[[143107]]

嘉賓介紹

朱磊，（James Wharton），現(xiàn)任北京沃頓在線執(zhí)行總裁，復(fù)旦大學(xué)外聘主講（安全軟件架構(gòu)課程）。前京東、完美世界高級(jí)安全經(jīng)理、負(fù)責(zé)運(yùn)維安全、業(yè)務(wù)安全方向，主導(dǎo)運(yùn)維流程建設(shè)、安全系統(tǒng)設(shè)計(jì)、信息安全體系落地。

主要內(nèi)容

將運(yùn)維進(jìn)行層次劃分，從網(wǎng)絡(luò)到前端防護(hù)逐級(jí)分解各層次中安全的風(fēng)險(xiǎn)，以及在安全方向應(yīng)該重心的地方。

本次分享主要集中在網(wǎng)絡(luò)安全、系統(tǒng)安全和權(quán)限管理這三個(gè)層次。

引子

如上圖，這是比較常見的互聯(lián)網(wǎng)公司內(nèi)部網(wǎng)絡(luò)劃分的方式：

• 簡(jiǎn)單點(diǎn)的會(huì)有辦公網(wǎng)和生產(chǎn)環(huán)境;

• 稍微好一些的，會(huì)為研發(fā)團(tuán)隊(duì)單獨(dú)劃出一個(gè)物理隔離的開發(fā)環(huán)境。

其中，針對(duì)辦公網(wǎng)的劃分比較講究的是按部門進(jìn)行VLAN的劃分，不同部門之間的VLAN無(wú)特別需求是不能相互訪問的。

這點(diǎn)針對(duì)黑客或內(nèi)網(wǎng)病毒、ARP攻擊的抵御是比較有效的。然而，公司內(nèi)網(wǎng)只是在心理上讓員工覺得大家是在一個(gè)獨(dú)立的網(wǎng)絡(luò)里，外面接觸不到，但正是這種心理以及非技術(shù)人員安全意識(shí)不夠，讓公司內(nèi)網(wǎng)成為了攻擊者的首選目標(biāo)。

試想，市場(chǎng)部門打開一個(gè)要求市場(chǎng)合作的郵件是多么正常的行為，HR打開應(yīng)聘者的簡(jiǎn)歷同樣是多么正常的行為。

但市場(chǎng)人員和HR的員工是不具備分辨郵件附件是否是病毒的能力，而攻擊者在滲透的初期通常會(huì)做信息收集。

通過百度、GOOGLE、Bing這類搜索引擎公司暴露在外的郵件地址，然后對(duì)這些郵件地址按照部門進(jìn)行簡(jiǎn)單分類，再針對(duì)不同崗位職責(zé)為病毒文件編輯不同的文件名稱，如發(fā)給市場(chǎng)的文檔，就叫XXX市場(chǎng)合作方案.docx；給HR的就叫XXX簡(jiǎn)歷.docx等。

當(dāng)病毒在內(nèi)網(wǎng)中被執(zhí)行，黑客就有了一個(gè)攻擊內(nèi)網(wǎng)的跳板，此時(shí)如果內(nèi)部的辦公網(wǎng)絡(luò)沒有按部門進(jìn)行劃分和ACL的限制，那么攻擊者就會(huì)借助跳板在內(nèi)網(wǎng)中進(jìn)行弱口令掃描，發(fā)起ARP欺騙。

再有一類風(fēng)險(xiǎn)是，員工電腦偶爾會(huì)收到“X.X.X.X地址正在掃描你的主機(jī)”此類主機(jī)防御軟件的報(bào)警提示，當(dāng)然，只要被防御軟件提示出來(lái)的，我們都應(yīng)該比較放心，因?yàn)楣舯粩r截了，但非技術(shù)人員不一定這么想。

而針對(duì)內(nèi)部的防御系統(tǒng)部署，其實(shí)是個(gè)大工程，防御不是一個(gè)系統(tǒng)去解決的事情。好比國(guó)家安全的防御部署需要涵蓋海陸空，企業(yè)也一樣，防御包括從網(wǎng)絡(luò)邊界到區(qū)域訪問、從系統(tǒng)安全到應(yīng)用系統(tǒng)策略等。

為了方便理解，我將整體的防御做了一個(gè)歸類分層，這就是我所說的運(yùn)維安全塔叻。本次分享著重在網(wǎng)絡(luò)安全和系統(tǒng)安全。

運(yùn)維塔第一層：網(wǎng)絡(luò)安全

運(yùn)維小塔有7層，我們從底層往上解讀，首先是第一層網(wǎng)絡(luò)安全。網(wǎng)絡(luò)是基礎(chǔ)，這就是為什么開始的時(shí)候先以內(nèi)網(wǎng)區(qū)域劃分以及舉例不嚴(yán)格VLAN+ACL的例子開場(chǎng)。

網(wǎng)絡(luò)層，除了剛才提到的辦公區(qū)域的劃分，同時(shí)還要重點(diǎn)針對(duì)運(yùn)維環(huán)境、開發(fā)測(cè)試環(huán)境和生產(chǎn)環(huán)境通道進(jìn)行明確。

這里的明確不只是簡(jiǎn)單地把區(qū)域給界定出來(lái)，而是要初步定義ACL的主框架。默認(rèn)的安全策略采用白名單機(jī)制，沒有特別需求的網(wǎng)絡(luò)區(qū)域之間是不能訪問的，有需求單獨(dú)提出，同時(shí)配合流程及制度，然而策略也并非一直留存，而是要定義一個(gè)策略的有效周期。不然通行策略開的多了，白名單的區(qū)域限制策略就失去意義了。

#p#

運(yùn)維塔第二層：系統(tǒng)安全

系統(tǒng)層，在感知程度上很貼近運(yùn)維工程師，無(wú)論怎么樣的維護(hù)、變更、升級(jí)和上新業(yè)務(wù)都與這個(gè)基礎(chǔ)打交道。接下來(lái)我們來(lái)到第二層——系統(tǒng)安全。

無(wú)論是操作系統(tǒng)、數(shù)據(jù)庫(kù)還是應(yīng)用程序，在安全的考慮中，最頭疼的其實(shí)是版本的不同和交叉的業(yè)務(wù)。

面對(duì)安全人員或一些安全加固文檔，都會(huì)比較經(jīng)常能聽到的一句話是“最小權(quán)限”。

其實(shí)，最小權(quán)限這句話沒有什么錯(cuò)，但這只是一個(gè)方向性的引導(dǎo)，并沒有什么實(shí)質(zhì)性的價(jià)值，我們更多時(shí)候也知道為了安全要最小化授權(quán)。但是這時(shí)候就懵圈了——什么是最小化授權(quán)？

這里說的最小化授權(quán)，其實(shí)是有一個(gè)前提——就是對(duì)業(yè)務(wù)的了解程度。

比較常見的情況是，安全工程師對(duì)運(yùn)維工程師說：“你們維護(hù)的業(yè)務(wù)和服務(wù)器在跑交叉業(yè)務(wù)是不安全的，要安全就要最小授權(quán)。”運(yùn)維工程師這時(shí)候可能就會(huì)罵：“你是SB么。服務(wù)器上這么多業(yè)務(wù)最小個(gè)什么毛權(quán)限，你小給我看。”

其實(shí)，這個(gè)時(shí)候安全工程師也是比較難辦的，因?yàn)椴恢肋@服務(wù)器上的業(yè)務(wù)具體提供的是什么業(yè)務(wù)，也不清楚業(yè)務(wù)之間的邏輯，所以在不知道業(yè)務(wù)邏輯或交互細(xì)節(jié)的時(shí)候，安全工程師也不能很有效地給出一個(gè)最小權(quán)限的建議。

但這并不代表安全無(wú)法下手，其最簡(jiǎn)單的方法就是業(yè)務(wù)拆分或就死磕了，把交叉業(yè)務(wù)的邏輯關(guān)系摸清楚，針對(duì)不同應(yīng)用啟用不同用戶、各普通用戶之間不能相互訪問等限制。

無(wú)論是運(yùn)維安全還是業(yè)務(wù)安全，都要有一個(gè)側(cè)重點(diǎn)，聽起來(lái)雖然很像個(gè)廢話，但是這值得作為一句廢話不斷地被說出來(lái)，因?yàn)榧夹g(shù)人員通常是鉆牛角尖的

就愛死磕難點(diǎn)，覺得越難越有價(jià)值。

我不去否認(rèn)或辯解這個(gè)觀點(diǎn)，只是做為一個(gè)提醒，很多時(shí)候我們把大把的精力放在這些所謂的技術(shù)難點(diǎn)上，而忽略在當(dāng)前環(huán)境中，最常見的問題是什么。

在以前，我覺得弱口令是因?yàn)閼械挠浢艽a，但弱口令這個(gè)事情要分環(huán)境看，員工PC的弱密碼和運(yùn)維支撐系統(tǒng)弱密碼是兩回事。

先說員工PC弱密碼的事情。

早些時(shí)候我真的覺得是因?yàn)閱T工懶，后來(lái)發(fā)現(xiàn)原因并非這么簡(jiǎn)單，當(dāng)然懶只是其中的一個(gè)原因，考勤在各公司都是常見的公司規(guī)定，我相信很多同學(xué)都有替同事打過卡或者讓同事幫自己打卡。其實(shí)，這個(gè)需求催生了很多人把密碼設(shè)置成弱密碼。

很奇怪吧！為什么會(huì)這樣?因?yàn)榇蠹叶加幸活w保護(hù)自己的心。現(xiàn)在大家都認(rèn)可密碼通這種事情了，一個(gè)密碼通殺所有個(gè)人賬戶，為了給自己來(lái)個(gè)保護(hù)，辦公PC機(jī)就來(lái)個(gè)弱口令吧，反正只要不影響到自己生活就好。

第二個(gè)，運(yùn)維弱口令的。

做運(yùn)維的各位，你們中存在使用弱口令的嗎？

運(yùn)維團(tuán)隊(duì)有兩個(gè)問題是攻擊者比較喜歡的：

• 1.弱口令；

• 2.低版本應(yīng)用。

弱口令事情可以粗略的歸到偷懶這個(gè)原因，而低版本的考慮就是穩(wěn)定的問題了。

關(guān)于口令這個(gè)問題解決辦法已經(jīng)比較成熟了，有用動(dòng)態(tài)口令的，也有用強(qiáng)制密碼策略的。而針操作系統(tǒng)的安全策略，以下給出幾個(gè)簡(jiǎn)單的策略；

其實(shí)，針對(duì)操作系統(tǒng)安全加固的部分都比較傳統(tǒng)而簡(jiǎn)單，簡(jiǎn)單的東西難點(diǎn)在于落地實(shí)施和集中管理，策略只是安全的一小部分。其實(shí)運(yùn)維有一些工具是存在安全問題的，比如常見的rsync，rsync做數(shù)據(jù)同步的時(shí)候需要一個(gè)系統(tǒng)賬號(hào)，而我見過比較帥的運(yùn)維，rsync的賬號(hào)直接用root。

在運(yùn)維過程中，安全的重心應(yīng)該是流程與制度的落實(shí)，像針對(duì)操作系統(tǒng)的安全策略和ACL，只是技術(shù)的輔助手段，只要能做到集中管理起來(lái)，安全策略的落地，這都好辦。重點(diǎn)還是流程制度與技術(shù)的配合，針對(duì)運(yùn)維人員的權(quán)限劃分、惡意操作和越權(quán)操作等。

第六層：權(quán)限管理

因?yàn)闀r(shí)間關(guān)系，本次跳過第三、四、五層，以后的主題分享會(huì)再做闡述。

運(yùn)維安全的核心是權(quán)限管理，或者說是權(quán)限分離更容易理解。無(wú)論是操作系統(tǒng)、數(shù)據(jù)庫(kù)還是應(yīng)用程序，都應(yīng)該依據(jù)不同的業(yè)務(wù)場(chǎng)景設(shè)置權(quán)限。

例：操作系統(tǒng)的權(quán)限要分為：

1. 系統(tǒng)管理員（分配給運(yùn)維團(tuán)隊(duì)中較高職位的人）；

2. 維護(hù)賬號(hào)（分配給普通工程師，賬號(hào)權(quán)限主要做業(yè)務(wù)的運(yùn)維。針對(duì)該賬號(hào)要限制一些高權(quán)限命令的執(zhí)行限制）：

3. 為不同的應(yīng)用建立不同的賬號(hào)用于應(yīng)用的獨(dú)立啟動(dòng)；

4. 應(yīng)用程序的賬號(hào)要去掉遠(yuǎn)程登陸權(quán)限。

這些策略以核心業(yè)務(wù)系統(tǒng)為必備，輔助系統(tǒng)或不相關(guān)的系統(tǒng)選配。安全也是要考慮成本的。

下面是本次分享的部分互動(dòng)環(huán)節(jié)整理。

問題1：運(yùn)維工作大部分的安全問題，是不是在網(wǎng)絡(luò)層面根據(jù)安全級(jí)別進(jìn)行邏輯分區(qū)，效果事半功倍？

答：無(wú)論是網(wǎng)絡(luò)層、系統(tǒng)層還是業(yè)務(wù)層，安全的策略都需要一個(gè)場(chǎng)景，就是指業(yè)務(wù)的重要程度，所以在定義安全策略之前首先要明確的是，你所要保護(hù)的系統(tǒng)或數(shù)據(jù)，其重要程度是多少。

問題2：賬號(hào)如何統(tǒng)一管理，授權(quán)和審計(jì)?

答：賬號(hào)統(tǒng)一管理有多種方案，有Windows域、基于kerberos以及LDAP或兩者結(jié)合的。授權(quán)和審計(jì)可以使用現(xiàn)成的堡壘機(jī)這種現(xiàn)成的產(chǎn)品?；蛘呔妥约洪_發(fā)一套審計(jì)系統(tǒng)，在網(wǎng)絡(luò)中建一個(gè)LOG SERVER，然后LOG入數(shù)據(jù)庫(kù)，并聯(lián)員工的賬號(hào)，然后讓員工審計(jì)自己的操作過程，同時(shí)員工確認(rèn)之后，升級(jí)領(lǐng)導(dǎo)可以再做一次確認(rèn)。

如何一起愉快地發(fā)展

高效運(yùn)維系列微信群是國(guó)內(nèi)高端運(yùn)維圈子、運(yùn)維行業(yè)垂直社交的典范?，F(xiàn)有會(huì)員800余名，其中運(yùn)維總監(jiān)及以上級(jí)別會(huì)員300多名。

“高效運(yùn)維”公眾號(hào)值得您的關(guān)注，作為高效運(yùn)維系列微信群的唯一官方公眾號(hào)，每周發(fā)表多篇干貨滿滿的原創(chuàng)好文：來(lái)自于系列群的討論精華、運(yùn)維講壇線上/線下活動(dòng)精彩分享及部分群友原創(chuàng)。“高效運(yùn)維”也是互聯(lián)網(wǎng)專欄《高效運(yùn)維最佳實(shí)踐》及運(yùn)維2.0官方公眾號(hào)。

提示：目前高效運(yùn)維兩個(gè)微信主群僅有少量珍貴席位，如您愿意，可添加蕭田國(guó)個(gè)人微信號(hào) xiaotianguo 為好友，進(jìn)行申請(qǐng)；或申請(qǐng)加入我們技術(shù)交流群（技術(shù)討論為主，沒有主群那么多規(guī)矩，更熱鬧）。

重要提示：除非事先獲得授權(quán)，請(qǐng)?jiān)诒竟娞?hào)發(fā)布2天后，才能轉(zhuǎn)載本文。尊重知識(shí)，請(qǐng)必須全文轉(zhuǎn)載，并包括本行及如下二維碼。