마이크,
일반적으로 보안 강화를위한 유용한 가이드가 몇 가지 있습니다.
- DISA STIGs
- NSA SRG
- NIST
- CIS 벤치 마크
- 공급 업체 지침
- SANS
- 강화 관련 서적
제 작품에서는 DISA STIG와 Linux 용 퍼펫을 함께 사용합니다. 나는 그것이 적절하지 않다고 말하고 아래의 권장 사항 중 일부를 추진합니다.
위의 경화 가이드는 겹치며 일부 누락 된 부분이 있습니다. 가장 좋은 방법은 데이터베이스 또는 스프레드 시트에서 가이드를 통해 모든 구성 옵션을 추적하여 최대한의 적용 범위를 확보하는 것입니다.
동일한 작업을 수행하는 다른 방법은 위의 내용을 기반으로 강화 또는 감사 스크립트를 만든 다음 자신에 대한 감사를 실행하여 서로 다른 표준 간의 격차가 어디에 있는지 파악하는 것입니다.
RHEL의 가이드가 충분하지 않다고 생각합니다. NSA, DISA 및 NIST의 출력을 선호합니다. 그러나 Red Hat 가이드는 훌륭한 출발점입니다.
NSA와 DISA가 초안에서 미리 강화 표준에 대해 작업을 시작함에 따라 이는 좋은 소스가 될 수 있습니다. DoD에 친구가있는 경우 시험판 자료에 액세스 할 수도 있습니다. Red Hat의 DISA STIG의 현재 상태로 인해 NSA가 더 빠르게 무언가를 생산할 수 있다고 말합니다. 나는 그들과 함께 체크인하고 그들이 어디에 있는지 볼 수 있습니다. 테스트 환경에서 지금 6으로 넘어가는 것이 좋습니다. 강화 스크립트를 6에서 테스트하십시오.
보안 강화 지침 개발을위한 외부 지원 참여
Linux 보안 강화에 중점을 둔 보안 엔지니어와의 계약을 고려하십시오. Red Hat은 보안 엔지니어링 노력을 가속화하기 위해 직원들과 계약을 체결 할 수 있습니다.
지금까지 말한 모든 것은 실사 접근과 합리적인 보안을 나타냅니다. 이를 바탕으로 위의 내용을 고려할 때 RHEL6으로 넘어갈 수 있습니다. 그러나 보안에 매우 민감한 규제 환경에서 작업하고 있다고 가정하기 때문에 고려해야 할 몇 가지 추가 작업을 추가하겠습니다.
위험 평가로 접근 방식 강화
다음 단계로 접근하고 가장 보존적인 감사관이 검토를 통과 할 수있는 방법으로 정당화하려면 NIST 800-30을 사용하여 개발 된 특정 제어 세트와 함께 전체 개발 위험 평가를 수행하는 것이 좋습니다. 산업. 보안 테스트 및 분석에 의해 지원됩니다. 위험 평가를 공식화하면 RHEL6을 통해 발생하는 위험에 대한 좋은 문서화와 잠재적 인 약점을 보완하기 위해 추가 할 수있는 잠재적 보상 통제가 가능합니다.
침투 테스트 추가
위험 평가를 넘어서도 강력한 Linux 배경을 가진 침투 테스터를 참여시켜 보안 구성 후 RHEL6 호스트의 화이트 박스 또는 블랙 박스 침투를 시도 할 수 있습니다. 안전한 기본 운영 체제는 공격 영역이 많지 않을 수 있으므로 응용 프로그램에로드하면 잠재적 인 공격 경로를보다 잘 이해할 수있는보다 현실적인 공격 플랫폼이 제공됩니다. 마지막에 펜 테스트 보고서를 사용하여 이전 작업을 보강하고, 간격을 좁히고, 컨트롤을 추가하고, 더 따뜻하고 퍼지가 많은 작업으로 향할 수 있습니다.