拿来即用的企业级安全运维体系搭建指南

本文我们将针对如何解决问题来进行详细说明，从问题入手，通过纠正或者培养良好的运维安全习惯，搭建完整的运维安全技术体系。

一、培养良好的运维安全习惯

想要解决运维安全的问题，首先就必须要培养良好的运维安全习惯。这包括了很多方面的做法，比如：

端口开放

• 默认监听内网或者本地;
• 如需监听全部外网，iptables、password和acl能加都加上。

iptables

• 在cmdb为机器或者服务设计好iptables规则，同时结合同步机制：
• 部署服务时使用cmdb生成的iptables同意更新;
• 测试时一旦清空iptables后使用自动或者手工方式刷回标准iptables。

权限管理

• 采用puppet、ansible或者saltstack等集群管理工具统一管理操作系统权限;
• 遇到临时需要高级权限时手工后添加定时回收，量大时采用自动化方式配置。

脚本安全

• 校验变量，特别是高危操作;
• 原则上不给脚本授权sudo密码或者授予666的权限位。

密钥管理

• 不要让ssh私钥离开你的办公电脑;
• 听IT的话，定期修改你的corp或者域密码;
• 配置与代码分离的一个理由是：账号密码不能写在代码里。

服务管理

• 能不用root启动最好不要用root;
• 不要把服务根目录放到你的home目录。

代码管理

• 跟工作相关的代码禁止上传github!!!
• 仔细学习git/svn等版本管理工具的使用姿势;
• 定义好你的.gitignore，特别是删除你的.DS_Store。

应用选型

• 安全性是应用选型的一个重要考虑点;
• 对漏洞修复和安全编码不怎么积极的开源软件，再好用都不要用。

关注应用安全配置文档

• 一般应用程序的官方说明文档会包含安全配置的章节，在部署时需要循序渐进，按照最佳实践配置安全部分，而不是嫌麻烦直接跳过。

二、企业级运维安全体系

安全体系是一套很大的概念。从流程规范，到技术架构，不是本文所能解释清楚。因此，下面所探讨的企业级运维安全体系，会把我接触到的或者已经落地的方案大体介绍一下，涉及到其中的具体落地，则待以后再撰文详细讨论。

首先，整套运维安全体系，其实属于企业安全体系的一部分，所以大体上思路不会相差太多。其次，运维安全，更关注的是“运维”，所以像业务风控、反欺诈、app反编译则不在考虑范围之内。下面让我们一同看看一套完整的企业级运维安全体系长什么样。

1、流程规范

运维规范如同人间法律，“人生而自由，却无往不在枷锁之中”。这套规范，不仅是约束、指引运维人员，也是约束、指引开发测试人员，以及围绕生产活动的所有参与者。

培训

此处的培训不是安全部门做的员工安全意识培训所能替代的，也不是针对开发测试人员举办的研发安全培训，而是只面向运维人员的意识与技术培训。就比如本文前面的安全陋习和安全习惯，就可作为意识培训的蓝本。而后面所讲的技术体系，则可作为技术培训的基础。这类培训可以放在校招培训课程里，也可以放在部门沙龙讲座里讲。

审批+审核+评估

首先，审核或者审批，不是为了阻碍业务发展，更不是为了没事找事，而是希望通过流程去减少或者避免人的因素导致忽略安全。所以权限申请要上级审批、功能开放要安全人员或者同组同事审核、功能上线要安全人员评估测试。

当然，实现的方式可以灵活多样，比如默认通过，可以根据产品或者业务需要开启审批、审核机制，然后把评估机制放在业务上线流程中，只有通过评估才能上线。在安全部门比较强势或者相对重视安全的企业，相信以上机制都落实的比较到位。

安全报表

安全可视化、数据化非常重要，是体现安全价值的形式之一，因此通过与企业SRC或者安全部的对接，可以获取运维相关的漏洞、安全事件统计数据，然后根据内部需求进行二次处理、通过定期报表的形式发给运维人员或者部门领导甚至技术负责人查看，让他们了解运维安全态势。这种做法通常能让他们看到安全不足，从而让大家从数据得到警示，或者获得上级关注，使得获得更多的资源或者实现自上而下推动安全规范落地走向可能。

流程规范的落地包括但不限于以上几点，但我觉得这几点是最重要的。

2、技术体系

1）访问控制

安全域划分下的网络隔离

• 网络层：192.168分为办公区、办公服务区与开发机网，部分隔离;10.x分为IDC物理内网、IDC虚拟内网与公有云虚拟内网，通过IGP互通，可申请端口映射外网;公网IP仅用于业务外网，开发测试环境禁止使用公网环境!
• 系统层：装机镜像默认开启防火墙，仅开放ssh、rdp管理端口。ssh一律采用公钥登陆，禁止启用密码认证;按角色授权系统权限。
• 应用层：数据库、缓存类应用部署在内网IP，管理接口禁止对外开放，按最小权限原则授权。

统一出入口级访问控制

建设IDC级别统一入口，结合NAT网关实现出入向访问控制

目前BATJ都有自己的企业级GW作为统一应用层入口，同时使用NAT网关走出向流量。GW的实现开源方式不少，一旦作为企业级GW仍需自研。而NAT网关，则可采购具备API功能的分布式硬件防火墙或者自研NAT网关，解决IDC内网出向流量RS直接回外网时无外网IP的问题，或者服务器直接对外发起请求的情况，然后再采用统一系统管理。目前业界多有分享，相关思路不难找到。

敏感端口访问控制

一旦有了统一的出入口，整个生产网就像办公网一样，可以对外屏蔽敏感端口访问，对内限制出向流量，在风险缓解和攻击阻断上行之有效。

应用层访问控制

通过WAF防刷、限流是一种通用方案，如果没有WAF的可以应用的acl自行进行控制，比如nginx的limit_rate或者haproxy的acl。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!