0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

配置管理:为您的设备创建基线配置可减少安全漏洞

贾埃罗 来源:冰箱洗衣机 作者:冰箱洗衣机 2023-01-10 16:04 次阅读

遵循食谱(如烘烤 cookie)是确保设备和系统设置和配置一致性的一种方法,这反过来又减少了引入新的配置错误的可能性,这些错误可能导致攻击者利用不需要的漏洞。这些配方是基准配置,详细记录了操作系统、应用程序或设备应配置的确切设置。使用这些定义明确的配置来自动执行以快速有效的方式查找差异和配置漂移的流程。在此博客中,我们将了解配置基线如何成为确保正确设置应用程序和设备的重要工具。

配置基线一点都不新鲜。系统工程师和管理员长期以来一直依赖这些模板来确保每个系统的配置都相同。由系统制造商和其他主题专家组提供的规范性指南是确保您的配置在设计时考虑到安全性的重要起点。

配置基线定义了必须如何设置特定类型的设备,并且非常详细到每个输入和变量。例如,配置基线定义了如何配置对设备的远程访问以及要启用的协议。利用基线配置应该可以降低设备的总体运营成本,因为它们可以确保整个设备组的同质性,这反过来又可以通过自动化和其他省时的方法促进配置。预计如果一个设备在指定配置下运行良好,则其余设备应该以相同的方式运行。适当的配置基线也可以提高安全性,因为通过它们的开发,它们需要对每个设置进行详细审查,并且通常会根据用例将设备的默认行为更改为更安全的状态。作为设备操作员,您可以研究和查看来自一个来源的规范性指南,然后扩展此知识以为来自不同制造商的类似设备创建适当的基线。这种比较方法还突出了设备之间的功能差异,甚至可能会影响您根据安全功能选择哪些设备。配置基线应包括如何设置这些安全功能并确保设备和系统适当地加固以免受攻击。以远程访问为例,许多设备都支持远程访问,允许系统管理员和开发人员通过网络进行配置。设备支持多种协议(例如,telnet、安全外壳和 Web 浏览器访问)是很常见的,但并非所有这些协议都同样安全。

通过将您的基线与您的安全策略和标准相关联,确保您的基线支持您组织的安全要求和义务。您的安全策略是您的信息安全计划的基石,并在高级别定义了哪些行为是允许的,哪些行为是不允许的。一个好的安全策略是广泛的,涵盖与您的公司或组织相关的多个安全域。虽然政策范围更广、层次更高,但信息安全标准更深入到每个政策领域。例如,您可以在您的政策中包含一个或两个段落来描述适当的身份验证原则,但专门使用整个五到六页的标准来更详细地描述您的组织为这些身份验证支持的批准协议和允许的用例和系统服务。配置基线直接支持策略和标准,并包括有关如何设置设备以使用这些系统的实际设置。最后,您可以选择记录适当的程序来补充标准和基线,其中包括关于如何配置更复杂的系统和设备的更广泛的说明。

在我们之前的远程访问示例中,该策略可能描述了所有设备和系统对网络通信进行加密并要求对特权访问进行身份验证的要求。支持标准将安全外壳(SSH,基于 TCP 22)和超文本安全协议(HTTPS,基于 443)指定为经批准的远程管理协议,并将 WS-Federation、安全断言标记语言 (SAML 2.0) 和 OAuth 指定为经批准的身份验证标准。您组织中的每种类型的设备和系统都会有一个为其创建的唯一配置基线,用于定义使设备能够支持这些标准的特定于设备的配置设置。配置基线可以采用多种形式。最简单的是一个表格,其中列出了设备的每个配置元素及其首选值。说明性基线可能包括配置对话框的屏幕截图,以便于手动设置。为了减少设备之间配置差异的可能性,请务必明确定义每个复选框、单选按钮和字段的设置方式。对于较大的安装,寻找机会通过应用程序编程接口 (API) 或设备公开的命令来自动执行配置。大多数企业网络设备都是这样配置的。您可以创建一个包含所有重要配置命令和设置的文本文件或 XML 文档,并将此文件加载到设备中,以确保以正确的方式配置设备。请务必明确定义每个复选框、单选按钮和字段的设置方式。对于较大的安装,寻找机会通过应用程序编程接口 (API) 或设备公开的命令来自动执行配置。大多数企业网络设备都是这样配置的。您可以创建一个包含所有重要配置命令和设置的文本文件或 XML 文档,并将此文件加载到设备中,以确保以正确的方式配置设备。请务必明确定义每个复选框、单选按钮和字段的设置方式。对于较大的安装,寻找机会通过应用程序编程接口 (API) 或设备公开的命令来自动执行配置。大多数企业网络设备都是这样配置的。您可以创建一个包含所有重要配置命令和设置的文本文件或 XML 文档,并将此文件加载到设备中,以确保以正确的方式配置设备。

这些配置基线是可审计的。许多组织使用经过编辑的配置文件向审计员展示设备的安全配置。某些漏洞扫描程序(如 Qualys 或 Nessus)可以配置为扫描其漏洞签名之外的配置设置。作为更广泛的信息安全管理系统 (ISMS) 的一部分,重要的是不仅要证明您的设备配置正确,而且要证明这些配置符合您的安全策略和程序,而这些配置基线正是这样做的。

由于多个制造商提供的设备和系统种类繁多,您可能会发现为本地基础设施创建配置基线比基于云的服务更多样化。查看您用于配置最佳实践的操作系统和大型企业应用程序的这些制造商。主要的云服务提供商为他们的整个配置公开 API,因此编写脚本和程序以快速部署新系统变得更加容易,该系统完全按照您的需要配置,就像您的其他系统一样。Microsoft 已针对其当前操作系统发布了推荐的安全配置设置,可从其网站下载。此 zip 文件包含数千个推荐设置以保护这些系统。Internet 安全中心为各种操作系统和应用程序(包括 Microsoft Windows、LinuxiOS、Apache、Docker、Microsoft SQL Server、Oracle 等)提供推荐的安全配置的免费下载。这些资源是免费的,是识别可根据您的环境自定义的重要安全配置的良好起点。

结论

安全配置基线有助于确保以安全且可重复的方式设置您的设备和系统。特别是在可能由多人负责设置设备的大型组织中,这些文档不仅确保设备设置得当且安全,而且随后还提供了一个检查点来审计配置随时间的漂移。配置基线是全面有效的漏洞管理程序中安全更新的补充组件,也是系统管理员和开发人员等的重要工具。

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • XML
    XML
    +关注

    关注

    0

    文章

    186

    浏览量

    33021
  • 安全漏洞
    +关注

    关注

    0

    文章

    150

    浏览量

    16700
收藏 人收藏

    评论

    相关推荐

    物联网系统的安全漏洞分析

    随着物联网技术的快速发展,越来越多的设备被连接到互联网上,从智能家居、智能城市到工业自动化,物联网的应用范围不断扩大。然而,随着物联网设备的增多,安全问题也日益凸显。 一、物联网系统安全漏洞
    的头像 发表于 10-29 13:37 229次阅读

    如何使用 IOTA 分析安全漏洞的连接尝试

    在当今数字化世界中,网络安全变得至关重要。本文将探讨如何利用流量数据分析工具来发现和阻止安全漏洞和恶意连接。通过分析 IOTA 流量,您可以了解如何识别不当行为,并采取适当的措施来保护的网络和数据。我们将深入研究IOTA的工作
    的头像 发表于 09-29 10:19 211次阅读
    如何使用 IOTA 分析<b class='flag-5'>安全漏洞</b>的连接尝试

    漏洞扫描的主要功能是什么

    弱点,以减少潜在的安全风险。 1. 漏洞识别 漏洞扫描的首要功能是识别系统中存在的安全漏洞。这些漏洞
    的头像 发表于 09-25 10:25 270次阅读

    PuTTY等工具曝严重安全漏洞还原私钥和伪造签名

    据报道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。仅需使用60个签名,攻击者即可还原私钥。应对此风险,官方更新推出0.81版本,呼吁使用者尽快升级。
    的头像 发表于 04-18 10:06 573次阅读

    iOS 17.4.1修复两安全漏洞,涉及多款iPhone和iPad

     据报道,iOS/iPadOS17.4.1主要解决了Google Project Zero团队成员Nick Galloway发现并报告的两大安全漏洞(CVE-2024-1580)。
    的头像 发表于 03-26 10:47 661次阅读

    苹果承认GPU存在安全漏洞

    苹果公司近日确认,部分设备中的图形处理器存在名为“LeftoverLocals”的安全漏洞。这一漏洞可能影响由苹果、高通、AMD和Imagination制造的多种图形处理器。根据报告,iPhone 12和M2 MacBook A
    的头像 发表于 01-18 14:26 604次阅读

    源代码审计怎么做?有哪些常用工具

    。 3、CodeQL:在 CodeQL 中,代码被视为数据,安全漏洞则被建模可以对数据库执行的查询语句。 4、SonarQube:是一个用于代码质量管理的开源平台,用于管理源代码的质
    发表于 01-17 09:35

    openEuler安全配置基线标准首发

    、超聚变、华为等公司共同发布《openEuler 安全配置基线标准 v1.0》。 在当今日益复杂的数字化环境中,操作系统安全已成为企业和个人必须面对的挑战,运行环境的多样性和不一致性使
    的头像 发表于 01-04 13:43 658次阅读
    openEuler<b class='flag-5'>安全</b><b class='flag-5'>配置</b><b class='flag-5'>基线</b>标准首发

    再获认可,聚铭网络入选国家信息安全漏洞库(CNNVD)技术支撑单位

    库(CNNVD) 于2009年正式投入运行,是 中国信息安全测评中心 切实履行漏洞分析和风险评估的职能,负责建设运维的 国家级信息安全漏洞数据管理
    的头像 发表于 12-21 10:14 578次阅读
    再获认可,聚铭网络入选国家信息<b class='flag-5'>安全漏洞</b>库(CNNVD)技术支撑单位

    如何消除内存安全漏洞

    “MSL 可以消除内存安全漏洞。因此,过渡到 MSL 可能会大大降低投资于旨在减少这些漏洞或将其影响降至最低的活动的必要性。
    发表于 12-12 10:29 690次阅读
    如何消除内存<b class='flag-5'>安全漏洞</b>

    zookeeper的核心配置文件是什么

    ,Zookeeper被广泛应用于服务发现、分布式锁、配置管理等场景中。在Zookeeper的设计中,核心配置文件是zoo
    的头像 发表于 12-04 10:33 697次阅读

    民机机载软件的配置管理

    配置管理(Configuration Management)在航空领域经常又称为构型管理,是现代复杂产品研制的核心技术。与很多传统观念中配置管理是对文档和版本的简单管理不同,现代复杂产
    的头像 发表于 12-01 16:15 768次阅读
    民机机载软件的<b class='flag-5'>配置管理</b>

    Linux网络基本配置管理

    Linux是一种开源操作系统,被广泛用于服务器和网络设备中。在Linux中,网络配置管理是一个重要且复杂的任务。本篇文章将详细介绍Linux网络基本配置
    的头像 发表于 11-27 16:51 829次阅读

    ROS如何配置固定串口设备

    配置固定串口设备 在linux中设备接到哪个串口号上是随机的,解决这个问题,可以先将N100 设备的串口号设置成固定的名称,避免后期需要重
    的头像 发表于 11-22 17:58 949次阅读
    ROS如何<b class='flag-5'>配置</b>固定串口<b class='flag-5'>设备</b>

    OpenAtom OpenHarmony 三方库创建发布及安全隐私检测

    、下载、发布),需要建立可信的安全通道,可以按如下步骤进行配置 OHPM 公钥。 在进行 publish 发布前,请先确保在OpenHarmony三方库中心仓上已经创建了帐号,且利用
    发表于 11-13 17:27