駐場工程師眼中的政務雲安全

駐場工程師屬於拿著乙方的薪水，操著甲方的心，生在甲方的陣營，活在乙方的世界。在駐場工程師眼中，政務雲的安全，包括甲方的運維，也包括乙方的服務。

維護政務雲平台安全運行，大部分工作是圍繞雲平台租客業務系統安全來展開的，因為雲平台自身安全，主要就是爆發漏洞的時候，打上響應的補丁就行了，例如，最近的CPU漏洞（Meltown和Spectre）爆發，各雲平台都在積極解決。這裡從一個駐場工程師的角度闡述下雲平台租客安全的工作內容。

政務雲平台的運作，參與的單位一般有：

監管部門，一般為當地政府部門、網監、網信辦等。

雲計算服務商，一般為當地運營商，負責整個平台的建設，運維。

虛擬化平台服務商，為雲平台提供硬體伺服器，雲平台管控中心等。

安全服務商，為雲平台提供安全設備和安全服務的廠商。

租戶：最終的用戶，租用政務雲平台，搭建自己的網站、應用系統等。

保護好租客安全，需要從事前、事中、事後三個維度出發，事前工作，包括用戶網站上線前檢測，上線後防護，重大時期保障等。事中工作，即監測工作，監測平台網站的安全狀態，定期查看雲監測，雲平台上硬體工具等的告警，分析安全日誌。事後工作，在安全事件發生後，進行的應急響應，協助調查取證。

事前工作：

（1）配置模板機，Windows和Linux系統分別配置模板機，按照等保要求，做好基線配置，打上最新的補丁。用戶申請虛擬機資源的時候，就可以將加固好的模板機配置給用戶。

（2）政務雲上線流程：租戶根據網站規模，申請虛擬機資源，在虛擬機上搭建網站應用，完成後，在政務雲內網進行上線前檢測，滲透測試，漏洞掃描，基線檢查，通過安全檢測後，將網站發布到互聯網。

（3）網站上線後，配置所有能用的安全設備進行防護、監測，網站雲監測、雲防護，硬體waf，流量分析，日誌分析，虛擬化殺毒等。

（4）重大時期保障，在G20、十九大、互聯網大會等重要時期，提交保障計劃、應急預案給雲計算服務商和監管部門，安排人員24小時值守，因為放在政務雲的網站，大部分都是展示型的，如：門戶網站等，所以，必要時候，可以採用極端手段，如：使用防篡改系統，將所有首頁鎖定，不允許修改等。值守時期，監控的重點也是網站篡改情況，一旦發現篡改，立即下線處理，然後準備應急溯源。

事中工作：

（1）定期對平台上的伺服器進行漏洞掃描、滲透測試、病毒掃描、日誌分析等。

（2）關注各個監控平台如：網站雲監控、流量分析平台的告警等。

事後工作：

（1）應急響應，對於監控到、用戶反饋的安全事件，安排應急溯源，輸出應急報告，向監管單位彙報，並對後期工作進行調整。

（2）安全工作調整，針對安全新聞或在政務雲發生的安全事件，對政務雲安全工作進行調整，如：挖礦病毒事件大規模爆發，需要進行的安全工作：對所有租戶伺服器進行殺毒，統計最近時期所有伺服器CPU、內存使用率情況，日誌分析，排查挖礦病毒痕迹。

有次和一個跳槽到甲方的前任（同事）吃火鍋，聊起了甲方安全和乙方安全，那位哥們說，在乙方，做完滲透測試後，提交了測試報告，就完事了。在甲方，負責滲透測試的安全部門，在測試完後，還得盯著業務部門修復，業務部門不願意修復的，就要搬個小板凳坐在程序員邊上，苦口婆心的勸他們修復，告訴他們不修復會有多大危害，會造成多大的損失，有的時候，還要在網上找修復方法，陪著程序員一起修復。

駐場工程師是乙方人員，對甲方的一些事情，不能越俎代庖，但是也要承擔一部分甲方的責任，需要做到什麼程度呢，這裡舉幾個例子：

（1） 每次提交滲透測試報告後，作為駐場工程師，不可能盯著各個單位的網站負責人去修復，對於拖了很久還不進行修復的單位，駐場工程師可以做的是：對漏洞修復情況進行追蹤，整理列表，哪些網站漏洞已經完成修復，哪些網站存在高危漏洞，但是還沒有修復。定期將整理的列表發送給監管部門。

（2）租戶網站在上線前檢測的時候，一般安全漏洞都會被發現並修復，上線後有些用戶對網站進行修改，添加模塊等操作，會帶來新的安全問題。用戶在修改網站後，一般不會聯繫安全服務商進行再次滲透測試。這時候，駐場工程師能做的事情：舉辦安全意識培訓，增加用戶的安全常識和安全意識。修訂政務雲安全制度，由監管方審核簽發，將該情況編寫到制度中。

（3） 類似政務雲這種環境，用戶數量較多，容易出現用戶VPN、堡壘機初始密碼不修改，運維人員調動後密碼不作廢等情況。作為駐場工程師，很難從管理制度方面去約束該情況。這時，駐場工程師可以將初始密碼放入弱口令字典中，定期掃描，輸出弱口令報告給監管部門。每季度將各單位賬號列表發送給用戶進行核實，將核實結果整理成列表，發送給監管部門。

維護好政務雲的安全，駐場工程師能做的是：甲方運維加上乙方服務，還有一顆不能說破的責任心。

*本文作者：雨水，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！