IT安全防护

单手暴扣
安全
2022-12-05
15热度
0评论

概述
- 什么是 IT 安全防护？
- IT 安全性对企业有何重要性？
Linux安全防护
容器安全防护
零信任安全防护
云安全防护
混合云安全防护
API 安全防护
恶意软件
CVE

概述

IT 安全性是一个涵盖性术语，其涵盖的内容包括网络、互联网、终端、API、云、应用、容器安全性等等。要实现 IT 安全性，就需要制定一系列能够协同配合的安全策略，以帮助保护您的数字数据。不久之前，IT 安全性还是开发周期结束时要检查的一个要点。但是，这种方式不够简便。现在，企业都在探寻适合的集成式安全程序创建方式，以便加快适应步伐、提高工作效率。您可以将其视为内置型安全防护（而非扩展型安全防护）。

什么是 IT 安全防护？

IT 安全防护旨在保护信息技术的健全，如保护计算机系统、网络和数据免受攻击、损坏或未经授权的访问。要想致胜于数字化转型世界，企业需要了解如何采用从设计环节就开始抓起的安全解决方案。这就是"安全防护左移"的具体含义——尽早把防护问题纳入基础架构和产品生命周期中。这能让安全防护更具前瞻性、更有响应力。

持续安全需要一个常规的反馈和采用系统来实现，并且通常会使用自动检查点。自动化可确保快速有效地进行反馈，并且不会影响产品生命周期的推进速度。以这种方式集成安全功能还意味着，可以随着安全形势的变化快速而全面地实施更新和响应。

IT 安全仍然是企业的首要投资重点。这份检查清单详细说明了现代化策略的关键安全性相关功能，助您释放资源，降低安全性与合规性风险。

IT 安全性对企业有何重要性？

传统 IT 安全防护侧重于强化、维护和监督数据中心边界——但现在，这一边界正在逐步消融。我们开发、部署、整合和管理 IT 的方式正在发生剧变。公共云和混合云的崛起，将监管合规性和安全性职责重新分配给多个供应商。要想大规模地采用容器，就需要使用全新的方式来分析、保护和更新应用的交付。移动应用会分布于大量的设备中，并且有越来越多的基础架构正从硬件迁移至软件。传统的安全管理方式无法应对这样的变化。企业需要更改安全计划，实现数字化转型——在数字世界中，安全防护必须长效持续、集成而灵活。

对于某些企业而言，要确保安全防护，就必须得雇用企业信息安全官（BISO）。BISO 会深入到业务的方方面面，参与从设计到交付和采用的整个产品生命周期。他们直属于首席信息安全官（CISO），旨在确保在每个阶段都能周全地管理和集成各种安全事务，平衡安全需求与业务风险，从而保障快速交付工作正常的产品和服务。

Linux安全防护

安全增强型 Linux（SELinux）是一种采用安全架构的 Linux® 系统，它能够让管理员更好地管控哪些人可以访问系统。它最初是作为 Linux 内核的一系列补丁，由美国国家安全局（NSA）利用 Linux 安全模块（LSM）开发而成。

SELinux 于 2000 年发布到开源社区，并于 2003 年集成到上游 Linux 内核中。

什么是 SELinux

SELinux 于 2000 年发布到开源社区，并于 2003 年集成到上游 Linux 内核中。

SELinux 工作原理

SELinux 定义了每个人对系统上的应用、进程和文件的访问控制。利用安全策略（一组告知 SELinux 哪些能访问，哪些不能访问的规则）来强制执行策略所允许的访问。

当应用或进程（称为主体）发出访问对象（如文件）的请求时，SELinux 会检查访问向量缓存（AVC），其中缓存有主体和对象的访问权限。

如果 SELinux 无法根据缓存对权限做出访问决定，它会将请求发送到安全服务器。安全服务器随即检查应用或进程和文件的安全环境，确认其是否匹配 SELinux 策略数据库的安全环境。之后便根据检查授予权限或拒绝。

如果被拒绝，/var/log.messages 中将会显示消息"avc: denied"。

如何设置 SELinux

您可以通过多种方式来配置 SELinux，以保护您的系统。最常见的是目标策略或多级安全防护（MLS）。

目标策略为默认选项，它涵盖了多种流程、任务和服务。MLS 则极为复杂，通常只有政府机构才会使用。

您可以查看 /etc/sysconfig/selinux 文件，以判断系统所采用的配置方式。该文件中有一部分会显示 SELinux 是处于允许模式、强制模式还是处于禁用状态，以及要加载哪个策略。

SELinux 标签和类型强制访问控制

类型强制访问控制和标签是 SELinux 中最为重要的两个概念。

SELinux 可作为标签系统运行，也就是说，系统中的所有文件、进程和端口都具有与之关联的 SELinux 标签。标签可以按照逻辑将目标组合分类。在启动过程中，内核负责管理标签。

标签的格式为 user:role:type:level（level 为可选项）。User、role 和 level 用于类似 MLS 的更高级的 SELinux 实施中。标签类型对于目标策略而言最为重要。

SELinux 利用类型强制访问控制来强制执行系统中定义的策略。类型强制访问控制是 SELinux 策略的一部分，它定义了特定类型的进程能否访问标记为特定类型的文件。

如何启用 SELinux

如果您的环境中禁用了 SELinux，则可以通过编辑 /etc/selinux/config 并设置 SELINUX=permissive 来启用 SElinux。由于 SELinux 当前尚未启用，因此最好不要将其设为立即强制执行，因为此时系统可能会出现误标记的事件，它会妨碍系统的正常启动。

您可以在根目录中创建名为 .autorelabel 的空文件，然后重新启动，以此来强制系统自动重新标记文件系统。如果系统中错误过多，应在允许模式下重新启动，以确保启动成功。重新标记所有内容后，利用 /etc/selinux/config 将 SELinux 设置为强制模式并重新启动，或运行 setenforce 1。

如果系统管理员不太熟悉命令行，还可以选择用于管理 SELinux 的图形工具。

针对 Linux 发行版中内置的系统，SELinux 提供了一道额外的防护层。保持开启 SELinux，就能在系统遭到破坏时保护您的系统。

自主访问控制（DAC）与强制访问控制（MAC）

传统上， Linux 和 UNIX 系统都采用 DAC，而 SELinux 是 Linux 采用 MAC 系统的示例。

对于 DAC 而言，文件和进程都有相应的所有者。您可以让用户拥有某个文件，让群组拥有某个文件，或让其他人（可以是其他任何人）拥有某个文件。用户可以更改自己文件的权限。

根用户对 DAC 系统拥有完全访问控制权。如果您拥有根访问权限，则可以访问其他任何用户的文件，或在系统上执行任何操作。

但在像 SELinux 这样的 MAC 系统上，访问权限有相应的管理设置策略。即使主目录上的 DAC 设置发生更改，SELinux 策略也会阻止其他用户或进程访问目录，从而保证系统的安全。

SELinux 策略可以让您针对性设置，并且涵盖大量进程。您可以对 SELinux 进行更改，以限制用户、文件、目录等等之间的访问。

如何处理 SELinux 错误

当 SELinux 发生错误，您需要及时采取对策。常见问题不外乎以下 4 种：

标签错误。如果标签不正确，您可以使用工具来修复标签。
策略需要修复。可能是指您需要将所做的更改通知给 SELinux，或是可能需要调整策略。您可以利用布尔值或策略模块对其进行修复。
策略中存在错误。可能是策略中存在需要消除的错误。
系统已损坏。尽管 SELinux 在很多情况下可以保护您的系统，但系统仍存在受损的可能。如果您怀疑是这种情况，请立即采取相应的措施。

什么是布尔值？
布尔值是 SELinux 中功能的开/关设置。开/关 SELinux 功能的设置有数百种，而且许多设置已预定义。您可以通过运行 getsebool -a，找出系统中已设置的布尔值。

容器安全防护

容器能简化应用或服务的构建、封装与推进，而且这种简化跨越不同的环境和部署目标。然而，容器安全性面临着一些挑战。

静态安全策略和检查清单无法针对企业内的容器进行扩展。供应链需要更多的安全策略服务。团队需要权衡容器的网络与监管需求。构建与运行时工具和服务需要分离。

容器安全是指保护容器的完整性。这包括从其保管的应用到其所依赖的基础架构等全部内容。容器安全需要完整且持续。通常而言，企业拥有持续的容器安全包含以下方面：

保护容器管道和应用
保护容器部署环境和基础架构

如何将安全内置于容器管道

按照这些步骤操作：

收集镜像

容器从一层层的文件创建而来。容器社区通常将这些文件称为"容器镜像"。对安全而言，基础镜像至关重要，因为它要用做创建衍生镜像的起点。容器安全从寻找基础镜像的可信来源开始。不过，即使是使用受信任的镜像，添加应用和更改配置也会带来新的变数。在引入外部内容以构建应用时，您需要预先考虑内容管理。

整合企业安全工具，遵循或增强现有的安全策略

容器广受欢迎，因为它能简化应用或服务及其所有依赖项的构建、封装与推进，而且这种简化涵盖整个生命周期，并且跨越不同的环境和部署目标。然而，容器安全依然面临着一些挑战。静态安全策略和检查清单无法针对企业内的容器进行扩展。供应链需要更多的安全策略服务。团队需要权衡容器的网络与监管需求。构建与运行时工具和服务需要分离。

file

将安全性内置于容器管道，可以为您的基础架构增添防护，从而保障容器的可靠性、可扩展性和信赖度。

在收集容器镜像时，思考以下问题：

容器镜像是否有签名并且来源可信？
运行时和操作系统层是否处于最新状态？
容器的更新速度和频率如何？
已知问题是否已确定？如何跟踪？

管理访问权限

获取了镜像后，下一步是管理您团队使用的所有容器镜像的访问权限和升级。这意味着要保护好您下载和构建的镜像。私有注册表可帮助您利用基于角色的分配来控制访问权限，也有助于您通过分配元数据到容器来管理内容。元数据可以提供辨别和跟踪已知漏洞等所需的信息。私有注册表也为您提供相应的功能，为您存储的容器镜像实现自动化和分配策略，同时最大限度减少可能为容器带来漏洞的人为错误。

在决定如何管理访问权限时，思考以下问题：

可以利用哪些基于角色的访问控制来管理容器镜像？
有没有可协助镜像整理的标记功能？能否对镜像进行标记，仅允许用于开发、测试或生产用途？
注册表是否提供跟踪已知漏洞所需的可见元数据？
能否利用注册表来分配和自动化策略（例如，查验签名和扫描代码等）？

整合安全测试和自动化部署

管道的最后一步是部署。完成构建之后，您需要按照行业标准进行管理。此处的诀窍是，了解如何通过自动化策略对构建进行安全问题标记，特别是在发现新的安全漏洞时。由于容器修补必定不如重新构建容器的解决方案，因此整合安全测试时应当要考虑能触发自动重新构建的策略。在这一步中，首先是运行能跟踪和标记问题的组件分析工具。其次是开发相应的工具来实现基于策略的自动化部署。

在整合安全测试和自动化部署时，思考以下问题：

如何避免修补运行中的容器，而使用触发器来通过自动化更新重新构建和替换容器？

保护基础架构

另一层容器安全性是主机操作系统（OS）提供的隔离。您需要可以提供最大程度容器隔离的主机 OS。这是保护容器部署环境的一个重要组成部分。利用容器运行时启用主机 OS，最好是通过编排系统来管理。若要使容器平台具有弹性，可使用网络命名空间来隔绝应用和环境，并通过安全挂载来附加存储。API 管理解决方案中应包含身份验证和授权、LDAP 集成、端点访问控制和速率限制。

在决定如何保护容器基础架构时，思考以下问题：

哪些容器需要相互访问？它们要如何发现彼此？
如何控制对共享资源（如网络和存储）的访问和管理？
如何管理主机更新？是否所有容器需要同时进行更新？
如何监控容器的健康状况？
如何自动扩展应用容量以满足需求？

红帽实施容器的优势

红帽® OpenShift® 中包含红帽企业 Linux®。它可以自动化容器应用生命周期，将安全性整合到容器管道中，并在设计中纳入开发运维团队理念。通过我们的容器目录，您可以访问众多认证镜像、语言运行时、数据库和中间件，它们能够在运行红帽企业 Linux 的任何位置上运行。红帽提供的镜像全部经过签名和认证，具有出处和完整性保障。

我们会监控我们的容器镜像中是否有新发现的漏洞（包括持续更新和公开发布的健康指数），同时也会发布安全性更新和容器重新构建并推送到公共注册表。您可以随时查看我们的年度红帽产品安全风险报告，其详细说明了我们每年对影响全球企业软件已知安全漏洞的应对措施。

红帽的安全合作伙伴可通过已获得认证的集成来扩展和增强我们的容器安全能力。红帽 OpenShift 在平台中内置了安全功能，与我们的安全合作伙伴解决方案相辅相成，可帮助保障应用和容器在整个开发运维生命周期中的安全。

此外，也有以下精彩功能供您选用：

全网范围容器编排和管理
功能丰富且支持多用户协作的 Web 控制台
CLI 和 IDE 接口
构建自动化和源至镜像
利用 CI 进行整合
部署自动化
支持远程存储卷
简化安装和管理
支持多种编程语言、框架和服务

零信任安全防护

零信任是一种设计安全防护架构的方法，它基于这样一个前提：所有交互都是从不信任状态开始的。这与传统的架构相反，后者可能会根据通信是否始于防火墙内部来判断是否可信。具体而言，零信任力求弥合依赖隐式信任模型和一次性身份验证的安全防护架构中的缺口。

零信任得到了广泛普及，因为全球威胁格局已经改变，对关于网络内活动天生值得信任这种长期以来的假设提出了挑战。组织严密的网络犯罪分子可能会招募内部人员，同时继续寻找新的方法来突破传统安全防护架构的外壳。制作精良的黑客工具和商业化勒索软件即服务平台越来越容易获得，使得新一类以牟取金钱为动机的犯罪分子和网络恐怖分子更加轻易地得逞其阴谋。所有这些威胁都有可能泄露珍贵数据，扰乱业务和商业，并对人们生活造成影响。

云安全防护

虽然很多人都清楚云计算的优点，但却因各种安全威胁而对其望而却步。我们知道，对于介于互联网发送的无定形资源与物理服务器之间的事物，您一定很难理解。其实，它是一种不断变化的动态环境。例如，其面临的安全威胁会不断变化。

云安全防护是指保护云计算所涉及的数据、应用和基础架构。云环境（无论是公共、私有还是混合云）需要考虑的安全因素与内部 IT 架构存在诸多共同之处。

主要安全顾虑包括：未经授权的数据披露和泄漏、薄弱的访问控制、易受网络攻击、可用性中断。不管是传统 IT 系统，还是云系统，都会受到这些隐患的影响。和任何计算环境一样，云安全防护也涉及持续提供充分的预防性保护，从而使您能够：

确信数据和系统安全无虞。
能够掌握当前的安全状态。
及时知晓所有异常情况。
能够跟踪意外事件并做出响应。

云安全有何不同

虽然很多人都清楚云计算的优点，但却因各种安全威胁而对其望而却步。我们知道，对于介于互联网发送的无定形资源与物理服务器之间的事物，您一定很难理解。其实，它是一种不断变化的动态环境。例如，其面临的安全威胁会不断变化。也就是说，在很大程度上，云安全防护就是 IT 安全防护。在理清这两者的具体区别之后，您就不会再觉得"云"这个词没有安全感了。

一、边界消融

安全与访问权限密切相关。传统环境通常会利用边界安全模型来控制访问权限。云环境具有很高的连通性，这使得流量能够轻松地绕过传统的边界防御措施。不安全的应用编程接口（API）、不严格的身份和凭据管理、帐户劫持以及存在恶意企图的内部人员，都会致使系统和数据面临各种威胁。要防止对云端的未经授权访问，您需要改用以数据为中心的方案。对数据进行加密。改进授权流程。使用高强度密码和双重身份验证。确保每个层级都安全无虞。
file

二、如今，一切都处于软件之中

"云"是指通过软件交付给用户的托管资源。云计算基础架构及其处理的所有数据都是动态、可扩展且可移植的。要控制云的安全性，就要对各种环境变量以及与之相关的静态及动态工作负载和数据作出响应，既可以通过工作负载的内在措施（如加密）作出响应，也可以利用云管理系统和 API 作出动态响应。这有助于防止云环境发生系统损坏和数据丢失。
file

三、复杂的威胁局势
复杂威胁是指会对现代化计算（当然也包括云计算）造成不利影响的所有威胁。越来越多的复杂恶意软件和其他攻击，比如高级持续性威胁（APT），都会通过利用计算堆栈中的漏洞来绕开各种网络防御措施。数据泄露可能会引发未经授权的信息披露和数据篡改。对于这些威胁，除了及时采取会随着新出现的威胁不断改进的云安全防护实践之外，没有任何明确有效的解决方案。
file

云的安全，人人有责

无论您采用的是哪种云部署，您都要负责确保自己的空间在这个云环境中安全无虞。即使所用的云环境由他人负责维护，也不代表您可以（或应该）放松警惕。未进行详尽的尽职调查是造成安全故障的主要原因之一。云的安全防护是每个人共同的责任。具体措施包括：

一、使用可信软件
云环境中所部署的对象至关重要。与从外部来源下载的所有代码一样，您要知晓软件包的来源、构建者以及是否含有恶意代码。从已知的可信来源获取软件，并确保实施相应的机制以及时提供和安装更新。

二、了解合规性
个人、财务和其他敏感数据可能会受到相关合规性法规的严格监管。这些法律因您的业务所在地（及业务合作伙伴）而异；例如，请参阅欧盟颁布的"一般数据保护条例"（GDPR）。在选择云部署之前，请先查看您的合规性要求。

三、管理生命周期
在云原生环境中，您虽能快速部署新实例，但也很容易忘掉旧实例。被忽略的实例可能会在云中处于僵尸状态（即处于活动但未受监控的状态）。这些被遗弃的实例可能很快就会过时，所以不会再有新的安全补丁可供安装。生命周期管理和监管策略则有助于解决这一问题。

四、注重可移植性
您能否轻松地将工作负载迁移到其他云环境中？服务级别协议（SLA）应该明确规定云提供商应在何时、以何种方式归还客户的数据或应用。即使近期无需进行此类迁移，您未来也可能需要实施这一操作。所以，现在就应将可移植性纳入考虑范围，未雨绸缪，以免日后面临供应商锁定问题。

五、连续监控
监控工作场所的当前状况有助于避免出现安全漏洞（或者至少能防止其造成不良影响）。统一的云管理平台（如红帽 CloudForms）有助于监控各个环境中的各种资源。

六、配备适合的人员
聘用值得信任且了解云安全复杂性的合格人员，并与他们密切合作。有时，公共云的基础架构可能要比某个企业的私有云更安全，因为公共云提供商拥有更全面的信息和更出色的安全团队。

公共云安全吗

现在，我们来深入探讨一下。我们可以详细说明 3 种云部署方案（公共云、私有云和混合云）之间的安全性区别，但我们知道，您真正想知道的是"公共云安全吗？" 这要看具体情况。

公共云能为多种工作负载提供恰当的安全保障，但不能保证所有工作负载都安全无虞，这很大程度上是因为公共云并不具备私有云的隔离功能。公共云支持多租户，这意味着您可以从云提供商和其他"租户"处租用计算能力（或存储空间）。每个租户都会与云提供商签署 SLA，以明确相关人员各自的职责。这就像向房东租赁物理空间。房东（云提供商）要承诺维护建筑物（云基础架构）、保管钥匙（访问权限），通常还要保证远离租户（隐私）。相应地，租户则要承诺不做出任何会破坏建筑物完整性或干扰其他租户的行为（例如，运行不安全的应用）。但是，您没法选择自己的邻居，所以您最后可能会遇到一位会做出危险举动的邻居。虽然云提供商的基础架构安全团队会密切留意各种异常事件、隐秘或具攻击性的威胁，如恶意的分布式拒绝服务（DDoS）攻击，但是其他租户仍有可能受到负面影响。

值得庆幸的是，云安全联盟已经制定了一些业界认可的安全标准、规则和控制框架，如云控制矩阵。您还可以部署额外的安全措施（如加密和 DDoS 迁移技术）将自己与多租户环境隔离，以免工作负载受到被入侵的基础架构的影响。如果这样还不够，您也可以使用云接入安全代理，监控低风险企业功能的活动情况并针对这些功能实施相应的安全策略。不过，对于受到严格的隐私、安全和合规性法规监管的行业而言，上述所有措施加起来可能仍无法满足其需求。

利用混合云降低风险

安全决策在很大程度上取决于风险承受能力和成本效益分析结果。安全决策的潜在风险和益处会对企业的整体运营状况产生什么影响？哪些要素最为关键？并非所有工作负载都需要最高级别的加密和安全性。例如：尽管锁上家门即可确保财产相对安全，但您可能还是会将贵重物品锁到保险箱中。有多种选择是件好事。

所以才会有越来越多的企业选择部署混合云，他们看中的就是混合云能充分发挥各种云环境的优点。混合云由 2 个或以上的公共云和私有云环境组合而成。

混合云允许您根据合规性、审计、政策或安全需求，来选择工作负载和数据的存放位置，以保护私有云上极为敏感的工作负载，并在公共云上运行敏感性较低的工作负载。混合云存在一些特有的安全问题（如数据迁移、更高的复杂性和更大的攻击面），但是同时部署多个环境仍是防御安全风险的最有效方式之一。

混合云安全防护

混合云环境为用户提供了很多选择和极大的灵活性。您可以把敏感或关键数据保留在公共云之外的环境中，同时利用云来存储无关风险的数据。以下是在混合云安全性方面会遇到的一些挑战，以及为克服这些挑战所需用到的一些工具。

混合云安全防护是指跨多种 IT 环境（至少包含一个公共云或私有云），保护与 IT 架构（其中整合了一定程度的工作负载可移植性、编排和管理）相关联的数据、应用和基础架构。

混合云能让您有效减少数据的潜在风险。您可以把敏感或关键数据保留在公共云之外的环境中，同时利用云来存储无关风险的数据。

为什么选择混合云来增强安全防护

混合云允许企业根据合规性、审计、政策或安全需求，选择工作负载和数据的存放位置。

虽然构成混合云的各种环境都是独一无二的独立实体，但是通过容器或有助于传输资源和工作负载的加密应用编程接口（API），用户可以轻松便捷地完成这些实体间的迁移操作。正是借助这个独立却又彼此互连的架构，企业才能在私有云中运行关键工作负载，并减少公共云中的敏感工作负载。这样设置既可将数据泄漏风险降到最低，又能让企业自定义灵活的 IT 产品组合。

混合云安全防护有哪些挑战

一、保护您的数据
通过加密限制企业的数据泄露。在不同的时刻，同样的数据必然处于传输或静止两种状态之间。无论在其中的任一状态，您都需要各种安全防护来限制数据泄露。

二、合规与治理
如果您从事于医疗保健、财务或政府等监管严格的行业，采用混合云基础架构前，可能还要考虑其他因素。您需要了解如何查看分布式环境以确保它们符合要求；如何实施自定义或监管安全基线；以及如何为安全审计做好准备。

三、供应链中的安全防护
混合云环境通常在一个复杂的生态系统中容纳了来自多个供应商的产品和软件。您需要了解您的供应商如何测试和管理他们的软件和产品。了解供应商何时以及如何检查源代码、他们遵循的方式和实施指南，以及供应商如何以及何时能提供更新和补丁。

混合云安全防护的组成要素

与一般计算机安全防护一样，混合云安全防护也由三部分组成：物理、技术和管理。

物理控制用于保护实际硬件的安全。例如锁、防护装置及安防摄像头。

技术控制是 IT 系统自身设计的保护措施，例如加密、网络身份验证和管理软件。许多用于混合云的最强大的安全防护工具都属于技术控制。

最后，管理控制是指通过一些计划，帮助人们以更安全的方式行事，例如培训和灾难应急计划。

混合云安全防护中的物理控制

混合云会跨越多个位置，这使得物理安全成为一项特殊的挑战。您可没办法围着自己所有机器筑起城墙，然后关门上锁。

对于像公共云这样的共享资源，您可以与云提供商签订服务级别协议（SLA），定义需要满足的物理安全标准。例如，某些公共云提供商会针对政府机构的工作负载有特别的设定，以限制访问物理硬件的人员权限。

但即便有了合适的 SLA，如果依赖于公共云提供商，您必然会放弃一定程度的控制权。这意味着其他安全控制就变得更加重要。

混合云安全防护中的技术控制

file

技术控制是混合云安全防护的核心。混合云的集中化管理更易于实现技术控制。

在混合云工具箱中，最强大的几项技术控制包括加密、自动化、编排、访问控制和端点安全防护。

加密

加密大大降低了任何可读数据泄露的风险，即便物理计算机受到入侵，也能避免信息的进一步泄露。

加密分为静态加密和动态加密两种，二者的区别在于：

保护您的静态数据：

全盘加密（分区加密）可在计算机关闭时继续保护您的数据。建议使用 Linux Unified Key Setup-on-disk（LUSK）格式，该格式可批量加密您的硬盘分区。

硬件加密，可保护硬盘免遭未经授权的访问。推荐使用可信平台模块（TPM），它是可存储加密密钥的硬件芯片。启用 TPM 时，硬盘处于锁定状态，用户对登录帐号进行身份验证后方可解锁。

无需手动输入密码即可加密根卷。如果您已经构建了高度自动化的云环境，则可使用自动加密加强其安全防护。如果您使用的是 Linux，则可尝试采用网络绑定磁盘加密（NBDE），物理机和虚拟机均可使用。它还有一点额外好处：把 TPM 纳入 NBDE 之后，您将享受两层安全防护（NMDE 可保护联网环境，而 TPM 则能保护本地环境）。

保护您的动态数据：

加密网络会话。动态数据面临拦截和更改的风险要大得多。尝试使用互联网安全协议（IPsec），这是使用加密技术的互联网协议的扩展。

选择已实施安全标准的产品。查找支持使用加密模块保护高风险数据的美国联邦信息处理标准（FIPS）140-2 的产品。

自动化

自动化非常适合混合云，想知道为什么，只需想一下手动监控和修补的缺点。

手动监控安全性和合规性的风险通常比回报大得多。手动补丁和配置管理往往不能同步实现，埋下安全隐患。它还为实施自助服务系统增加了更多困难。如果存在安全漏洞，手动补丁和配置记录就有丢失的风险，从而可能导致团队内斗、相互指责。此外，手动流程往往更容易出错，耗费时间更长。

相比之下，自动化可以让您在风险面前赢得先机，不用再被动防守。通过自动化，您能设定规则，共享和验证流程，使其更轻松地通过安全审计。在评估混合云环境时，请考虑自动执行以下流程：

监控您的环境

检查合规性

实施补丁

实施自定义或监管安全基线

编排

云编排将技术控制又向前推进了一步。您可以将自动化看作特定的食材，而编排就是将食材组合在一起的食谱。

借助编排，我们可以将云资源及其软件组件作为一个整体加以管理，然后通过模板以自动化、可重复的方式进行部署。

对安全防护而言，编排的最大好处是标准化。您可以提供云的灵活性，同时确保部署的系统符合您的安全与合规标准。

访问控制

混合云还离不开访问控制。我们应根据实际需要限定用户帐户的权限，并考虑实施双重身份验证。此外，对连接至虚拟专用网络（VPN）的用户进行访问限制也有助于维护安全防护标准。

端点安全防护

有了端点安全防护，如果用户的智能手机、平板电脑或计算机丢失、被盗或被攻击，则可以使用软件远程撤销访问权限或擦除敏感数据。

用户可以从任何地方使用个人设备连接到混合云，这使得端点安全防护成为一项必不可少的控制措施。攻击者可能会利用针对单个用户的网络钓鱼攻击以及恶意软件对您的系统发动攻击。

虽然我们在这里把其列为了技术控制，但端点安全防护其实集物理、技术和管理控制于一身：保持物理设备的安全，使用技术控制来防范设备落入坏人之手的风险，并向用户传授良好的安全防护实践。

混合云安全防护中的管理控制

最后，混合云安全防护中的管理控制主要解决人为因素的问题。由于混合云是一种高度互联的环境，因此安全防护是每个用户的责任。

灾难防备与恢复就是管理控制的一个典型例子。如果混合云的一部分掉线，应该采取哪些措施？由谁来负责？有没有生效中的数据恢复协议？

混合架构为管理安全带来了显著优势。由于您的资源可能分布在本地和外部硬件中，因此对备份和冗余您可以有更多选择。在包含公共云和私有云的混合云环境中，如果私有数据中心云上的系统发生问题，则可以故障切换至公共云。

API 安全防护

您应该不会把自己的钱存放在床垫之下。大多数人都会把钱存到可信的环境（银行）中，并采用独立的方式授权和验证支付。API 安全防护与之相似。您需要一个具有验证和授权策略的可信环境。

API 安全防护的最佳实践包括使用令牌、加密和签名、配额和限流，以及 API 网关。但最重要的是，API 安全离不开良好的 API 管理。

API 安全防护就是保护 API（包括您拥有的和您使用的 API）的完整性。但它到底是什么意思？

您或许听过物联网（IoT），它就是通过 API 将计算能力嵌入我们的日常生活中。通过物联网，您的手机可以与家中的冰箱连接，所以当您在回家途中采购食物时，就能清楚知道该买些什么，最终在一小时内就轻松准备好临时聚餐的菜肴。此外，如果您是 DevOps 团队的一员，会利用微服务和容器快速迭代地构建并部署传统和云原生应用。API 就是最常见的微服务和容器通信方式，无论连接系统、连接应用，都要用到 API。随着集成和互联变得愈加重要，API 的重要性也在提升。

API防护重要性

企业使用 API 来连接服务和传输数据。许多重大数据泄露问题，其幕后原因都在于 API 遭到破坏、泄露或攻击。受到攻击的 API 会让敏感的医疗、金融和个人数据公之于众，被不法分子利用。不过，并不是所有数据都是一样的，保护数据更不能以不变应万变。如何实施 API 防护，具体取决于传输的数据种类。

如果您的 API 连接了第三方应用，那么您必须知道这个应用会如何将信息返回互联网。继续上面的例子，也许您不在意别人是否知道您的冰箱里有些什么，但如果他们使用同一个 API 来跟踪您的位置，那情况就不妙了。

什么是 Web API 安全防护？REST API 安全防护与SOAP API 安全防护对比。

Web API 安全防护主要关注通过 API 与互联网的数据传输。OAuth（开放授权）是访问权限委派的开放标准。它让用户不必共享密码就能将 Web 资源的访问权限授予第三方。借助 OAuth 这一技术标准，只需通过一个“分享”按钮，就能将“柯基犬戏水视频集锦”分享到您的社交网络上。

大多数 API 实施属于 REST（表述性状态传递）或 SOAP（简单对象访问协议）。

REST API 使用 HTTP 并且支持传输层安全性（TLS）加密。TLS 是确保互联网连接私密性的一个标准，可以检查两个系统（服务器与服务器或服务器与客户端）之间发送的数据是否受到加密且未被篡改。这意味着，如果黑客试图从购物网站套取您的信用卡信息，他们会无法读取或修改您的数据。如果 URL 的开头是“HTTPS”（超文本传输安全协议），那么该网站就使用了 TLS 保护。

REST API 也使用 JavaScript 对象表示法（JSON），这是一种能够更轻松通过 Web 浏览器传输数据的文件格式。通过使用 HTTP 和 JSON，REST API 不需要存储或重新打包数据，因此速度要比 SOAP API 快得多。

SOAP API 使用称为 Web 服务安全性（WS 安全性）的内置协议。这类协议会定义一套采用保密和身份验证的规则集。SOAP API 支持两大国际标准机构（结构化信息标准促进组织（OASIS）和万维网联盟（W3C）制定的标准，它们结合使用 XML 加密、XML 签名和 SAML 令牌来验证身份和授权。通常而言，SOAP API 因具有更加全面的安全措施而受到推崇，但它们也需要更多的管理。因此，处理敏感数据的机构更推荐采用 SOAP API。

最常见的 API 安全防护最佳实践

您应该不会把自己的钱存放在床垫之下。大多数人都会把钱存到可信的环境（银行）中，而采用分开的方式授权和验证支付。API 安全防护与之相似。您需要一个具有验证和授权策略的可信环境。

下方列出了一些最常见的加强 API 安全性的方法：

使用令牌。建立可信的身份，再通过使用分配给这些身份的令牌来控制对服务和资源的访问。
使用加密和签名。通过 TLS 等方式（见上文）加密您的数据。要求使用签名，确保只有拥有权限的用户才能解密和修改您的数据。
识别漏洞。确保操作系统、网络、驱动程序和 API 组件保持最新状态。了解如何全面实现协同工作，识别会被用于侵入您的 API 的薄弱之处。使用嗅探器来检测安全问题并跟踪数据泄露。
使用配额和限流。对 API 的调用频率设置限额，并跟踪其使用记录。如果 API 调用数量增多，表明它可能正被滥用。也可能是编程出了错，例如在无限循环中调用 API。指定限流规则，防止 API 出现调用激增和拒绝服务攻击。
使用 API 网关。API 网关担当主要的 API 流量策略执行点。良好的网关既能帮助您验证流量的使用者身份，也能控制和分析您的 API 使用情况。

API 管理和安全防护

最后，API 安全性通常取决于良好的 API 管理。许多 API 管理平台支持三种防护方案，它们分别是：

API 密钥，单一令牌字符串（即提供唯一身份验证信息的小型硬件设备）。
基础身份验证（APP ID / APP 密钥），双令牌字符串解决方案（即应户名和密码）。
OpenID Connect（OIDC），基于主流 OAuth 框架的简单身份层（即通过获取基本配置集信息和使用身份验证服务器来验证用户）。

在选择 API 管理器时，您要清楚它可以处理哪些防护方案，还要制定好计划，明确如何纳入上述 API 安全防护实践。

恶意软件

恶意软件是指任何有损用户利益的软件。从勒索软件到广告软件再到僵尸网络，恶意软件在不遗余力地销毁数据、侵犯隐私并造成难以计数的生产力损失。恶意软件不仅会影响受感染的电脑或设备，还可能会影响与受感染设备通信的其他设备。尽管恶意软件攻击给我们带来了极大的威胁，但有效的 IT 安全防护却可以减少企业的风险。

恶意软件包括任何有损用户利益的软件。恶意软件不仅会影响受感染的电脑或设备，还可能会影响与受感染设备通信的其他设备。

恶意软件涵盖从最简单的电脑蠕虫和木马程序，到最复杂的电脑病毒等，都包括在内。恶意软件、病毒和恶意代码相关但不相同，因此只用一种防病毒软件或反恶意软件可能无法抵挡所有威胁。它们可能会出现在台式电脑、笔记本电脑和移动设备上。根据设备所用操作系统的不同（Windows、Android、iOS 或 Apple MacOS），恶意软件可能还会以不同方式发动攻击和呈现出来。世界上不存在绝对安全的设备。无论是专业设备还是个人设备，采取恶意软件防护措施通常都是有用的。

有效的 IT 安全防护可以减少企业受恶意软件攻击的风险。常见的网络安全防护做法有补丁管理（用于封堵系统漏洞）和访问控制（用于限制恶意软件的危害）。此外，经常备份独立于主生产系统的数据也可以让您快速、安全地从恶意软件感染中恢复。

为什么恶意软件会严重影响网络安全

假设您在一个普通的办公室工作。一天早上，您来到办公室，沏好咖啡，然后打开电脑。这时一切都开始不对了。

正常的电脑桌面没有出现，取而代之的是一个带有挂锁和倒计时钟表的血红色屏幕。"您的文件已被加密"，上面写道。"如果不在 7 天内付款，你将无法恢复文件。" 环顾四周，每一个同事都在自己的电脑上看到了同样的消息。无一例外。

2017 年 5 月，这种情景反复出现在全球各地的工作场所中，一个叫" WannaCry"的恶意软件先后攻击了企业、政府，甚至包括医院等重要公共服务机构。

但并非所有恶意软件都喜欢这么高调地显露身份。您也可能会遇到非常隐蔽、令人毫无察觉的恶意软件，它会悄然拖慢您的系统速度，或者侵犯您的隐私。网络犯罪分子通常会设计这些程序来规避检测，并且只在准确满足相关条件时才有明显活动。

您可能无法阻止恶意软件，但可以通过及时获取信息并保持合理的安全措施，降低其破坏运维的可能性。

恶意软件的类型

为了更好地了解恶意软件的行为及降低风险的途径，我们可以将常见类型的恶意软件划分为若干类别。如有不慎，这些类型的恶意软件可以渗透到包括安卓移动设备和苹果笔记本电脑在内的任何设备当中。

恶意软件需要传播途径以及用于实现预期目标的代码。您可以将其理解为交付系统和攻击负载。以下是该结构的基本摘要，随后还将给出更详细的解释。

交付系统
- 特洛伊木马：诱使用户进行安装
- 蠕虫病毒：自我复制
- 攻击方式
  - 漏洞利用：利用软件漏洞攫取对系统和敏感数据的访问权限
  - 网络钓鱼：诱使用户提供可用于获取访问权限的信息
  - Rootkit 或 Bootkit：攫取管理访问权限，以规避检测并获得更多控制权
攻击负载
- 广告软件：显示令人讨厌的广告
- 僵尸网络：将设备置于外部控制之下
- 加密货币挖矿机：利用计算能力从事加密货币挖矿
- 勒索软件：索取钱财
- 间谍软件：通过键盘记录器或其他方式秘密收集数据
- 其他损害：数据损坏、故意破坏、蓄意捣乱

特洛伊木马

特洛伊木马，通常称为木马病毒，通过社交工程的方式传播。木马病毒将自己伪装成其他的东西，从而说服不知情的用户进行安装。一种常见的策略是攻击者诱使用户打开用于安装恶意软件的文件或 Web 链接。例如，像恐吓性软件之类的木马病毒会诱导用户认为特定程序有助于保护其计算机，而事实恰好相反。

此外，用户可能会安装一个看起来很有用的应用，例如一个漂亮的浏览器工具栏或一套有趣的表情包，但它同时也包藏着恶意软件。另一项木马病毒技术会将自动安装的恶意软件写入 U 盘（或 USB 驱动器），随着 U 盘的流动传递给不知情的用户。当远程访问木马病毒（RAT）恶意软件渗入到您的设备后，网络犯罪分子便可利用它操控您的设备。

蠕虫病毒

蠕虫病毒就像虫子一样慢慢蠕动，闯入别人的地方。20 世纪 70 年代出现了第一批试验性电脑蠕虫病毒，当时它们只是简单地复制自己。80 年代出现了更具破坏性的蠕虫病毒，它们成为第一批广为人知的电脑病毒。这些病毒通过软盘在 PC 间传播，感染可以访问的文件。随着互联网的普及，恶意软件开发人员和黑客将蠕虫病毒设计为可以跨网络自我复制，使其成为了联网的企业和用户在早期受到的一大威胁。

漏洞利用

漏洞利用是指非法利用软件中的漏洞，以使软件执行其设计意图之外的某些操作。恶意软件可能会利用漏洞进入系统，或从系统的某处移动到另一处。许多漏洞利用都依赖于已知的漏洞（也称为 CVE），因为很多用户都不会及时装上安全补丁来保持系统为最新状态。"零时差漏洞利用"是另一种不太常见的情况，它会利用还没被软件维护人员修复的重大漏洞。

网络钓鱼

网络钓鱼是一种社会工程形式，攻击者试图通过欺骗性请求（例如伪造的电子邮件或录用骗局）诱使用户移交敏感信息或个人数据。网络钓鱼攻击作为获取密码和登录凭据的一种策略，有时是恶意软件攻击的先兆。

Rootkit 和 Bootkit

Rootkit 是一组旨在获得对系统的完全控制，继而隐匿踪迹的软件工具。Rootkit 可实际取代系统的正常管理控制。Bootkit 是一种高级 Rootkit，它可以在内核级别上感染系统，因而具有更多的控制权，也更难以检测到。

广告软件和间谍软件

广告软件会向您的设备投放大量不需要的广告，比如 Web 浏览器中的弹出窗口。间谍软件是它的近亲，主要是收集您的信息并将其传送至其他地方。间谍软件既包括监控您互联网活动的跟踪器，也包括复杂的间谍工具。间谍软件可以包括击键记录器或键盘记录器，它们记录用户键入的任何内容。除了侵犯您的隐私之外，间谍软件和广告软件还会拖慢您的系统速度并阻塞您的网络。

僵尸网络

僵尸网络恶意软件会将设备的控制权转交给外部方，从而使该设备成为由受感染设备构成的大型网络的一员。僵尸网络通常用于执行分布式拒绝服务（DDoS）攻击、发送垃圾邮件或进行加密货币的挖矿。网络上任何不安全的设备都很容易受到感染。僵尸网络通常都有办法来扩张其设备网络，而且其复杂程度足以同时或按顺序进行多种恶意活动。例如，2016 年的 Mirai 恶意软件攻击就是利用由互联网连接的摄像头和家用路由器形成了一个庞大的 DDoS 僵尸网络。

勒索软件

勒索软件是要求用户为某个东西付费的恶意软件。许多常见的勒索软件都是对用户系统上的文件进行加密，并要求用比特币作为赎金来换取解密密钥。勒索软件的问题从 2000 年中期开始变得较为突出。至今，勒索软件攻击仍是最严重和最普遍的电脑安全威胁之一。

其他损害

有时，恶意软件开发人员或操作人员的目标是销毁数据或破坏某些内容。早在勒索软件构成问题之前，第一个引起大众媒体关注的恶意软件程序是 1992 年的米开朗基罗病毒。该病毒曾试图在某个特定日期（3 月 6 日）覆盖受感染 PC 的磁盘驱动器。多年后，2000 年，ILOVEYOU 病毒以 Visual Basic 脚本的形式在用户之间广泛传播（作为电子邮件的附件发送）。运行时，它会删除各种文件，并将自己的副本通过电子邮件发送给用户地址簿中的每个人。

而以现代恶意软件的标准来看，有些病毒却非常古怪。比如 Stuxnet 就是其中的典型。2010 年，安全防护社区发现了一种令人费解且高度复杂的蠕虫病毒，其设计意图是篡改特定类型的工业设备。许多安全专家至今都认为 Stuxnet 是由美国和以色列政府设计的，旨在破坏伊朗的核武器计划。（没有任何政府正式承认对此事负责。）如果猜测属实，那么这就是一个新兴恶意软件的案例：一次由国家资助的网络攻击。

如何防范

防范恶意软件的最佳方法就是不被感染。除了防病毒或反恶意软件可以提供帮助，您如今还可以采取许多其他措施来提高弹性。

减少攻击面
最大限度减少向互联网开放的系统、应用及端口的数量。

用户教育
用户应该学会对电子邮件中的链接和附件抱有疑心，无论它们看起来有多么真实可信。通过用户教育还可以解释内部威胁将如何导致恶意软件攻击。

检测
越早发现恶意软件感染，就能越早修复受感染的系统。请记住，有些恶意软件真的是深藏不露。防病毒或反恶意软件工具需要定期更新其检测签名，而且最好使用多种恶意软件检测方法。

补丁管理
由于软件维护人员通常会尽快修补安全漏洞，因此运行最新版的软件可以降低被恶意软件感染的风险。采用有效的补丁管理，您就可以确保整个企业的所有系统都能及时获取安全补丁。请经常检查并应用更新，以防已知的漏洞被利用。

访问控制
管理员控制权限应仅提供给受信任的应用和真正需要使用它的用户。这样，即便有恶意软件攻击您的电脑，也会难以感染系统的核心功能。请定期检查您的管理员控制权限。

数据备份和加密
在恶意软件攻击期间，正确的数据安全防护可以发挥巨大的作用。即使出现最坏的情况——也就是恶意软件攻破了您的系统，您也可以通过故障切换而转移到感染前的干净备份上。简单来说，这就表示备份数据可以保持隔离状态，因此恶意软件无法损坏或删除它。此外，最好对数据进行加密，这样恶意软件所泄露的任何数据就毫无用处。实际上，根据企业规模和复杂程度，您可能需要一系列组合策略。对于大型企业而言，在备份和加密方案中，混合云环境下的软件定义存储解决方案提供了极大的灵活性。

所有计算机系统都存在漏洞，而这正是恶意软件开发人员一直在全力寻找和利用的目标。所以恶意软件安全防护是一个永不停止的主题。

红帽 IT 安全技术指南提供了有关如何制定安全策略、流程和规程的更多信息。

CVE

什么是 CVE

CVE 是通用漏洞披露（Common Vulnerabilities and Exposures）的英文缩写，列出了已公开披露的各种计算机安全缺陷。人们提到 CVE，指的都是已分配 CVE ID 编号的安全缺陷。

供应商和研究人员发布的安全公告几乎总会提到至少一个 CVE ID。CVE 可以帮助 IT 专业人员协调自己的工作，轻松地确定漏洞的优先级并加以处理，从而提高计算机系统的安全性。

CVE 如何工作

CVE 由 MITRE corporation 监管，由美国国土安全部下属的网络安全和基础设施安全局提供资金。

CVE 条目非常简短。条目中既没有技术数据，也不包含与风险、影响和修复有关的信息。这些详细信息会收录在其他数据库中，包括美国国家漏洞数据库（NVD）、CERT/CC 漏洞注释数据库以及由供应商和其他组织维护的各种列表。通过 CVE ID，用户就能跨上述不同系统来简便地识别同一个安全缺陷。

CVE识别号：
CVE 识别号由 CVE 编号管理机构（CNA）分配。全球目前约有 100 个 CNA，包括各大 IT 供应商以及安全公司和研究组织。MITRE 也可以直接发布 CVE。

MITRE 向每个 CNA 发放了一个 CVE 编号池，用于在发现新问题时将编号连接至新问题。每年，都有数以千计的 CVE ID 发放出来。单个复杂产品（如操作系统）可能会累积数百个 CVE。

任何人都可以从任何地方进行 CVE 报告。无论是供应商、研究人员或是机敏的用户，都有可能发现缺陷，并促使他人予以关注。很多供应商都会提供错误报告奖励，以鼓励相关人员负责任地披露各种安全缺陷。如果您发现了开源软件存在漏洞，您应该将其提交至相关社区。

再通过种种渠道，该缺陷的相关信息最终会传至 CNA。CNA 进而会为这些信息分配 CVE ID，然后编写简短描述并附上参考资料。然后，CVE 条目就会被发布 CVE 网站上。

通常会在公开安全公告之前分配 CVE ID。供应商一般会对安全缺陷保密，直至相关修复已完成开发和测试。这样可以降低未修补漏洞被攻击的风险。

公布时，CVE 条目中会包含 CVE ID（格式为“cve-2019-1234567”）、安全漏洞的简短描述和相关的参考资料（可能包括漏洞报告和公告的链接）。

什么样的缺陷才算 CVE

只有满足一系列特定条件的缺陷才会分配 CVE ID。这些缺陷必须满足以下条件：

可以单独修复。
该缺陷可以独立于所有其他错误进行修复。
已得到相关供应商的确认或已记录在案。
软件或硬件供应商已确认错误，并承认其会对安全性造成负面影响。或者，报告者本应共享一份相关漏洞报告，表明错误会造成负面影响，且有悖于受影响系统的安全策略。
会影响某个代码库。
如果缺陷会对多个产品造成影响，则会获得单独的 CVE。对于共享的库、协议或标准，只有在使用共享代码会容易受到攻击时，该缺陷才会获得单个 CVE。否则，每个受影响的代码库或产品都会获得一个唯一的 CVE。

什么是通用漏洞评分系统（CVSS）

漏洞的严重性可以通过多种方式来评估。其中的一种就是使用通用漏洞评分系统（CVSS），这是一组用于为漏洞分配数值以评估其严重性的开放标准。NVD、CERT 等机构会使用 CVSS 评分来评估漏洞的影响。评分范围为 0.0 到 10.0，数值越大代表漏洞越严重。许多安全供应商也都创建了自己的评分系统。

三大核心要点

了解自己的部署情况。存在 CVE 并不意味着您的特定环境和部署正面临风险。请务必查看各个 CVE，并验证 CVE 是否适用于（或部分适用于）您的特有环境中所用的操作系统、应用、模块和配置，确定 CVE 是否适用于您的环境。

开展漏洞管理。漏洞管理是一个可重复的过程，用于识别、分类、确定优先级、补救和解决漏洞。您要清楚自己的组织会如何遭遇风险，才能正确地为有待解决的所有重要漏洞确定优先级。

做好沟通准备。CVE 将会影响到您所在组织使用的系统，不仅漏洞本身，还因为修复漏洞可能会需要停机。您应及时与您的内部客户进行沟通和协调，并将漏洞的相关信息分享给您所在组织中的任意中央风险管理职能部门。

如何处理 CVE

作为开源软件的主要贡献者，红帽一直致力于推动安全社区的发展。红帽是 CVE 编号管理机构（CNA）之一，使用 CVE ID 来跟踪安全漏洞。红帽安全部门维护了一个开放且经常更新的安全更新数据库，您可以按 CVE 编号查看这个数据库。

摘自红帽官网