生產環境中的合規檢查

0x00、前言

在各級政務單位大力建設政務雲、城市雲的背景下，等保合規成為了購買安全產品的剛性需求。對應最新出台的等保v2.0，無論是從網路層面、主機層面都做了詳細的規定。那麼如何建設一套切實可行並且滿足國家規定的相關規範的合規類產品，也成了安全人員需要考慮的問題。

0x01、解決方案

從安全解決方案方面可從以下三個方面入手：

1、針對於公有雲環境，我們需要對雲上產品做基線檢查。

2、針對網路層面，需要對主機和web應用做基線掃描。

3、針對主機層面，我們要對主機上的操作系統、中間件和數據做基線檢查。

0x02、雲上產品層面合規檢查

針對公有雲環境，我們需要從兩個層面去檢查，第一層面檢查公有雲底層架構，通過測試用例保證網路部分帶寬滿足業務高峰需要，提供通訊線路、關鍵網路設備的硬體冗餘，保證系統穩定性。也就是說：POP/AZ節點保證雙活高可用，業務系統使用負責均衡系統。身份鑒別，採取兩種和兩種以上組合的鑒別技術對用戶進行身份鑒別，也就是說公有雲賬號管理需要支持雙因數認證系統MFA。同時對遠程訪問的用戶公有雲API行為做單獨行為審計和分析。同時部署公有雲安全防護產品， 例如：高防IP、雲/VPC-WAF、態勢感知。

0x03、網路層面合規檢查

能夠全方位檢測IT系統存在的脆弱性，發現操作系統存在的安全漏洞、安全配置問題、Web應用安全漏洞以及存在的弱口令問題。

下面每個應用列舉Top10漏洞給大家做參考。

Web漏洞部分：

主機漏洞部分：

當然還有很多運維相關的軟體，例如：zabbix、confluence等。但對外提供服務的可能比較小，在內網橫向滲透的時候使用的比較多。

0x04、主機層面合規檢查

針對linux操作系統合規檢查，最高優先順序的檢測項如下：

抽象一下：

0x05、總結

把以上檢測項都用自動化手段實現，並且部署到自己的生產環境，基本上可以滿足等保和實際安全檢測需求。當然在你的實踐過程當中你會收穫更多。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！