Mike,
güvenlik güçlendirme için genellikle birkaç iyi rehber kaynağı vardır.
- DISA STIG'leri
- NSA SRG'leri
- NIST
- CIS Deneyleri
- Tedarikçi rehberliği
- SANS
- Sertleşmeye özgü kitaplar
İşimde, Linux kuklası ile birlikte DISA STIG'lerin bir kombinasyonunu kullanıyoruz. Bunun yetersiz olduğunu söyleme ve aşağıdaki önerilerin bazıları için itme olasılığı daha yüksektir.
Yukarıdaki sertleştirme kılavuzlarının üst üste bindiğini ve bazı eksik alanların olduğunu unutmayın. En iyi uygulama, tüm yapılandırma seçeneklerini bir veritabanı veya e-tablodaki rehber aracılığıyla izlemektir, böylece en fazla kapsama sahip olabilirsiniz.
Aynı şeyi yapmanın alternatif bir yolu, yukarıdakilere dayanan sertleştirme veya denetim komut dosyaları oluşturmak ve daha sonra farklı standartlar arasındaki boşlukların nerede olduğunu bulmak için kendi denetimlerinizi yapmaktır.
RHEL'in rehberlerinin yeterli olduğuna inanmıyorum - NSA, DISA ve NIST çıktılarını tercih ediyorum. Ancak, Red Hat'ın rehberleri harika bir başlangıç noktasıdır.
NSA ve DISA, önceden taslak olarak sertleştirme standartları üzerinde çalışmaya başladığında, bu sizin için iyi bir kaynak olabilir. DoD'de bir arkadaşınız varsa, yayın öncesi malzemeye de erişebilirsiniz. Red Hat için DISA STIG'in mevcut durumu nedeniyle, NSA'nın muhtemelen daha hızlı bir şey üreteceğini söyleyebilirim. Onlarla check-in yapabilir ve nerede olduklarını görebilirim. Şu anda bir test ortamında 6'ya geçmeye başlamanızı öneririm. Sertleştirme komut dosyalarınızı 6'da test ettirin.
Güvenlik güçlendirme rehberliği geliştirmek için dışarıdan yardım alınması
Sizin için yol göstermek amacıyla özellikle Linux güvenlik güçlendirme konusuna odaklanan bir Güvenlik Mühendisi ile etkileşime girmeyi düşünün. Red Hat, güvenlik mühendisliği çalışmalarını hızlandırmak için çalışanlarını da angajmanlara sunabilir.
Şimdiye kadar söylediğin her şey, gereken özen ve yaklaşımı gösterir. Buna dayanarak, yukarıda düşününce, RHEL6'ya ilerlemenin açık olduğunu düşünüyorum. Ancak, çok güvenlik bilincine sahip düzenlenmiş bir ortamda çalıştığınızı varsaydığım için, göz önünde bulundurabileceğiniz bazı ek görevler ekleyeceğim.
Bir Risk Değerlendirmesi ile yaklaşımınızı güçlendirmek
Yaklaşımınızı bir sonraki seviyeye taşımak ve bunu en kalıcı denetçi tarafından bile gözden geçirecek bir şekilde gerekçelendirmek istiyorsanız, NIST 800-30'u kullanarak kullandığınız belirli kontrol setleriyle birlikte tam bir gelişimsel risk değerlendirmesi yapmayı düşünün endüstrisi. Bu, güvenlik testi ve analizi ile desteklenir. Bir risk değerlendirmesinin resmileştirilmesi, RHEL6 ile ilerleyerek sunulan risklerin ve olası zayıflıkların üstesinden gelmek için ekleyebileceğiniz bazı potansiyel telafi edici kontrollerin iyi bir şekilde belgelenmesini sağlayacaktır.
Sızma testi ekleme
Risk değerlendirmesinin ötesine geçerek, bazı güvenli yapılandırmalardan sonra RHEL6 ana makinenizin beyaz kutu veya kara kutu penetrasyonlarını denemek için güçlü bir Linux arka plana sahip bir penetrasyon test cihazı kullanabilirsiniz. Güvenli bir temel işletim sistemi çok fazla saldırı yüzeyi sunmayabilir, bu nedenle uygulamalarla yüklenmesi, saldırı için potansiyel saldırı vektörlerini daha iyi anlamanıza olanak tanıyacak çok daha gerçekçi bir platform sunar. Sonunda dolaşarak, kalem test raporunu kullanarak önceki çalışmanızı artırabilir, boşlukları kapatabilir, ek kontroller ekleyebilir ve çok daha sıcak ve bulanık bir şekilde operasyonlara yönelebilirsiniz.