随着互联网的发展,安全的重要性已经逐渐引起了大家的注视。安全包括很多方面:代码安全、系统安全、硬件安全、安全意识等等。笔者最近在加强企业内部安全过程中,尝试了青云的vpn服务组建了一个企业安全内网,效果还不错,和大家分享下。
首先说一下我们的应用场景。我们是一个小团队,上网方式都是使用动态拨号的方式,办公室出口的ip地址都是动态在发生变化的。外网的web服务等服务器都是采用的云主机。我们还有几位同事是在家办公。从我们的系统来讲,可以分为对外公开的服务(网站)和企业内部系统(比如我们的禅道项目管理,然之协同等)。网站还有各自的管理后台。
存在的问题。我们的内部网络系统和企业管理后台都是直接暴露在公网上面的,部分同事的密码存在弱口令。再加上我们以开源的方式来发布我们的禅道,蝉知等几款软件,所以企业的信息在外面暴露的比较多。在专业的黑客面前风险比较高。
首先:业务分离。按照业务线把系统分开,避免一个节点出现问题,关联的会引起其他的节点出现问题。各个业务机器之间彼此是隔绝访问的。
再次:强制口令。强制大家使用keepass这样的密码管理工具,做到每个系统的口令都是随机口令,并且不同。
第三:最小授权。细致的梳理了各个系统的管理员帐号,如无必要,不予分配管理权限。做到最少的管理帐号。
第四:避免默认。系统默认的很多设置都比较危险,比如ssh的端口号等等。通过修改ssh默认的端口号,禁止密码登录,强制使用私钥登录等方式,都会安全很多。
第五:单一入口。我们使用青云的vpn服务组建了一个企业安全内网,每个人通过vpn客户端可以登录到一台只有内网访问的机器,然后再通过这台机器访问其他的系统。
第六:邪恶输入。凡是用户的输入都是邪恶的,在代码层面加强对用户输入的过滤。同时在服务器端通过一些配置增强对用户上传文件,数据的检查。
第七:缄默法则。尽可能的屏蔽可以暴露系统特征的信息,比如apache的header信息,php的信息等等。
安全问题无止境,欢迎大家一起探讨。