11、系统管理
系统管理,是指企业内部的IT系统的管理,通常由组织的首席信息官(CIO)进行执行。系统管理可以划分为:系统配置和系统维护。
在安全性方面,系统配置的目标是开发出与系统实施过程相一致的系统配置策略,这些策略可以处理当前的、受保护的工作负载,并保护系统及其处理和存储的信息,防止出现系统故障、网络攻击、未经授权的信息泄露和丢失。
系统维护的目的是通过执行基本信息和软件的备份,应用严格的变更管理流程以及根据商定的服务级别协议来监控系统的性能,为系统安全管理提供指导。
一、服务器配置
服务器是所有企业IT设施的核心。
1.1 服务器面临的威胁
NIST SP 800-123 《通用服务器安全指南》.列出以下针对服务器的常见安全威胁:
恶意实体可以利用服务器或其底层操作系统、hypervisor或容器中的软件错误来获取对服务器的未授权访问。
拒绝服务攻击可以对服务器或其使用的网络基础设施进行攻击,从而使被攻击的服务器拒绝或阻碍正常用户使用其服务。
服务器上的敏感信息被未经授权的个人读取或以未经授权的方式更改。
服务器和客户端之间未加密或被弱加密算法加密传输的敏感信息被攻击者拦截。
通过对服务器的成功攻击,恶意实体可以未经授权地访问组织网络中其他位置的资源。
恶意实体破坏服务器之后可以攻击其他实体。
1.2 服务器安全需求
我们可以根据SANS研究所信息安全策略模板进行一些服务器安全的一般要求以及一些特定的配置要求。
二、虚拟服务器
虚拟化是指对软件所使用的计算资源进行抽象化表示的技术,因此运行软件的虚拟环境被称为虚拟机(Virtual Machine,VM)。
2.1 虚拟化方案
Hypervisor是位于硬件和虚拟机之间的软件,充当资源代理这一角色。它允许多个虚拟机安全地共存在单个物理主机上并共享该主机地资源。
每个虚拟机都包含一个操作系统,该系统被称为客户操作系统,客户操作系统支持一组标准库函数和其他二进制文件以及应用程序。虚拟机是虚拟化的硬件。
Hypervisor执行以下功能:
执行对虚拟机的管理:这包括对虚拟机执行的调度、管理虚拟内存以确保虚拟机之间的相互隔离,以及各种处理器状态之间的上下文切换。它还包括隔离虚拟机以防止资源使用冲突,以及对计时器和中断机制的仿真。
设备仿真和访问控制:Hypervisor模拟虚拟机中不同的驱动程序所管理的所有网络和存储设备,协调不同虚拟机对物理设备的访问。
Hypervisor替代客户虚拟机执行特权操作:由于其特权操作自身的特性,客户操作系统调用的某些操作可能必须由Hypervisor代其执行,而不是由主机硬件直接执行这些操作。
虚拟机管理:Hypervisor配置客户虚拟机并控制虚拟机状态。
Hypervisor平台和Hypervisor软件的管理:该功能为用户与Hypervisor和Hypervisor软件的交互设置参数。
2.1.1 Hypervisor分类
Hypervisor分为两类,它们的区别在于Hypervisor和主机之间是否存在操作系统。
1型Hypervisor作为软件曾直接加载到物理服务器上,这一过程称为本地虚拟化。它直接控制主机的物理资源。它的代表是:VMware ESXi、PVE。
2型Hypervisor利用主机系统的资源和功能,在操作系统上以软件模块的形式运行,这种被称为托管虚拟化或嵌套虚拟化。
两种Hypervisor的对比:
通常来讲,1型比2型拥有更好的性能;
通常认为,1型比2型更安全;
2型允许用户无需使用专用的服务器便可实现虚拟化;
2.1.2 容器
容器(也被称为虚拟化容器)在主机操作系统内核之上运行,并为应用程序提供隔离的执行环境。与基于Hypervisor的虚拟机不同,容器的作用不在于模拟物理服务器。而是,主机上的所有容器化的应用程序共享一个公共操作系统内核。
对于容器而言,其运行仅需要一个小型的引擎作为支撑。将容器部署于操作系统和应用程序之间能够降低系统资源的开销,单可能会带来更大的安全漏洞。
实例:Docker等。Kubernetes和Docker Enterprise Edition是容器管理系统的两个实例。
2.2 虚拟化面临的安全问题
SP 800-125A 修订版 1,基于服务器的虚拟机管理程序平台的安全建议详细介绍了使用虚拟化系统产生的安全问题:
客户操作系统的隔离:确保在用户操作系统中执行的程序只能访问和使用分配给它的资源,并且不能于客户操作系统或Hypervisor中的程序或数据进行秘密交互,这非常重要。
Hypervisor对客户操作系统进行监控:Hypervisor具有对每个客户操作系统中的程序和数据的特权访问权限,因此Hypervisor自身必须是安全的,这样可以防止恶意行为利用Hypervisor的特权损害系统。
虚拟化环境的安全:虚拟化环境的安全非常重要,因为攻击者可以尝试查看或修改系统映像和快照,所以需要对它们进行严格的管理。
虚拟机逃逸:攻击者在客户虚拟机中通过执行恶意程序隐蔽的访问Hypervisor,从而通过Hypervisor访问其他客户虚拟机中的资源。
2.3 安全的虚拟化系统
NIST SP 800-125 完整虚拟化技术的安全性指南提供了虚拟化系统中的安全性直到,指出了组织在使用虚拟化技术是应当执行以下操作:
仔细规划虚拟化系统的安全性;
对虚拟化解决方案中的所有元素进行保护、包括Hypervison、客户操作系统和虚拟化基础架构,并保持它们的安全性;
确保Hypervisor受到妥善保护;
限制并保护管理员对虚拟化解决方案的访问权限;
三、网络存储系统
组织对文件、数据库和其他数据使用两大类方式进行存储:本地存储和网络存储。
本地存储通常称为直接存储存储(Direct Access Stotage,DAS),是一种通过电缆直接连接到服务器或PC,或作为内部驱动器的专用数字存储设备。
网络存储是用于描述通过网络获得的存储设备,这种存储通过高速局域网络(LAN)来维护数据副本。网络存储包含以下拓扑:
存储区域网络(Stroage Area Network,SAN):是一种专用网络,可以访问各种类型的存储设备。作为基于磁盘块的存储技术,SAN可能是大型数据中心最普遍使用的存储形式,并且是数据库密集型应用程序的主要工作形式。
网络附加存储(Network Attached Storage,NAS):是一种联网设备,包含与多态异构计算机共享的一个或多个硬盘驱动器。它们在网络中扮演的角色是存储和提供文件。
四、服务级别协议
服务级别协议(Service Level Agreement,SLA)是服务提供商与其内部或外部客户之间的合同,用于记录提供商提供的服务,并定义提供的商业服务所满足的性能标准。
建立服务级别协议包括IT服务提供商、托管服务提供商(Managed Service Providers,MSP)和云计算服务提供商。IT部门创建服务级别协议,以便可以衡量、验证其服务质量,甚至可以与外包供应商进行交流。
4.1 网络提供商
网络服务级别协议时网络提供商与其客户之间的合同,定义了对客户所提供服务的特定细节。该定义是正式的,通常定义所提供的服务必须满足的定量阈值。
服务级别协议通常包含以下信息:
所提供的服务性质的描述;
服务的预期性能级别:服务级别协议使用数字阈值定义了许多度量标准。
监控和报告服务级别:服务级别协议描述了如何衡量和报告性能级别。
4.2 计算机安全事故响应小组
计算机安全事故响应小组(Computer Security Incident Response Team,CSIRT)是一个接收安全漏洞报告,对报告进行分析并将分析内容反馈给发送者的组织机构。内部的计算机安全事故响应小组被视为公司的一部分;外部的计算机安全事故响应小组可以持续或根据需要提供有偿服务。
计算机安全事故小组可能涉及实际或可疑的违规行为,或故意制造漏洞的行为。除去以测试计算机和网络漏洞为目的而进行的黑客行为外,其他黑客行为一般都会被是为安全事故;可以将测试漏洞的行为作为一种预防攻击的手段。
计算机安全事故响应小组主要提供以下三类服务:
反应性服务(对事故的响应):这些是计算机安全事故响应小组的主体工作。
主动服务:提供预防性措施。
安全质量管理服务:不涉及安全事故的服务,而是通过与IT部门或其他组织部门合作,计算机安全事故响应小组成员帮助加固安全系统。
响应时间是组织、维护和部署有效的计算机安全事故响应小组的关键度量因素。对安全事故做出快速、准确、有针对性和有效的响应可以最大限度的减少特定事件对财务、硬件和软件造成的整体损害。
另一个重要的度量因素是计算机安全事故响应想租能够追查事故的肇事者,以便有效地起诉犯罪分子。
第三个度量因素涉及强化软件和基础设施,以尽量减少事故地数量。
4.3 云服务提供上
云服务提供商的服务级别协议包括安全保证(例如数据的机密性)、完整性保证以及云服务和数据的可用性保证。
以下列出了云服务提供商的服务级别的注意事项:
云存储需要遵守数据驻留区域的法律和法规,这使得数据机密性变得复杂;
云存储的服务级别协议应包含强大的可检索性保证;
服务不可用或数据不可用是由安全性和非安全性问题引起的;
必须保护云网络和前端客户端应用程序免受伪装攻击者的攻击;
还必须在服务级别中做出规定,以允许客户审核安全控制;
五、性能和能力管理
性能和能力(Capacity)管理可确保IT的生产力满足业务在当前和未来的需求,并满足业务所定义的吞吐量和运行时要求。关键的成功因素在于:
了解当前对IT资源的需求并预测未来的资源需求;
能够规划和部署适当的IT能力以满足业务需求,并在应用程序生命周期内展示与其他流程的高性价比的交互;
管理IT资源的性能和能力的需求需要定期检查IT资源的当前性能和容量。此过程包括工作负载、存储和应急需求预测未来需求。此过程可确保持续提供支持业务所需的信息资源。
六、备份
备份是制作文件和程序副本的过程,以便在必要时对其进行回复。备份的目的是确保信息处理设施内处理和存储的信息的完整性和可用性。
SP 800-34 Rev. 1 信息系统应急计划指南建议采用备份和恢复策略,并在必要时考虑要存储和恢复的信息进行风险评估。如下是基于文档FIPS 199 安全分类标准信息和信息系统的安全类别:
以下备份备选方案的三种站点:
冷站:备用设施,具有计算机设施所需的电气和物理组件,但没有计算机设备;
温站:一个环境友好的工作环境,部分配备信息系统和电信设备,以便在发生重大中断时支持重新安全设备的操作;
热站:一个完全可操作的异地数据处置设施,配备有硬件和软件,可在信息系统中断时使用;
七、变更管理
文档COBIT-5将变更管理定义为一门学科,变更管理的目的是确保系统软件、应用程序软件和配置文件以有序和受控的方式引入生产。
标准ISO 27002建议在实施变更管理时应考虑以下事项:
识别和记录重大变更;
规划和测试变更;
评估此类变更的潜在影响,包括对信息安全得的影响;
对所提变更的批准;
验证变更是否满足信息安全要求;
将变更细节传达给所有相关人员;
后备程序,包括种植和恢复不成功的变更和意外事件的程序和责任;
提供紧急变更流程,以便快速、可控地实施解决事故所需的变更;
变更管理对于各种规模和行业的组织和团队都是至关重要。变更管理确保所有变更都使用标准化的方法、流程和程序,促进变更被有效和及时地处理,并在变更需求与可能造成地潜在有害影响之间保持平衡。
