生产环境中的合规检查

0x00、前言

在各级政务单位大力建设政务云、城市云的背景下，等保合规成为了购买安全产品的刚性需求。对应最新出台的等保v2.0，无论是从网络层面、主机层面都做了详细的规定。那么如何建设一套切实可行并且满足国家规定的相关规范的合规类产品，也成了安全人员需要考虑的问题。

0x01、解决方案

从安全解决方案方面可从以下三个方面入手：

1、针对于公有云环境，我们需要对云上产品做基线检查。

2、针对网络层面，需要对主机和web应用做基线扫描。

3、针对主机层面，我们要对主机上的操作系统、中间件和数据做基线检查。

0x02、云上产品层面合规检查

针对公有云环境，我们需要从两个层面去检查，第一层面检查公有云底层架构，通过测试用例保证网络部分带宽满足业务高峰需要，提供通讯线路、关键网络设备的硬件冗余，保证系统稳定性。也就是说：POP/AZ节点保证双活高可用，业务系统使用负责均衡系统。身份鉴别，采取两种和两种以上组合的鉴别技术对用户进行身份鉴别，也就是说公有云账号管理需要支持双因数认证系统MFA。同时对远程访问的用户公有云API行为做单独行为审计和分析。同时部署公有云安全防护产品， 例如：高防IP、云/VPC-WAF、态势感知。

0x03、网络层面合规检查

能够全方位检测IT系统存在的脆弱性，发现操作系统存在的安全漏洞、安全配置问题、Web应用安全漏洞以及存在的弱口令问题。

下面每个应用列举Top10漏洞给大家做参考。

Web漏洞部分：

主机漏洞部分：

当然还有很多运维相关的软件，例如：zabbix、confluence等。但对外提供服务的可能比较小，在内网横向渗透的时候使用的比较多。

0x04、主机层面合规检查

针对linux操作系统合规检查，最高优先级的检测项如下：

抽象一下：

0x05、总结

把以上检测项都用自动化手段实现，并且部署到自己的生产环境，基本上可以满足等保和实际安全检测需求。当然在你的实践过程当中你会收获更多。