iT邦幫忙

2023 iThome 鐵人賽

DAY 26
0

本篇內容來自於文獻:Secure your endpoints: "Building a Healthy Fleet"


在不同平臺(例如 Linux, Windows)上施行 100% 統一的控制部署是不切實際的。您需要為偏離理想狀態、分析根本原因和處理異常而制定計劃。

如何爲偏離理想狀態的情況制定計劃?

事實上,許多時候平臺偏離理想狀態是自然而然發生的,由於不完整的流程、不完善的管理工具、不穩定的軟件發佈和其他根本原因所造成。例如,系統上的修補程式通常會出現延遲。重要的是要能夠區分清楚,什麼時候是例外情況,而什麼時候應當對偏離理想的狀態採取嚴格的更正措施。

其中,例外情況應該是可以度量而且有時間範圍的。我們建議您在整個機群中以一致的方式對根本原因進行分類,以便能夠深入了解任何差距,並確定適用於機群或特定用戶類別的控制措施是否有不合適的地方。

如果一個異常情況一直存在(從未過期),那麽表示您的控制措施不起作用,這時您應該重新設計控制措施,或重新審視您的控制措施在機群中的作用。

[總結] 針對偏離理想狀態的情況,制定計劃的步驟如下:

  • 區分自然偏差和例外情況:首先需要明確哪些偏差是自然而然發生的,通常由於不完善的流程、管理工具、或軟件發布等原因導致。這些情況可能無法避免,但需要與例外情況區分開。
  • 確定例外情況:例外情況應該是可以度量而且有時間範圍的。這些情況要明確定義,以便能夠檢測和管理。
  • 統一地分類根本原因:建議在整個機群中以一致的方式對根本原因進行分類。這有助於深入了解任何差距,以及確定哪些控制措施對於整個機群或某些用戶類別不合適。
  • 設定時間限制:對於例外情況,應該設定時間限制,確保它們不會無限期存在。如果一個例外情況持續存在,那就意味著當前的控制措施不起作用。
  • 重新設計或審視您的控制措施:如果某項控制措施不起作用,需要重新設計該控制措施,或者重新審視它在整個機群中的作用。這可能包括調整控制措施的策略、重新評估其適用性,或者尋找更有效的替代方案。

應用到自己的機群中

將本文中討論的 BeyondCorp 原則應用於您自己的機群的一般步驟包括以下四步:
1. 定義關注的安全控制 (Define the Security Controls You Care About)
首先,明確定義您關心的安全控制,這可能包括硬件和軟件配置、用戶訪問權限、數據加密、身份驗證機制等。

2. 找到測量這些控制的方法 (Find a Way to Measure Those Controls)
接下來,確定可以用來度量這些控制的方法和指標。這可能涉及使用安全工具、監控系統或漏洞掃描程序來測量和評估控制的有效性。

3. 確定機群不符合要求的地方 (Determine Where Your Fleet Isn't in Compliance)
進一步,識別您的機群中不符合已定義安全控制的地方。這包括發現哪些部分不符合控制要求,並需要改進的地方。

4. 修復不符合的工作流程或定義例外情況 (Fix Workflows That Don't Work with Your Defined Security Stance or Define Exceptions)
最後,采取措施來修復不符合安全控制的工作流程,或者定義例外情況以解釋為什麽某些情況不符合。這可以包括修復配置錯誤、強化訪問控制,或者提供理由為什麽例外情況是合理的。

Google 的 Lessons Learned

針對機群健康建立一個有條理的測量和評估信任計劃不是一個短期項目。要完全實現本文中概述的目標(以及 BeyondCorp 的一般目標)需要大量資源。盡管如此,過去幾年我們的一些經驗教訓可以為您節省一些時間和麻煩。

盡早設立里程碑

盡早確定重要的里程碑。確定您關心的安全屬性並對其進行優先級排序(至少粗略地排序)。這一練習有助於有效分配資源並提供實施大規模項目的動力。將機群管理系統的數據納入授權決策是一個極好的初始里程碑。這一舉措將阻止未知設備訪問您的服務,並有助於維護已知的良好設備清單。

決定如何處理例外情況

在項目的早期階段就要明確定義如何處理例外情況。每個機群中都包含無法完全符合理想安全標準的設備。確定例外管理的程序和技術實施是項目成功的關鍵。明確定義例外情況可以被授予的原因、如何記錄這些原因、例外情況可以存在的最長時間,以及現有例外情況的審查流程。

在早期便與合作夥伴和受影響的團隊互動

成功實施 BeyondCorp 需要整個 IT 組織的合作。在流程的早期階段與合作夥伴和受影響的團隊互動將極大簡化實施的執行部分。例如:

  • 設備采購和 onboarding 團隊需要確保在機群中添加或退出設備時保持機群管理系統的最新狀態。
  • 其他安全團隊將在定義機器安全屬性和整體系統的潛在輸入方面提供有價值的意見。
  • 傳統的IT支持團隊將處理絕大多數用戶升級問題。他們了解項目的目標並能夠幫助解決用戶問題至關重要。

您還需要一種與將直接受到此更改影響的用戶進行溝通的方式。確保普通用戶能夠實際遵循和完成自助修覆步驟,可以減輕 IT 的工作負擔,節省在故障排除上浪費的時間。

結論

確保員工設備的安全是確保公司信息安全的重要基石。為此,我們對公司的所有設備進行全面評估和定期檢查,以驗證其健康狀況。只有已知的健康設備才能訪問關鍵的內部系統和信息。

員工及其設備已經引起了惡意行為者的關注,您需要保護員工的同時確保其保持高效。為了做到這一點,您需要對機群的狀態有清晰的了解,明確的政策和測量標準,以及處理偏離目標狀態的過程。通過一致的控制和執行,我們相信每家企業都可以同時提升機群的狀態和安全性,增強對日益多樣化的攻擊和威脅的抵抗能力。


上一篇
Day 25 平臺的衡量和控制變量
下一篇
Day 27 長尾
系列文
Google BeyondCorp 零信任模型:從概念到實踐30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言