iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 20
0
Elastic Stack on Cloud

一目了然的資訊保健系列 第 20

20-減少受攻擊面

  • 分享至 

  • xImage
  •  

之前聽演講時,SZ Lin說到: "關閉不必要的服務,就算之後該服務被爆出有CVE,也不會對產品有所影響" ,聽完後覺得,對阿不必要的服務關起來就不用怕該類型的Zero Day攻擊了,OS Hardening就是在做這個

Hardening

廣義來說正確的設定也是在這範圍內,以下列出一些常見注意事項

  1. 帳號最小權限原則,使用者用不到的功能不開啟。
    管理員通常都使用admin權限做事,一不小心rm錯資料就要準備跑路了…
  2. 執行程式的權限符合其功能就好。
    例如備份程式,尤其是異地備援很容易給到太多的權限,且有排程通常都不會改密碼,一被攻破各地都遭受危害
  3. 沒用到的服務不要開
    很多NAS明明只是私人用途,結果還接上Internet,自動配發外部IP,然後網頁Port開在外面就算了還把SSH也開起來
  4. 修改不安全的預設設定
    承上,使用預設密碼、沒有限制來源存取IP….

參考設定

技術服務中心有推行GCB,用AD派發群組原則的方式管理整個單位電腦
一般企業可參考NIST或cis-benchmark (GCB文件很多都參考該文件)
https://www.newnettechnologies.com/cis-benchmark.html
https://ithelp.ithome.com.tw/upload/images/20200921/20077752gW9YjV41xe.png
GitHub Download (https://github.com/cismirror/old-benchmarks-archive)

Elastic Cloud 的安全設定

放在雲上的Elastic當然也有許多安全設定需要調整,可以參考Securing your deployment
https://www.elastic.co/guide/en/cloud/current/ec-security.html

  1. 通過密碼保護和基於角色的訪問控制來防止未經授權的訪問:
    • 重置elastic用戶密碼。
      除了Elastic Cloud 登入頁可以修改密碼外,Deployments也有Reset Password,會影響到Agent(yaml要改Cloud的密碼)
      https://ithelp.ithome.com.tw/upload/images/20200920/20077752364LTM3jv2.png
    • 多因子驗證
      點右上角User settings設定手機app或簡訊方式驗證
      https://ithelp.ithome.com.tw/upload/images/20200920/20077752CCk89e58Ko.png
  2. 在不同版本上 管理您的用戶。
    • 使用第三方身份驗證提供程序和服務,例如SAML,OpenID Connect或Kerberos。
  3. 通過消息身份驗證和SSL / TLS加密來保留數據的完整性。
  4. 使用流量過濾器阻止不必要的流量。
    設定只有那些IP能連
    https://ithelp.ithome.com.tw/upload/images/20200920/20077752INure1FJfS.png
  5. 使用Elasticsearch 密鑰庫保護設置。

結論

最後還要定期review規則,有可能多了新功能之類的導致新的漏洞風險產生,納在ISMS範圍內,這是一個有效提升端點防禦力的作法


上一篇
19-料敵先知
下一篇
21-誘餌防禦戰術
系列文
一目了然的資訊保健30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2020-09-21 06:51:10

CIS也有各類型、很詳盡的OS Hardening文件,但是發布超過五年以上的文件就只能拿來參考不一定能照表執行了。只能說這領域不斷在進步。

Eugene iT邦研究生 4 級 ‧ 2020-09-21 14:34:01 檢舉

對歐! 是cis-benchmark,一直沒找到就隨便寫個NIST /images/emoticon/emoticon13.gif

我要留言

立即登入留言