Chef系统加固的标准和优秀实践

译者 | 陈峻

审校 | 孙淑娟

如果我问您什么方面会与IT基础架构、系统运营管理、加固以及DevOps都有联系 ，准和您可能会脱口而出是优秀“系统加固”  。的实践确 ，系统加固不但是系统拥有多样化基础架构的大型IT团队的日常工作之一 ，而且能够给系统保护带来广泛的加固安全功能。  

下面，准和我将和您探讨什么是优秀系统加固、加固的源码库实践重要性、加固的系统标准
、以及Chef如何帮助DevSecOps团队快速、加固轻松地加固异构化的准和系统 。

什么是优秀系统加固?

系统加固是一种通过减少服务器、应用程序、实践固件、以及其他面向网络的系统级漏洞 ，来抵御网络攻击的方法。系统加固往往需要在基础设施和安全管理工具的服务器租用帮助下来实现。这些工具将有助于审计各种系统、检测潜在的攻击向量、并最小化攻击面 。  

鉴于网络安全攻击对于企业的各种​​影响​​ ，系统加固可以做出针对攻击者的一种战略性防御，去弥补那些经常被用来攻击系统、以及访问敏感数据的系统级漏洞 。下面是一些与系统加固相关的关键性操作： 

删除或禁用不再使用的系统限制各种权限删除多余的建站模板应用程序、端口、功能、以及用户帐户监控各种漏洞

理想情况下，运行漏洞扫描是系统加固的绝好起点。因为它们会发现各种缺失的补丁与安全更新 ，以及那些可被作为攻击入口的开放端口
。系统加固也会要求更改服务与应用程序的默认密码，使用应用防火墙的严格规则来限制或控制流量，启用帐户锁定机制，模板下载以及执行持续的合规性审计。由于系统加固是一个持续的动态过程，因此我们需要事先确定好对此负责的团队，以及可长期实施的系统加固策略。  

目前，大多数企业都会遵循由​​CIS​​（Center for Internet Security，互联网安全中心）
、NIST（National Institute of Standards and Technology，美国国家标准与技术研究院）
、以及ENISA（欧洲网络与信息安全局）等组织颁布的严格的亿华云系统加固准则。不过 ，此类准则并不能让企业一劳永逸。企业需要持续通过构建多层次的深度安全防御原则，在不减少应用程序和操作系统的特性与功能的基础上，来缩小各种网络攻击面。  

从广义上讲，系统加固可被分为如下类型： 

服务器加固：旨在保护服务器上的端口、功能
、数据 、以及权限 。涉及到的源码下载技术包括：对服务器软件予以定期更新
、打补丁，以及使用强密码机制 。软件加固：通过编辑或更新应用程序代码，来升级所有应用程序的安全措施，以应对各类攻击
。操作系统加固：旨在保障所有端点上运行的操作系统的安全 。涉及到的技术包括
：更新系统级的补丁，以及限制访问操作系统的帐户。数据库加固 ：旨在保障数据库和DBMS的安全 。涉及到的技术包括 ：限制用户的访问权限 ，禁用不必要的服务
 ，以及加密数据库里的信息等。网络加固：旨在保障服务器和端点之间的网络中，所有通信通道的安全。系统加固的重要性 

系统加固极大地降低了网络攻击的风险 。在系统级的审计中，一种常见的违规原因便是那些导致“合规性漂移（compliance drift）”的配置更改。也就是说，我们每次在添加新的服务器
、用户 、以及应用程序时，都有可能产生新的漏洞。  

一种常见现象是 ：当企业拥有多种可配置的大量软硬件资产时，安全运维人员都需要花时间以手动或自动的方式，对新 、旧资产根据CIS之类的基准予以配置与调整。而在完成的时候 ，他们却无法保证没有引入新的错误 。正是由于此类现象在各种IT生态系统中都普遍存在 ，因此我们需要特别注意那些不断变化的IT基础架构，确保对其动态的安全配置和持续合规性进行检查 。对此 ，企业往往需要实施自动化的工具 ，通过持续监控和审计异构的IT资产 ，来保证能够在出现偏差时 ，及时补救并协助加固IT系统。  

系统加固的优秀实践 

既然系统加固是一个必不可少的过程，那么我们综合了NIST和CIS颁布的优秀实践标准，提出如下全面加固系统的策略  ：

遵守CIS、NIST
、ENISA等系统加固标准基于企业的特定需求，制定系统加固计划使用基于CIS基准的安全审计工具，来执行持续审计、并识别系统中的漏洞使用自动化的漏洞扫描与修补工具，识别缺失的补丁、错误的配置、安全类更新 ，进而快速执行漏洞的修复运用强大的用户权限与访问规则，删除整个基础架构中不必要的帐户和权限使用由CIS认证的自动化合规工具，自动产生合规性偏差报告和修复建议

系统加固建议图

系统加固与Chef Compliance

Chef Compliance是一种自动化的解决方案，其中包括CIS和​​DISA STIG​​的各项基准，可被用于审计和修复系统中的各种漏洞 ，以促进IT生态系统的合规与安全 。在Chef Compliance中，企业可以同时使用Chef Infra（配置管理）和Chef InSpec（合规性）两个模块，来实现：

执行持续审计
，评估异构资产的当前配置与状态根据CIS和STIG推荐的基准
，纠正错误的配置对特定控制的审计 ，谨慎使用例外和豁免自定义现有的补救内容，以满足企业的需求如果安全基准受到了破坏 ，则应回滚到最后一次已知的可信状态从单一的仪表板处，查看所有端点的配置与合规状态

借助Chef Compliance，企业可以保持跨混合云和多云环境的安全性，同时提高DevOps流程的整体效率。同时 ，IT团队能够在Chef的持续安全审计与修复的帮助下，执行系统加固，从而检测和修复不同IT组件中的漏洞。由于IT管理员获得了完全的可见性，因此他们很容易根据企业的实际要求，去调整基线 ，以及轻松地维护合规性配置文件。同时，他们也能够针对大规模的分布式混合与边缘基础设施，实施系统级别的加固
。 

获取 
、定义、监控、补救和报告

使用Chef进行系统加固的优势

从安全性和合规性的角度来看
，使用Chef进行系统加固的优势主要体现在： 

改进的安全态势：通过CIS和STIG的标准化配置文件，可持续开展审计和修复 ，确保降低系统的数据泄露、漏洞被利用、恶意软件的安装、未经授权的访问等风险。更好的可审计性：Chef精心规划的配置文件 ，能够使得复杂的安全审计，变得更容易 、更快速、更透明，进而能够交付出适用于主流平台和操作系统的、易于阅读的代码。改进的系统功能：凭借着无差错（error-free）的自动化 、针对流程的提速 、配置的一致性、以及全面安全的基础设施 ，Chef提高了系统的整体效率、以及DevOps团队的生产力。通过Chef InSpec扫描来检查系统加固的态势

如果您正在为系统加固寻找自动化工具，以确保异构IT资产的合规性 ，请下载免费版的​​Chef Workstation​​ ，并针对Windows或Linux系统，运行公开可用的Chef InSpec配置文件。  

无需额外安装 ，您可以仅在目标节点上使用如下提供的DevSec基线 ，以分析Linux和Windows的系统态势。由于下面的命令会从GitHub中提取内容，因此您无需克隆存储库。通过提供SSH或WinRM的相关凭据
，您可以扫描本地、云端、以及边缘系统中的IT资产：

Linux：DevSec的​​Linux基线​​$ inspec exec-t ssh://user@node -i ~/.ssh/id_rsaWindows
：​​Windows基线​​$ inspec exec-t winrm://user:password@node

无论您的系统最初是如何配置的，这些简单的命令都会立即报告各种已通过的和失败了的测试结果，并且能够突出显示那些易受攻击的地方 。同时，Chef Automate（Chef生态系统的仪表板）的用户也可以利用各种默认的 、或自定义的系统加固配置文件，使用Chef Compliance去安排定期扫描
。 

译者介绍

陈峻 （Julian Chen），51CTO社区编辑 ，具有十多年的IT项目实施经验，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验；持续以博文、专题和译文等形式，分享前沿技术与新知；经常以线上 、线下等方式，开展信息安全类培训与授课 。

原文标题：​​System Hardening Standards and Best Practices With Chef​​，作者：Anugraha Benjamin