Некоторые в нашей инфраструктурной группе хотят обновить систему, чтобы начать использовать преимущества новых функций в RHEL 6. В прошлом я полагался на Руководство по АНБ (www.nsa.gov/ia/_files/os/redhat/rhel5-guide- i731.pdf) для защиты установок RHEL 5 и CentOS 5. Я считаю это руководство бесценным.
У кого-нибудь есть опыт защиты RHEL / CentOS 6 подобным образом? Если да, то какие ресурсы (письменные или консультативные) вы использовали?
Я слышал от некоторых коллег, что версия 6 по-разному значительно отличается от версии 5, поэтому я не хочу оставлять зияющие дыры в нашей безопасности, потому что я не учел эти различия должным образом.
Является ли собственное руководство Red Hat для RHEL 6 ( http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html ) действительно достаточным?
Пойдет ли кто-нибудь до того, что скажет, что, если у вас нет веской функциональной причины, вам следует отложить обновление с 5 до 6, пока какая-то группа, например АНБ, не сможет подготовить руководство, специфичное для версии, которую вы пытаетесь защитить?
Я ценю любые ваши отзывы, даже если они направляют меня на более подходящий форум.
С Уважением,
Майк
источник
Ответы:
Майк,
Есть, как правило, несколько источников хороших руководств по усилению безопасности.
В моей работе мы используем комбинацию DISA STIG вместе с puppet для Linux. Я с большей вероятностью скажу, что это неадекватно, и настаиваю на некоторых рекомендациях ниже.
Имейте в виду, что вышеуказанные направляющие для закалки имеют перекрытие и некоторые недостающие области. Рекомендуется отслеживать все параметры конфигурации с помощью руководства в базе данных или электронной таблице, чтобы обеспечить максимальный охват.
Альтернативный способ сделать то же самое - создать сценарии повышения безопасности или аудита на основе вышеизложенного, а затем запустить собственный аудит, чтобы выяснить, в чем разница между различными стандартами.
Я не верю, что руководств RHEL достаточно - я предпочитаю выходы NSA, DISA и NIST. Но руководства Red Hat - отличная отправная точка.
Поскольку АНБ и DISA начинают работу над ужесточением стандартов заблаговременно, это может быть хорошим источником для вас. Если у вас есть друг в DoD, вы также можете получить доступ к предварительным материалам. В связи с текущим состоянием DISA STIG для Red Hat, я бы сказал, что АНБ, скорее всего, произведет что-то быстрее. Я могу проверить с ними и посмотреть, где они. Я бы порекомендовал начать переходить к 6 в тестовой среде прямо сейчас. Проверьте свои сценарии закалки в 6.
Привлечение сторонней помощи для разработки руководства по усилению безопасности
Подумайте о сотрудничестве с инженером по безопасности, который специализируется на усилении безопасности Linux, чтобы подготовить для вас руководство. Red Hat может также предоставлять своих сотрудников для выполнения заданий, чтобы ускорить разработку мер безопасности.
Все, что вы сказали до сих пор, указывает на подход должной осмотрительности и разумную безопасность. Исходя из этого, я думаю, учитывая вышеизложенное, вы можете перейти к RHEL6. Однако я собираюсь добавить некоторые дополнительные задачи, которые вы могли бы рассмотреть, поскольку я предполагаю, что вы работаете в регулируемой среде, которая очень заботится о безопасности.
Пополнение вашего подхода с помощью оценки рисков
Если вы хотите поднять свой подход на следующий уровень и обосновать его таким образом, чтобы он прошел проверку даже самого удерживающего аудитора, рассмотрите возможность проведения полноценной оценки риска развития с использованием NIST 800-30 вместе с конкретными наборами средств управления, используемыми в вашем промышленность. Это подтверждается тестированием и анализом безопасности. Формализация оценки рисков позволит получить хорошую документацию о рисках, представленных в ходе дальнейшего изучения RHEL6, и некоторых потенциальных компенсационных мер контроля, которые вы можете добавить, чтобы поддержать любые потенциальные недостатки.
Добавление теста на проникновение
Принимая это даже за пределы оценки риска, вы можете нанять тестера проникновения с сильным опытом работы в Linux, чтобы попытаться проникнуть в белый или черный ящик вашего хоста RHEL6 после некоторых безопасных конфигураций. Защищенная базовая операционная система может не иметь большой поверхности атаки, поэтому загрузка ее приложениями представит гораздо более реалистичную платформу для атаки, которая позволит вам лучше понять потенциальные направления атаки. Обернувшись вокруг в конце, используя отчет об испытаниях пером, вы могли бы расширить свою предыдущую работу, закрыть любые пробелы, добавить дополнительные элементы управления и перейти к операциям с гораздо более теплым и размытым.
источник
Ожидается, что RHEL 6 STIGS будет завершен к 13 мая 2013 года. Вы можете следить за информацией в Списке рассылки Red Hat Gov-Sec.
источник