配置管理库:自制月光宝盒
如果您是在边读边做的话,那么到这里,恭喜您基本上闯过了“OWASPTop 10的A5—安全配置缺失”这一关。那么该怎么“纪念”一下呢?我们就来个“立此存照”—将这些配置的经验和方法都录入到配置管理库吧。有关配置管理库的基础知识,大家可以去问“度娘”。而这次我主要跟大家分享的则是有关安全配置项在入库时和使用中的事项。
- 配置项入库要做好命名规则的一致性。如:<站点/部门/项目名称>-<系统/服务名称>-<主机名或软件名称>-<型号/版本信息>-<创建YYYMMDD>。
-
- 事先为每个配置项定义好丰富的标识类元数据。通过在入库时填写相应的完备信息,方便事后对该项的快速查找与定位,从而大幅提高配置项的复用价值。
-
- 管理库的目录结构应当按照服务系统架构里的功能、地域、类型等多个维度进行清晰、全面的设定,以保证配置项能够直接“拎包入住”,且被正确放置。
-
- 细粒度地定义各个配置项所在文件夹的所有者,和其对应的访问权限;禁用直接删除任何配置项的功能,改用“先标记,7天后系统自动删除”的策略。我们在实际使用中发现这样能最大限度地防止误删等操作的发生。
-
- 实现对配置项的版本控制和任何操作的日志记录与审计功能,就像配备了一台小型time machine一样。
-
- 最后,记得在每一次完成系统或服务的相关配置之后,都要习惯性的将其“快照”下来,做成“配置基线”,添加注解,再备份到配置管理库中。与此同时还要检查从库里签出的,本次参考过的配置模板和操作指南,确保其可用性,以方便下一次还能够“开箱即用(OOTB)”。
-
大家可以试想一下:如果没有对各种应用安全配置信息的可用性、完整性和有效性的持续管理,我们的系统将如同那艘驶向“三体舰队”的探测器一样终将在各种风险因素的作用下完全失控。可见我们只有通过对配置知识库的建立和维护,加上一整套行之有效入库和签出管理,才能从源头上解决以往诸多企业在安全配置上仅能单方面依靠运维大牛的个人经验与能力的现象。而且能够杜绝各种人工批量操作时的失误可能性。