榮叔整了版應(yīng)用上公有云的安全方案，和架構(gòu)師欣哥、海哥討論過后，匆忙趕在節(jié)前給H總匯報(bào)。H總對(duì)該方案顯然不是很滿意，正好節(jié)后H總要到上海參加斗象科技舉辦的FIT互聯(lián)網(wǎng)安全創(chuàng)新大會(huì)，于是決定帶榮叔一同前往。

在主辦方的招待晚宴上，榮叔認(rèn)識(shí)了同桌一位安全領(lǐng)域的資深專家W總。W總是深圳一家做聯(lián)盟鏈企業(yè)的合伙人，負(fù)責(zé)這家企業(yè)的安全工作，原來在華為安全部門。正好他和榮叔被安排到同一酒店的相鄰房間。榮叔可不能放過機(jī)會(huì)，第二天下午邀請(qǐng)W總到酒店樓下星巴克，一個(gè)勁的向他請(qǐng)教。

榮叔說：“我原來是做開發(fā)的，后來做了架構(gòu)師，雖然在各個(gè)項(xiàng)目上也接觸過不少安全方面的工作，但畢竟不專業(yè)也不全面，這方面還得多向您請(qǐng)教！”

W總說：“請(qǐng)教不敢當(dāng)，安全工作中，守方比攻方要困難許多，防范得再周全，也難免有疏漏，所謂百密一疏，而且做了很多工作，卻很難讓領(lǐng)導(dǎo)看到你的成績(jī)。要想勝任安全工作，首先需要了解攻防雙方的心里和行為，以及一些安全思想和體系。因此，榮叔，我建議你先了解一下滲透測(cè)試、蓋特納的PPDR模型以及近期安全領(lǐng)域比較流行的零信任機(jī)制。另外，關(guān)注關(guān)注國(guó)外著名安全公司和組織在安全領(lǐng)域的理念，比如蓋特納、思科、NIST、CIS、OpenSCAP等它們提出的一些新的安全體系，以及國(guó)內(nèi)的安全標(biāo)準(zhǔn)體系，比如安全等保三級(jí)、ISO27001體系等?！?/p>

榮叔說：“早些年我曾關(guān)注過藍(lán)蓮花戰(zhàn)隊(duì)，并蒙對(duì)了他們?cè)诤商m參加的一次安全大賽的排名，因此還獲得了該戰(zhàn)隊(duì)創(chuàng)始人諸葛建偉編寫的一本關(guān)于滲透測(cè)試的書籍和藍(lán)蓮花戰(zhàn)隊(duì)的一個(gè)徽章。因?yàn)檫@個(gè)原因，我對(duì)滲透測(cè)試這方面安全知識(shí)有一點(diǎn)粗淺的了解。”，榮叔接著說，“滲透測(cè)試對(duì)攻擊者來說，在無法直接攻入核心系統(tǒng)的情況下，先從外圍開始，收集信息（情報(bào)），通過收集到的信息分析外圍系統(tǒng)存在的漏洞，然后利用漏洞攻入外圍系統(tǒng)。攻擊者就這樣通過收集信息，發(fā)現(xiàn)漏洞，利用漏洞，一步步從外圍滲透到要攻擊的目標(biāo)核心系統(tǒng)?！?/p>

?

?

W總說：“你說得沒錯(cuò)，因此一家企業(yè)，他的安全防護(hù)理論上來說應(yīng)該采用縱深防護(hù)策略。但許多公司，特別是自建數(shù)據(jù)中心和私有云的公司，往往重點(diǎn)采用周界防護(hù)策略?！薄?/p>

榮說：”W總，您能給我講解一些您對(duì)PPDR框架和零信任機(jī)制的理解嗎？我對(duì)這一塊，還不是很理解！”

?

W總說：“Gartner PPDR 是 Gartner 公司開發(fā)的一個(gè)框架，旨在指導(dǎo)組織創(chuàng)建有效的安全風(fēng)險(xiǎn)和事件管理方法。該框架重點(diǎn)關(guān)注安全管理的四個(gè)關(guān)鍵領(lǐng)域：

l?預(yù)測(cè)：這是指確定潛在安全威脅和風(fēng)險(xiǎn)的過程。預(yù)測(cè)分析工具和技術(shù)用于檢測(cè)可能表明潛在安全威脅的模式和異常。這些信息可以用于主動(dòng)采取措施防止事件發(fā)生。

l?預(yù)防：指實(shí)施措施以防止安全事件發(fā)生。這可以包括實(shí)施安全控制和策略、進(jìn)行安全意識(shí)培訓(xùn)，并確保所有系統(tǒng)和應(yīng)用程序都是最新的并進(jìn)行了修補(bǔ)。

l?檢測(cè)：指在安全事件發(fā)生時(shí)識(shí)別它的過程。這可以包括使用安全監(jiān)控工具檢測(cè)異常行為、進(jìn)行漏洞評(píng)估和定期進(jìn)行安全審計(jì)。

l?響應(yīng)：指在安全事件發(fā)生時(shí)采取響應(yīng)措施。這可以包括激活事件響應(yīng)計(jì)劃、控制事件、調(diào)查根本原因并實(shí)施措施，以防止類似事件再次發(fā)生。

通過采用 Gartner PPDR 框架，組織可以創(chuàng)建一個(gè)全面的安全風(fēng)險(xiǎn)和事件管理方法。該框架強(qiáng)調(diào)采取預(yù)防措施而不是被動(dòng)應(yīng)對(duì)，并采取綜合方法進(jìn)行安全管理的重要性?！?/p>

?

榮叔靜靜的聽著，W總接著說：“‘安全零信任’（Zero Trust Security）這一概念最早由福布斯（Forrester）研究公司的首席安全官John Kindervag在2010年提出。他認(rèn)為，傳統(tǒng)的企業(yè)安全架構(gòu)仍然存在漏洞，因?yàn)樗鼈儗⒎烙呗詢H僅限制在企業(yè)網(wǎng)絡(luò)的外圍，而忽略了內(nèi)部網(wǎng)絡(luò)的安全。他建議，企業(yè)應(yīng)該采用更加安全的、細(xì)粒度的策略，不僅僅限制在邊緣，而是在整個(gè)網(wǎng)絡(luò)中強(qiáng)制執(zhí)行安全策略。這就是‘安全零信任’的理念。對(duì)于企業(yè)而言，零信任機(jī)制不僅僅是一套4A綜合安全策略和機(jī)制，零信任機(jī)制從對(duì)資源（數(shù)據(jù)、服務(wù)、應(yīng)用等）的保護(hù)角度看安全工作，PPDR從安全威脅和風(fēng)險(xiǎn)的角度看安全工作，兩者看問題的角度不同?！蔽覀兡挲g相仿，小學(xué)課本有一節(jié)課叫《列寧和衛(wèi)兵的故事》，很好的解釋什么叫零信任。”

?

作者旁白：4A 機(jī)制是指：認(rèn)證（Authentication）、授權(quán)（Authorization）、審計(jì)（Auditing）和訪問控制（Access Control）。

l?認(rèn)證（Authentication）：是確定用戶或?qū)嶓w身份的過程。認(rèn)證機(jī)制通常涉及用戶名和密碼、數(shù)字證書、生物特征識(shí)別、多因素身份驗(yàn)證等方式，用于確保用戶是他們聲稱的人，并且有權(quán)訪問相關(guān)系統(tǒng)或資源。

l?授權(quán)（Authorization）：是在認(rèn)證成功之后控制用戶或?qū)嶓w對(duì)系統(tǒng)或資源的訪問權(quán)限。授權(quán)通常由訪問策略和權(quán)限管理實(shí)現(xiàn)，可以基于用戶身份、角色、組織結(jié)構(gòu)等因素來控制訪問權(quán)限。

l?審計(jì)（Auditing）：是記錄用戶或?qū)嶓w的訪問行為的過程。審計(jì)可以跟蹤用戶對(duì)系統(tǒng)或資源的訪問、訪問的時(shí)間、訪問的方式、訪問所使用的權(quán)限等信息。審計(jì)記錄可以用于安全事件的調(diào)查和后續(xù)的風(fēng)險(xiǎn)評(píng)估。

l?訪問控制（Access Control）：是限制用戶或?qū)嶓w對(duì)系統(tǒng)或資源的訪問的過程。訪問控制機(jī)制可以基于多種因素來實(shí)現(xiàn)，如用戶身份、角色、組織結(jié)構(gòu)、網(wǎng)絡(luò)位置、時(shí)間等。它可以幫助組織防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄漏等安全問題。

榮叔想了想，接著問道：“W總，您說的這些都是理論知識(shí)，具體的措施該怎么做？”

W總說：“首先，為了應(yīng)對(duì)安全事件，貴公司應(yīng)該先建立一套安全管理體系，它基本會(huì)包含如下內(nèi)容：

1.?安全政策和安全目標(biāo)：明確企業(yè)的安全政策和安全目標(biāo)，確保全員理解和遵守。

2.?安全組織和職責(zé)：建立健全的安全管理組織架構(gòu)，明確各部門的安全職責(zé)和工作任務(wù)。

3.?安全規(guī)章制度：制定安全管理規(guī)章制度，規(guī)范企業(yè)安全行為，防范安全風(fēng)險(xiǎn)。

4.?安全風(fēng)險(xiǎn)評(píng)估：開展安全風(fēng)險(xiǎn)評(píng)估，識(shí)別企業(yè)安全風(fēng)險(xiǎn)，制定應(yīng)對(duì)措施。

5.?安全培訓(xùn)和教育：組織開展安全培訓(xùn)和教育，提高員工安全意識(shí)和應(yīng)對(duì)能力。

6.?安全監(jiān)控和管理：建立安全監(jiān)控和管理機(jī)制，及時(shí)發(fā)現(xiàn)和處理安全問題。

7.?安全應(yīng)急和處置：制定安全應(yīng)急預(yù)案和處置方案，確保能夠快速、有效地應(yīng)對(duì)安全事件。

8.?安全審計(jì)和評(píng)估：定期開展安全審計(jì)和評(píng)估，發(fā)現(xiàn)問題并及時(shí)整改。

9.?安全技術(shù)保障：采用安全技術(shù)手段保障企業(yè)信息系統(tǒng)和數(shù)據(jù)的安全性和可靠性。

10.?安全文化建設(shè)：加強(qiáng)安全文化建設(shè)，營(yíng)造安全、健康的企業(yè)氛圍，提高員工的安全意識(shí)和安全素質(zhì)。

?

以上是企業(yè)安全治理體系的基本內(nèi)容，貴公司還可以根據(jù)自身實(shí)際情況，適當(dāng)增加或調(diào)整相關(guān)內(nèi)容?；谶@套制度，我們還要做如下工作：

首先，梳理企業(yè)安全現(xiàn)狀，梳理企業(yè)資產(chǎn)，給資產(chǎn)分類并識(shí)別各類資產(chǎn)可能受到的威脅。根據(jù)資產(chǎn)的重要性以及可能受到潛在威脅，設(shè)定安全等級(jí)，不同安全等級(jí)的資產(chǎn)采取相應(yīng)的安全防護(hù)措施。

對(duì)于貴公司應(yīng)用要上云的情況，建議采用的安全預(yù)防與防護(hù)措施有這么幾項(xiàng)：

1.?減少攻擊面，不該對(duì)外暴露的必須隱藏起來。在公有云上，可以通過安全組、反向代理以及DMZ域等措施實(shí)現(xiàn)內(nèi)外網(wǎng)隔離，盡量減少將主機(jī)、數(shù)據(jù)庫(kù)、底層服務(wù)等不該暴露的資產(chǎn)暴露給外部。這就像一個(gè)美女，對(duì)于男人來說，穿著越少越暴露越好。對(duì)于攻擊者來說，被攻擊的對(duì)象，對(duì)外暴露越多，越容易被拿下。另外，將整個(gè)空間劃分成不同的域，比如開發(fā)域、測(cè)試域、生產(chǎn)域，生產(chǎn)域又劃分成管理域、DMZ域、應(yīng)用域等，不同的域采取不同的防護(hù)策略，通過安全組實(shí)現(xiàn)域間隔離。

?

2.?數(shù)據(jù)備份和災(zāi)難恢復(fù)計(jì)劃：定期備份企業(yè)重要數(shù)據(jù)，一般會(huì)采用冷熱備份措施，并制定災(zāi)難恢復(fù)計(jì)劃以應(yīng)對(duì)意外事件。對(duì)于重點(diǎn)系統(tǒng)，建立災(zāi)備環(huán)境或采用多活方案。

3.?密碼策略和身份認(rèn)證策略：建立和執(zhí)行強(qiáng)密碼策略，包括密碼復(fù)雜度、定期更改密碼和禁止使用共享密碼等。關(guān)鍵防范弱口令和共享密碼的情況同時(shí)出現(xiàn)，比如一個(gè)用戶，為了圖方便，將多個(gè)系統(tǒng)的密碼都設(shè)置成‘123456’，這種情況還真不少見，特別是管理員帳號(hào)，如果采用弱口令，一旦系統(tǒng)被攻破，損失巨大。由于AI技術(shù)等各類技術(shù)的發(fā)展，身份認(rèn)證技術(shù)和防范措施也變得多種多樣，比如人臉識(shí)別、短信認(rèn)證、圖形驗(yàn)證碼、郵件認(rèn)證、U盾等等，建議多種技術(shù)和因素結(jié)合使用。

4.?訪問控制和權(quán)限管理：對(duì)企業(yè)內(nèi)部的敏感信息和資源實(shí)行訪問控制和權(quán)限管理，以確保只有授權(quán)人員才能訪問這些信息和資源。比如，如下常見措施：

(1)?優(yōu)化身份認(rèn)證和權(quán)限管理技術(shù)，比如采用SSO集中實(shí)現(xiàn)身份認(rèn)證，全面排查關(guān)鍵業(yè)務(wù)功能和關(guān)鍵數(shù)據(jù)的權(quán)限設(shè)置，避免缺失保護(hù)或賦予過大的權(quán)限。

(2)?限制研發(fā)人員對(duì)云服務(wù)器的訪問，故障排查工作要求在運(yùn)維或安全人員的協(xié)助下進(jìn)行，或通過集中日志和監(jiān)控系統(tǒng)獲取信息來排查。

(3)?在研發(fā)中心與公有云之間拉專線，在云端設(shè)立訪問控制機(jī)制，只允許來自研發(fā)中心以及白名單內(nèi)的IP訪問云服務(wù)器（比如安裝堡壘機(jī)或跳板機(jī)）。對(duì)于某些特殊系統(tǒng)或特殊人員，通過VPN訪問公有云上的環(huán)境。

(4)?通過WEB防火墻實(shí)現(xiàn)應(yīng)用的防護(hù)，通過NGNIX實(shí)現(xiàn)訪問與流量控制，通過iptables實(shí)現(xiàn)主機(jī)防護(hù)。

(5)?為了保證外網(wǎng)數(shù)據(jù)傳輸安全，所有與外部系統(tǒng)的通信，將HTTP方式改成HTTPS方式。關(guān)鍵數(shù)據(jù)的傳輸和存儲(chǔ)，必須加密。

5.?安全審核和漏洞管理：定期對(duì)企業(yè)的安全措施進(jìn)行審核和漏洞管理，及時(shí)發(fā)現(xiàn)和修復(fù)潛在的安全漏洞和問題。

(1)?上云前和上云初期，應(yīng)對(duì)所有系統(tǒng)以及云環(huán)境全面漏洞掃描，包括應(yīng)用系統(tǒng)、操作系統(tǒng)、中間件的漏洞掃描等。

(2)?應(yīng)用系統(tǒng)上云初期，對(duì)所有系統(tǒng)做滲透測(cè)試。新建系統(tǒng)以及版本重大變更的系統(tǒng)，系統(tǒng)發(fā)布到云上后，也要做滲透測(cè)試。對(duì)于關(guān)鍵系統(tǒng)，需要定期安排滲透測(cè)試。

(3)?系統(tǒng)上云后，建立安全情報(bào)收集與漏洞修復(fù)機(jī)制與流程，特別要注意0day漏洞和重大漏洞的及時(shí)修復(fù)。

(4)?系統(tǒng)開發(fā)過程中，建立自動(dòng)代碼缺陷檢查與靜態(tài)漏洞掃描與修復(fù)機(jī)制與流程；

(5)?建立漏洞庫(kù)，集中管理和跟蹤漏洞的修復(fù)情況。

?

對(duì)于安全檢測(cè)與響應(yīng)方面，建議采取如下幾項(xiàng)措施：

1.?安全審計(jì)和監(jiān)控：建立完善的安全審計(jì)和監(jiān)控機(jī)制，檢測(cè)和預(yù)防潛在的安全威脅。

(1)?加強(qiáng)監(jiān)控，包括主機(jī)、中間件、應(yīng)用以及服務(wù)鏈路等方面的資源占用、訪問、配置、起停、調(diào)用等行為監(jiān)控，并提前制定預(yù)案，一旦監(jiān)控到異常，啟用預(yù)案。故障解決后，編制報(bào)告，并完善知識(shí)庫(kù)；

(2)?記錄用戶的整個(gè)訪問過程，特別是一些關(guān)鍵操作，比如登錄操作系統(tǒng)、修改關(guān)鍵配置、關(guān)停啟動(dòng)應(yīng)用或服務(wù)、添加刪除文件、上傳或下載文件或數(shù)據(jù)、登錄應(yīng)用、訪問應(yīng)用關(guān)鍵頁(yè)面、調(diào)用關(guān)鍵服務(wù)等等，以便后續(xù)定期或故障發(fā)生后審計(jì)用戶的行為。

2.?集中日志系統(tǒng)：建立集中日志系統(tǒng)，用于收集匯聚各系統(tǒng)的日志，便于故障發(fā)生時(shí)，研發(fā)人員與運(yùn)維人員查看；

3.?應(yīng)急響應(yīng)計(jì)劃：建立和實(shí)施應(yīng)急響應(yīng)計(jì)劃，以應(yīng)對(duì)安全事故和意外事件，并盡快恢復(fù)業(yè)務(wù)?！?/p>

榮叔聽完W總的這一番高論，激動(dòng)得雙手合十：“謝謝，非常感謝！聽君一席話，勝讀十年書，令我茅塞頓開?！?/p>

經(jīng)過和W總的交流后，榮叔終于知道怎么去完善他的那份不成熟的安全方案了！

?

?

?

?

?

?

?

?

?