信息安全从业人员^_^
一个未入门de情报学胖子(邮箱:tenghm1986@163.com)
Toggle navigation
信息安全从业人员^_^
主页
About Me
归档
标签
云安全实用指南--第5章 漏洞管理
2020-12-01 09:46:35
488
0
0
heming
- 漏洞管理(vulnerability management)与补丁管理(patch management)有许多重复之处。安装补丁的最重要原因是修复漏洞 - 漏洞管理与配置管理有许多重叠的部分,错误的配置导致漏洞的出现 # 5.1 与传统IT的区别 - 云上环境变化快,创建新的资产时通知漏洞管理工具,避免遗漏 - 传统的agent的方式不适用,占内存与CPU - 云计算/基础设施即代码/CI/CD和微服务架构的新世界中,我们**有机会降低安全事件发生的风险**(**云环境还居然有机会降低安全事件的发生**) - 云产品和基础设施即代码可以将环境定义为代码的一部分(新环境上部署,蓝绿发布) - CI/CD每次都可以将一个较小的改动部署到生产环境中。(出现问题容易排查,避免酿成大的风险) - 微服务架构可以解耦服务,因此一个微服务的改动不太可能另其他服务器产生副作用 - 微服务的水平扩展性比较好,可以部署到多个虚拟机和容器上来同时处理负载(灰度发布,影响部分实例) **云上的高可用性,安全更新更加主动** 传统的漏洞管理流程: - 1.发现(discover)可用的安全更新或配置变更 - 2.根据安全事件的风险等级,对需要应用的安全排列优先级(prioritize) - 3.在测试环境中验证(test)安全更新是否工作 - 4.安排(schedule)生产环境中的安全更新计划 - 5.将安全更新部署(deploy)到生产环境中 - 6.在生产环境中验证(verify) 云上漏洞管理流程(感觉为赋新词强说愁): - 1.自动拉取可用的安全更新 - 2.测试更新 - 3.部署新版本 - 4.发现并解决在测试和生产环境中没有被常规发布过程覆盖的任何额外漏洞,将他们作为bug添加到开发团队的待办列表中,下次部署时解决他们 # 5.2 漏洞区域(共享职责模型) <center>  </center> ## 5.2.1 数据访问 客户职责,数据访问层的漏洞绝大多数都是**访问管理问题**引起 ## 5.2.2 应用 - SAAS:云服务商职责,但作为客户一些安全配置需要注意,邮箱:安全/2FA/避免恶意扫描 - 非SAAS:代码bug/开源组件/框架等漏洞 ## 5.2.3 中间件 中间件或平台组件,攻击者可以利用相同的漏洞去攻击不同的应用,而完全不需要了解应用 ## 5.2.4 操作系统 操作系统补丁是漏洞管理的一个重要组成部分,但它并不是唯一(Patch Tuesday) ## 5.2.5 网络 - 网络组件本身 - 管理网络通信 ## 5.2.6 虚拟化的基础设施 - 保护虚拟化的基础设施(虚拟网络/虚拟机/存储)的安全是云服务商的职责 - 基于云提供商的虚拟化基础设施之上又做了一层虚拟化基础设施(容器),这一层安全责任属于自己 ## 5.2.7 物理基础设施 在大部分情况下,保护物理基础设施的安全是云提供商的职责 少数情况: 物理层的配置和漏洞管理是你的职责。如果你维护的一套私有云,或者你从云提供商那里购买的是**裸金属服务**,你就要承担物理基础设施管理 # 5.3 发现与解决漏洞 <center>  </center> 两个思考点: - 发现的问题数量 - 这些问题对业务产生影响的程度 ## 5.3.1 网络漏洞扫描器 网络漏洞扫描器不会去查看软件组件,它们只是简单地发送网络请求,尝试找出对方在**监听什么**,然后检查服务器应用的**漏洞版本或存在的漏洞配置**。 网络团队和漏洞扫描团队争论:**是否要在防火墙上开一个洞,允许漏洞扫描器进入受限制的区域** 允许漏洞扫描器进入受限制区域,即使这会使边界网络的控制微受到削弱。 **假阳性告警**,知道某个版本的漏洞,但不知道已安装安全补丁,需过滤。 ## 5.3.2 无代理扫描器和配置管理 **网络漏洞扫描器检测**的是**房门和窗户**上的巨响,**无代理扫描器和配置管理系统**就会**进入房门四处检查漏洞** 无代理扫描器可以发现网络漏洞扫描器无法发现的漏洞,通过使用凭证进入系统。 无代理扫描器通常既执行缺失补丁检测,又执行