对互联网提供服务,通过负载均衡(LB)将需要开放对外的端口(如:80,443)代理到后端的应用服务,并将对外服务放置在独立的子网中。 防火墙隔离是主要网络安全隔离手段,通过ACL设置在网络层过滤服务器的访问行为,限定服务器对外/对内的的端口访问,授权访问地址,从而减少攻击面,保护服务器的安全。 高危网络端口,开启的服务端口越多越不安全。只对外开放提供服务的必要端口,禁止将RDP、SSH、Redis、MongoDB、MySQL、MSsql等高危服务直接暴露在互联网上。
账号口令安全 杜绝弱口令,弱口令是最容易出现的也是最容易被利用的漏洞。 为所有服务配置强密码,要求至少8个字符以上,包含大小写字母、数字、特殊符号,并且要不定时更新口令。 Linux系统,禁止使用root账号直接登录,使用证书登录,设置可信登录主机的IP。 Windows系统,修改 administrator 默认名称,设置可信登录主机的IP。 Web应用系统,必须使用强密码安全策略和验证码,防止暴力破解和撞库。 数据库系统(Redis、MongoDB、MySQL、MSsql Server)禁止使用弱密码或无密码。 增强安全策略,使用多因素验证机制(MFA)、强制密码安全策略(如:锁定策略),和审计功能(异常告警)。
系统运维安全 使用跳板机/堡垒机进行远程维护,实施强密码策略,合理分配权限,对于所有操作行为严格记录并审计。 为操作系统云服务器安装防病毒软件,并定期更新病毒库。 定期更新补丁,修补操作系统漏洞,关注安全漏洞情报,当出现高风险漏洞时,及时更新操作系统所有补丁。 Windows系统的补丁更新要一直开启,Linux系统要设置定期任务执行yum update -y来更新系统软件包及内核。
开启系统日志记录功能,集中管理日志和审计分析。 对所有业务系统进行实时监控,当发现异常时,立即介入处理。 对软件安全加固(Apache、Nginx、Tomcat、Mysql、MSsql、Redis等服务)标准化安全配置,禁止随意修改。
应用开发安全 对应用服务软件(如 Tomcat、Apache、Nginx 等软件),建议使用官方最新版的稳定版。 及时更新Web应用版本,如:Struts、ElasticSearch非最新版都爆发过远程命令执行漏洞。
WDCP、TOMCAT、Apache、Nginx、Jekins、PHPMyAdmin、WebLogic、Jboss等Web服务管理后台不要使用默认密码或空密码;不使用的管理后台建议直接关闭。 使用安全扫描工具 (例如,系统漏扫工具:Nessus、Nexpose,Web 漏扫工具:Appscan、AWVS)上线前扫描应用服务,是否仍存在高风险漏洞,修复完漏洞后再发布使用。
版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
