ไมค์
โดยทั่วไปมีแหล่งข้อมูลแนะนำที่ดีบางประการเพื่อความปลอดภัย
- DISA STIGs
- SRA ของ NSA
- NIST
- มาตรฐาน CIS
- คำแนะนำผู้ขาย
- SANS
- หนังสือเฉพาะสำหรับการชุบแข็ง
ที่ทำงานของฉันเราใช้ส่วนผสมของ DISA STIGs พร้อมกับหุ่นกระบอกสำหรับ Linux ฉันจะบอกว่ามันไม่เพียงพอและผลักดันให้คำแนะนำด้านล่าง
โปรดทราบว่าคำแนะนำการชุบแข็งด้านบนมีการทับซ้อนกันและบางส่วนที่ขาดหายไป แนวทางปฏิบัติที่ดีที่สุดคือการติดตามตัวเลือกการกำหนดค่าทั้งหมดผ่านคำแนะนำในฐานข้อมูลหรือสเปรดชีตดังนั้นคุณจึงสามารถครอบคลุมได้มากที่สุด
อีกวิธีหนึ่งในการทำสิ่งเดียวกันคือการสร้างสคริปต์ที่ทำให้แข็งหรือตรวจสอบตามที่กล่าวมาแล้วทำการตรวจสอบด้วยตัวคุณเองเพื่อหาว่าช่องว่างระหว่างมาตรฐานต่าง ๆ นั้นอยู่ที่ใด
ฉันไม่เชื่อว่าไกด์ของ RHEL นั้นเพียงพอ - ฉันชอบผลลัพธ์ของ NSA, DISA และ NIST แต่ไกด์ของ Red Hat เป็นจุดเริ่มต้นที่ดี
ในฐานะที่เป็น NSA และ DISA เริ่มทำงานกับมาตรฐานการชุบแข็งล่วงหน้าล่วงหน้าในร่างที่อาจเป็นแหล่งที่ดีสำหรับคุณ หากคุณมีเพื่อนใน DoD คุณสามารถเข้าถึงเนื้อหาก่อนเผยแพร่ได้เช่นกัน เนื่องจากสถานะปัจจุบันของ DISA STIG สำหรับ Red Hat ฉันว่า NSA น่าจะสร้างบางสิ่งได้เร็วขึ้น ฉันสามารถเช็คอินกับพวกเขาและดูว่าพวกเขาอยู่ที่ไหน ฉันขอแนะนำให้เริ่มก้าวต่อไปที่ 6 ในสภาพแวดล้อมการทดสอบทันที รับการทดสอบสคริปต์การชุบแข็งของคุณใน 6
การช่วยเหลือจากภายนอกเพื่อพัฒนาแนวทางการรักษาความปลอดภัย
พิจารณาการมีส่วนร่วมกับวิศวกรความปลอดภัยที่เน้นเรื่องความปลอดภัยของ Linux เพื่อสร้างแนวทางสำหรับคุณ เรดแฮทสามารถให้พนักงานของพวกเขามีส่วนร่วมเช่นกันเพื่อเร่งความพยายามด้านวิศวกรรมความปลอดภัย
ทุกสิ่งที่คุณพูดจนถึงขณะนี้บ่งชี้ถึงวิธีการตรวจสอบสถานะและความปลอดภัยที่เหมาะสม จากที่ฉันคิดว่าการพิจารณาข้างต้นคุณมีความชัดเจนที่จะก้าวไปข้างหน้าเพื่อ RHEL6 อย่างไรก็ตามฉันจะเพิ่มงานเพิ่มเติมที่คุณสามารถพิจารณาได้เนื่องจากฉันคิดว่าคุณกำลังทำงานในสภาพแวดล้อมที่มีการควบคุมซึ่งมีความปลอดภัยมาก
เพิ่มแนวทางของคุณด้วยการประเมินความเสี่ยง
หากคุณต้องการใช้แนวทางของคุณในระดับต่อไปและปรับให้เป็นวิธีที่จะผ่านการตรวจสอบโดยผู้สอบบัญชีที่มีค่าตอบแทนสูงสุดให้พิจารณาดำเนินการประเมินความเสี่ยงเชิงพัฒนาแบบเต็มโดยใช้ NIST 800-30 พร้อมกับชุดควบคุมเฉพาะที่ใช้ใน อุตสาหกรรม. สิ่งนี้สนับสนุนโดยการทดสอบและวิเคราะห์ความปลอดภัย การมีการประเมินความเสี่ยงอย่างเป็นทางการจะทำให้สามารถจัดทำเอกสารที่ดีเกี่ยวกับความเสี่ยงที่นำเสนอโดยการดำเนินการต่อไปกับ RHEL6 และการควบคุมที่มีค่าชดเชยบางอย่างที่คุณสามารถเพิ่มเพื่อป้องกันจุดอ่อนที่อาจเกิดขึ้น
การเพิ่มการทดสอบการเจาะ
แม้จะเกินกว่าการประเมินความเสี่ยงคุณสามารถมีส่วนร่วมกับเครื่องมือทดสอบการเจาะที่มีพื้นหลัง Linux ที่แข็งแกร่งเพื่อลองใช้กล่องสีขาวหรือกล่องดำของโฮสต์ RHEL6 หลังจากการกำหนดค่าความปลอดภัยบางอย่าง ระบบปฏิบัติการพื้นฐานที่ปลอดภัยอาจไม่แสดงพื้นผิวการโจมตีมากนักดังนั้นการโหลดแอปพลิเคชันจะนำเสนอแพลตฟอร์มที่สมจริงยิ่งขึ้นสำหรับการโจมตีที่จะช่วยให้คุณเข้าใจเวกเตอร์การโจมตีที่มีศักยภาพ วนรอบในตอนท้ายโดยใช้รายงานการทดสอบปากกาคุณสามารถเพิ่มงานก่อนหน้าของคุณปิดช่องว่างใด ๆ เพิ่มการควบคุมเพิ่มเติมและมุ่งสู่การปฏิบัติงานด้วยความอบอุ่นและเลือน