活动无关的流量。
系统修补
修补方法
供应商以多种形式提供安全漏洞补丁,例如:
1.可应用于预先存在的应用程序版本的修补程序
2.合并到需要替换预先存在的版本的新应用程序或驱动程序中的修补程序
3.需要覆盖 ICT 设备上固件的修补程序。
当修补程序不可用时
当无法为安全漏洞提供修补程序时,可以采取多种方法来降低安全风险。按优先级顺序,这包括解决安全漏洞、防止利用安全漏洞、遏制安全漏洞的利用或检测安全漏洞的利用。
安全漏洞可能通过以下方式解决:
1.禁用与安全漏洞关联的功能
2.聘请软件开发人员来解决安全漏洞
3.更换为不同的软件或ICT设备,供应商响应速度更快。
可以通过以下方式防止利用安全漏洞:
4.应用外部输入清理
5.对输出应用过滤或验证
6.应用其他访问控制来阻止对安全漏洞的访问
7.配置防火墙规则以限制对安全漏洞的访问。
利用安全漏洞可能通过以下方式进行控制:
8.应用防火墙规则,限制在发生攻击时可能出现的向外流量
9.应用强制访问控制,防止执行利用代码
10.设置文件系统权限,防止将利用漏洞代码写入磁盘。
安全漏洞的利用可能通过以下方式检测到:
11.部署基于主机的入侵防御系统
12.监视日志记录警报
13.使用其他机制来检测利用已知安全漏洞的攻击。
补丁管理流程和程序
应用补丁或更新对于确保工作站、服务器、移动设备、网络设备和所有其他 ICT 设备中的应用程序、驱动程序、操作系统和固件的安全性至关重要。为了帮助实现这一点,应监视适当的信息源,以获取有关新修补程序或更新的信息。
开发和实施了Patch管理流程和支持补丁管理程序。
对工作站、服务器、移动设备、网络设备和所有其他ICT设备进行维护和定期审核。
Software寄存器包含应用程序、驱动程序、操作系统和固件的版本和修补程序历史记录。
何时修补安全漏洞
组织可以使用多个信息源(如新闻媒体、安全研究人员和供应商)来评估安全漏洞在其环境中的适用性和影响(例如,如果公共漏洞利用代码可用,或者安全漏洞是否已被攻击者利用)。
一旦供应商发布了补丁或更新,就应该在与攻击者在组织环境环境中进行攻击的可能性相称的时间范围内应用它。这样做可以确保资源以有效和高效的方式使用,方法是首先将精力集中在最重要的安全漏洞上。
如果发布了针对高可靠性ICT设备的补丁或更新,ACSC将对补丁或更新进行评估,并可能修订ICT设备的使用指南。如果高可靠性ICT设备的补丁或更新被批准部署,ACSC将通知组织部署的时间框架。
如果没有针对安全漏洞的修补程序或更新立即可用,则供应商缓解措施可能会提供唯一有效的保护,直到修补程序或更新可用。这些供应商缓解措施可能与安全漏洞公告一起发布,也可能在发布此后不久发布。供应商的缓解措施可能包括禁用操作系统、应用程序或设备中易受攻击的功能,或者使用防火墙或其他访问控制限制或阻止对易受攻击服务的访问。
请注意,对于仅实施基本八个成熟度模型中的成熟度级别 2 的组织,安全控制 1692 和 1696 不适用。
面向 Internet 的服务中的安全漏洞的修补程序、更新或供应商缓解措施将在发布后两周内应用,如果存在漏洞,则在 48 小时内应用。
针对办公生产力套件、Web 浏览器及其扩展程序、电子邮件客户端、PDF 软件和安全产品中的安全漏洞的补丁、更新或供应商缓解措施将在发布后的两周内应用。
如果存在漏洞,则会在 48 小时内应用针对办公生产力套件、Web 浏览器及其扩展程序、电子邮件客户端、PDF 软件和安全产品中的安全漏洞的修补程序、更新或供应商缓解措施。
针对其他应用程序中的安全漏洞的修补程序、更新或供应商缓解措施将在一个月内应用。
针对面向 Internet 的服务操作系统中的安全漏洞的补丁、更新或供应商缓解措施将在发布后两周内应用,如果存在漏洞利用,则在 48 小时内应用。
工作站、服务器和网络设备操作系统中安全漏洞的补丁、更新或供应商缓解措施将在发布后两周内实施。
如果存在漏洞,则会在 48 小时内针对工作站、服务器和网络设备操作系统中的安全漏洞进行修补、更新或供应商缓解。
驱动程序和固件中的安全漏洞的补丁、更新或供应商缓解措施将在发布后两周内应用,如果存在漏洞利用,则在 48 小时内应用。
高保证ICT设备只有在ACSC使用ACSC规定的方法和时间表批准后才进行修补或更新。
如何修补安全漏洞
为了确保在组织的工作站和服务器队列中一致地应用补丁,组织必须使用集中和托管的方法。这将有助于确保应用于工作站和服务器的修补程序的完整性和真实性。
集中式托管方法用于修补或更新应用程序和驱动程序。
使用一种修补或更新应用程序和驱动程序的方法,该方法可确保修补程序或更新的完整性和真实性,以及用于应用它们的过程。
自动机制用于确认和记录已部署的应用程序和驱动程序修补程序或更新是否已安装、已成功应用并保持原位。
集中式托管方法用于修补或更新操作系统和固件。
使用一种用于修补或更新操作系统和固件的方法,可确保修补程序或更新的完整性和真实性,以及用于应用它们的过程。
自动机制用于确认和记录已部署的操作系统和固件修补程序或更新是否已安装、已成功应用并保持原位。
扫描缺少的补丁
为了确保补丁已应用于组织的工作站和服务器队列,组织必须定期扫描缺少的补丁。理想情况下,漏洞扫描应以需要应用修补程序的频率的一半进行。例如,如果每两周应用一次修补程序,则应每周进行一次漏洞扫描。
至少每天使用漏洞扫描程序来识别面向 Internet 的服务中缺少的安全漏洞补丁或更新。
至少每周使用一次漏洞扫描程序来识别办公室生产力套件、Web 浏览器及其扩展程序、电子邮件客户端、PDF 软件和安全产品中缺少的安全漏洞补丁或更新。
漏洞扫描程序至少每两周使用一次,以识别其他应用程序中安全漏洞的缺失补丁或更新。
至少每天使用漏洞扫描程序来识别在操作面向 Internet 的服务系统中缺少的安全漏洞补丁。
至少每周使用一次漏洞扫描程序来识别工作状态、服务器和网络设备操作系统中缺少的安全漏洞补丁。
至少每周使用一次漏洞扫描程序来识别驱动程序和固件中安全漏洞的缺失补丁。
停止支持
当应用程序、操作系统和 ICT 设备达到停止支持日期时,组织将发现越来越难以防范安全漏洞,因为供应商将不提供补丁或其他形式的支持。虽然供应商通常提前许多年通知停止支持操作系统的日期,但在供应商发布较新版本后,其他应用程序和ICT设备可能会立即停止获得支持。
请注意,对于仅实施基本八个成熟度模型中 的第二个成熟度的组织,安全控制 0304 不适用。
面向 Internet 的服务、办公生产力套件、Web 浏览器及其扩展、电子邮件客户端、PDF 软件、Adobe Flash Player 以及不再受供应商支持的安全产品将被删除。
供应商不再支持的应用程序 将被删除。
供应商不再支持的操作系统将被替换。
变更管理
确定变革的必要性
可以通过各种方式确定变革的必要性,包括:
1.识别安全漏洞或网络威胁
2.用户发现问题或需要系统增强
3.软件或ICT设备的升级或补丁
4.供应商通知软件或 ICT 设备的使用寿命结束
5.实施新的软件或ICT设备
6.组织或业务流程变更
7.其他持续改进活动。
变更管理流程和程序
变更管理流程的使用可确保以负责任的方式对系统进行更改,并进行适当的咨询和批准。此外,变更管理流程为考虑对系统的任何变更的安全影响提供了机会。
在实施系统变更时,变更管理程序必须清楚地阐明变更管理流程的每个部分要采取的步骤。
制定和实施尚格管理流程以及支持变更管理程序,涵盖:
1.变更请求的识别和文件
2.进行更改所需的批准
3.评估潜在的安全影响
4.任何计划中断或中断的通知
5.实施和测试已批准的更改
6.维护系统和安全文档。
数据备份和恢复
数字保存政策
作为数字连续性规划的一部分,制定和实施数字保存策略有助于确保维护重要数据的长期完整性和可用性。特别是考虑到数据降级和介质,硬件和软件过时的可能性。
制定并实施了数字保存政策。
数据备份和还原过程和程序
拥有数据备份和还原过程和过程是业务连续性和灾难恢复规划的重要组成部分。这些活动也将构成总体数字保存政策的一个组成部分。
开发和实施了 Data 备份过程以及支持的数据备份过程。
开发并实施了 Data 还原过程和支持性数据还原过程。
执行和保留备份
在执行备份时,应定期捕获软件、网络设备和其他ICT设备的所有重要数据、软件和配置设置。这将确保如果系统成为勒索软件攻击的受害者,重要数据不会丢失,并且业务运营将减少停机时间。
此外,为了防止备份保留的时间不足以恢复数据,强烈建议组织将备份存储足够长的时间以满足业务连续性要求。
重要数据、软件和配置设置的备份是根据业务连续性要求以协调和弹性的方式执行和保留的。
备份访问和修改
为了降低由于意外或恶意修改或删除备份而导致数据不可用的可能性,组织应通过适当的访问控制确保备份得到充分保护,防止未经授权的修改或删除。
请注意,对于仅实施基本八个成熟度模型中的成熟度级别 2 的组织,安全控制 1706 和1708 不适用。
非特权账户和特权账户(不包括备份管理员)无法访问 其他账户的备份。
非特权账户和特权账户(不包括备份管理员)无法访问其自己账户的备份。
禁止非特权账户和特权账户(不包括备份管理员)修改或删除备份。
备份管理员(不包括备份中断玻璃账户)无法修改或删除备份。
测试备份的还原
为了确保在需要时可以恢复备份,并且可以识别和管理任何依赖关系,作为灾难恢复工作的一部分,必须以协调的方式定期测试系统、软件和重要数据的恢复。
作为灾难恢复工作的一部分,以协调的方式测试系统、软件和备份中的重要数据。
| 注:本文档翻译参考来源为澳大利亚ACSC,部分内容在本文中做了技术性调整,具体实施请参考我国有关标准,本文仅为大家提供一个信息安全的思路拓展。 |
原文始发于微信公众号(祺印说信安):信息安全手册之系统管理指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论