技术指南

持续保障 IT 安全的指南

IT 和网络安全应该具备持续性和集成性。可是,您要如何实现上述这两点呢?对此,我们的观点是:您不应该按照离散或线形方式来执行相关的步骤。请将这些步骤视为一系列彼此相连的齿轮:当一个齿轮转动时,其他的齿轮也会随之转动——换言之,安全计划的各个部分应该同步实施。

Security guide diagram

设计

安全要从设计环节开始抓起

请在您的各个团队间设计采用职责明确的协作式流程的工作流,以针对整个 IT 生命周期定义并实现安全防护。如果您采用的技术存在高度关联的环境(如云环境),那您一定要知道:某些控制权可能会掌握在第三方供应商的手中。

您应该与自己的团队探讨一些问题:你们需要针对自己的环境实施哪种类型的安全控制和流程?你们将如何与供应商展开合作?你们将如何在各个团队间传达重要的安全决策?

Design phase of security

立即开始:

  • 定义安全控制和需求
  • 以协作方式开发安全流程
  • 确保您的团队知晓最新的安全标准
  • 制定明确沟通方法,以便在有事发生时能够尽可能同步地针对整个 IT 生命周期实施相应的安全解决方案
  • 选择您所信赖的供应商开展合作,并明确他们的职责范围

构建

借助自动化功能实现安全性

DevOps 会使用自动化功能,在应用生命周期的所有阶段持续运行反馈循环。在“实现安全性”时可以借鉴这种做法——即使您所在的企业并未采用 DevOps 方案。通过实现安全检查和流程自动化,可以获得以下几大益处:避免重复并减少人为错误;形成集中式仪表板以用于决策制定;加快威胁搜寻和响应流程的推进速度。您还可以使用自动化功能构建安全闸门,以便在安全检查未能通过时自动禁止部署操作。

同样地,在借助自动化功能实现安全防护时也会面临虚假警报和内部威胁。自动化功能需要加以管理,以便满足团队的特定需求。在实现基础架构、应用和流程的安全性时,请问问自己是否已采取相应的控制措施,以防止未经授权的更改和访问。请尽可能使用加密功能。

Build phase of security

立即开始:

  • 使安全检查实现自动化,并将其集成到构建和部署流程中
  • 利用安全闸门触发相应的操作(是要进行部署还是禁止部署)
  • 使用加密算法和接口
  • 选用具备日志记录和监控功能的基础架构

运行

在安全增强型平台上运行

依赖于手动流程的传统安全模型无法满足新型分布式技术(如云技术)的安全需求。这些技术以及支持这些技术的工具和流程非常依赖于自动化功能。无论您使用的是物理、虚拟、私有还是公共云环境,请务必在您的基础架构中嵌入具备防护功能且能在您的所有环境中通用的安全增强型平台。

Run phase of security

立即开始:

  • 使安全检查实现自动化,并将其集成到构建和部署流程中
  • 基础架构平台应该可以跨架构集成和使用并保持一致性,并适用于各种流程

管理

管理配置、用户和访问权限

应当投资购置那些能够自动处理安全配置更改、审计和纠正的管理工具。根据您的特定安全需求尽早分配角色将有助于您维护弹性安全环境。请确保只将特权分配给具有相应工作需求的人员。您可能会在员工加入公司时为其分配特权;但是,请务必定期更新用户的数据,并在员工离职时再次进行更新。

请考虑以下事项:您是否已部署可用于分析和迁移事件的工具?您将如何使用自动化功能,跨不同的工作负载自动应用、审计和纠正安全和法规合规性策略?

Manage phase of security

立即开始:

  • 维护最新的资产目录,并访问权限和使用情况进行监控
  • 部署相应的管理解决方案,以便持续主动地确保整个基础架构的安全性:物理、虚拟、私有和公共云环境
  • 利用可跟踪 IT 生命周期各阶段的仪表板,主动管理用户和访问权限
  • 定义安全配置文件和您需要进行的安全控制
  • 自动遵循这些安全配置文件
  • 确保以代码的形式来构建基础架构并确保安全性(这不仅有助于构建可重复、可共享且可验证的基础架构,还有助于简化合规性审计)

灵活应变

灵活应对不断变化的形势

安全形势瞬息万变。请制定相应的计划,以便根据不断变化的监管和审计需求定期修正所采用的安全解决方案。一定要知道可在何处查看安全警告和建议,并根据这些信息做出相应的调整。即使制定了最好的安全计划,仍会定期出现新的攻击向量。要想确保您的业务安全,最重要的措施之一就是实现对于安全威胁的快速响应。在遭遇安全威胁后,有合作伙伴协助您进行补丁、修复和故障恢复,这对于您快速恢复日常业务运作至关重要。

Adapt phase of security

立即开始:

  • 利用分析和自动化功能进行灵活应对:根据不断变化的形势,对安全解决方案进行修改、更新、纠正
  • 根据角色和职责的变化,更新访问权限设置
  • 满足各种监管和审计需求
  • 根据不断变化的形势,修改和更新您的策略和监管措施

我们可以提供相关帮助

需要更多的指导或适用的工具来开启您的安全之旅?以下是红帽提供的部分资源,可帮助您提升企业安全性。

安全资源

开发人员

红帽开发人员计划

了解如何通过红帽开发人员计划实现安全编程。

培训

红帽安全:物理、虚拟和云中的 Linux(RH415)

采用安全技术管理安全风险并帮助满足合规要求。

支持

大客户技术经理服务

与技术顾问合作,完成风险评估和可支持性检查。

了解红帽技术的安全之道