互联网企业安全指南(一):基础架构安全

TL;DR - 互联网企业安全漫谈,本系列将持续更新
1.外部攻击

攻击方式及应对策略

1.) DDOS流量型(Syn、UDP等)
a.)攻击域名(case.zer0d0y.com) ---> CDN服务提供商
# 应对策略:
①.依赖CDN服务提供商
②.第三方服务或运营商核心节点数据中心

b.)攻击IP ---> LVS或后端服务器IP
# 应对策略:
①.公开指定IP(防火墙、WAF设备)
②.第三方服务或运营商核心节点数据中心
2.) Web HTTP相关Flood
a.)攻击域名(后端域名:cyqzmain.zer0d0y.com,case.zer0d0y.com 有CDN服务可以不考虑)
# 应对策略:
①.WAF
②.LVS + Nginx + lua
3.)DNS,查询Flood
a.)Query Flood(故障现象:域名无法解析,网站打不开)
# 应对策略:
①.第三方服务(高防DNS)
2.网络层(边界)安全
1.) 访问控制
a.)管理接口:只允许固定IP and/or 堡垒(跳板)机访问
b.)接口及端口:服务器监听内网接口
3.网络层(内部Lan)安全
1.) 设备安全
a.)ARP攻击、L2攻击(如,VTP Hopping)
2.)数据传输安全
a.)避免明文传送(数据走内网也需要加密!!!)
4.系统层(OS)安全
1.) 访问控制: 认证
a.)跳板机/Red Hat IDM
2.)加固(Hardening)
a.)Kernel Grsecurity/PaX补丁,MAC(SELinux/AppArmor)
b.) Kernel Livepatch(OS内核安全Patch,无需重启)
c.) 自动更新安全补丁
d.) 组件最小化,只安装必要组件
e.) 文件系统完整性监控(Audit、Monit)
f.) 权限控制(禁用远程root登录、sudo)
g.) 密码策略(密码强度、定期更新)
h.) 主机层面访问控制(Iptables 限制(性能及安全问题(raw sockets、tracking helpers)),SSH可选安全(port knock,two factor authentication))
5.应用服务层(Nginx/Tomcat等)

基本原则:

①.最新版(发行版自带、自编译)
②.Patch
③.监听Loopbook或内网接口
6.访问层(业务逻辑)(数据库、Web、接口等)
1.) 数据加密
a.) 传输加密,如HTTPS
b.) 数据加密,如密码加密
2.) 攻击方式
a.) CC攻击(Http Get/Post等)
# 应对策略:
Waf/Nginx/程序请求比率限制

b.) 注入攻击(Mysql、Redis、Web)
# 应对策略:
Mysql/Redis基本安全设置,CSP(内容安全策略)
Todo(需要先进行渗透传输和代码设计)
7.物理安全
1.)BIOS加密
2.)磁盘加密
3.)启动管理器(Grub)加密
8.操作安全
1.)操作规范(非常重要)
2.)运维工作站安全
3.)密码管理器
9.安全监控&应急响应&数字取证
1.) 安全监控:网络
a.) 部署Bro NSM(入侵检测、流量分析等等),在核心交换机使用端口镜像把流量复制到Bro
2.) 安全监控:主机
a.) 把相关日志推送到ELK Stack
3.) 应急响应&数字取证
a.) 网络取证
工具:Bro NSM

b.) 磁盘取证

c.) 内存取证
工具:LiME、Volatility 
10.渗透测试
11.0day和APT攻击
12.不同维度
13.参考资料
1.https://www.zer0d0y.info/post/DevSecOps/
2.http://www.ayazero.com/
3.https://cloud.google.com/security/
comments powered by Disqus

作者:Zer0d0y
微信关注:Zer0d0y
本文出处:https://www.zer0d0y.info/post/advanced-enterprise-security-guidelines-for-internet-companies/
本站评论使用Disqus,如果长时间无法加载,请切换至“自由”互联网。
文章版权归本人所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。