眾所周知，確保網(wǎng)絡(luò)設(shè)備與應(yīng)用系統(tǒng)的安全運行是減少基礎(chǔ)架構(gòu)攻擊面的基礎(chǔ)和前提，為此，國際互聯(lián)網(wǎng)安全中心（CIS）等組織陸續(xù)頒布了相關(guān)工作指南，明確規(guī)定了所有部署的應(yīng)用系統(tǒng)都應(yīng)安全配置，并且這些配置應(yīng)受到持續(xù)監(jiān)控，并得到長期維護(hù)，以便保持在安全可靠的配置狀態(tài)下運行工作。但是在實際應(yīng)用中，雖然很多企業(yè)都會按照CIS標(biāo)準(zhǔn)指南要求部署配置系統(tǒng)，但長期的準(zhǔn)確管理配置卻難以保障，配置漂移情況時有發(fā)生。

什么是配置漂移？軟件系統(tǒng)在開發(fā)和交付過程中，需要根據(jù)應(yīng)用需求不斷進(jìn)行修改和調(diào)整，隨之而來也會發(fā)生相關(guān)軟件運行參數(shù)的配置變更。在理想的情況下，這些變更都應(yīng)該有序進(jìn)行，并被準(zhǔn)確跟蹤記錄。但是，由于企業(yè)的實際應(yīng)用環(huán)境并不完美，導(dǎo)致企業(yè)很多的修改并未被正確同步。當(dāng)系統(tǒng)正式上線后，實際運行的配置與研發(fā)設(shè)計的配置并不一致，這種現(xiàn)象就叫配置漂移。

配置漂移會讓組織面臨重大安全風(fēng)險，具體視漂移的嚴(yán)重程度而定。那么該如何應(yīng)對這種情況的發(fā)生呢？維護(hù)系統(tǒng)配置的方法主要有三種。企業(yè)組織可以根據(jù)自身安全管理流程的成熟度，選擇適合自己的管理方法。

模式一人工監(jiān)控系統(tǒng)配置

人工管理系統(tǒng)配置非常耗時，因此難以定期、持續(xù)開展。由于合規(guī)管理的硬性要求，組織通常會嘗試將系統(tǒng)數(shù)量限制在必須審核管理的范圍內(nèi)，從而盡可能減少人工監(jiān)控的工作量。在此情況下，審核員也只會核實有限范圍內(nèi)的部分系統(tǒng)和應(yīng)用，以驗證配置的正確性和合規(guī)性。只有當(dāng)這部分設(shè)備被發(fā)現(xiàn)存在配置漂移時，組織才會采取修復(fù)措施。

模式二通過掃描工具監(jiān)測配置情況

采用掃描工具可以對人工監(jiān)測進(jìn)行有效的補充，但這仍需要一定程度的交互來創(chuàng)建工具掃描所需的管理憑據(jù)，以及需要時安排工具操作人員運行掃描，并針對結(jié)果進(jìn)行人工修補。工具掃描通常每月或每季度進(jìn)行一次，以滿足合規(guī)流程的需要。

在實際應(yīng)用中，這種模式通常也主要針對合規(guī)要求內(nèi)的應(yīng)用系統(tǒng)，而其他系統(tǒng)往往會被遺忘，只有在它們暴露出問題或發(fā)生運行事故時才進(jìn)行檢查。在CIS發(fā)布的指南中，建議企業(yè)組織盡可能為所有應(yīng)用系統(tǒng)提供安全配置監(jiān)測，因此即使發(fā)生變更，也應(yīng)有能力持續(xù)維護(hù)所有運行系統(tǒng)上的配置正確。

模式三實時地監(jiān)控所有系統(tǒng)配置

在此模式下，可以為各種應(yīng)用系統(tǒng)配備輕量級代理，并通過代理監(jiān)控系統(tǒng)的配置變更和運行狀態(tài)。代理程序可以嵌入到已部署的映像中，或者包含在某些自動化工具（比如Puppet或Chef）的部署流程中，從而連接到所有的應(yīng)用系統(tǒng)上。

一旦代理啟動并進(jìn)行監(jiān)控，就可以實時發(fā)現(xiàn)系統(tǒng)的異常變更，同時啟動相應(yīng)的修補措施。比如說，這可以通過自動創(chuàng)建事件工單、發(fā)送電子郵件或通過安全事件管理（SIEM）工具來完成。

參考鏈接： https://www.tripwire.com/state-of-security/security-data-protection/what-is-configuration-drift/