眾所周知，確保網(wǎng)絡設備與應用系統(tǒng)的安全運行是減少基礎(chǔ)架構(gòu)攻擊面的基礎(chǔ)和前提，為此，國際互聯(lián)網(wǎng)安全中心（CIS）等組織陸續(xù)頒布了相關(guān)工作指南，明確規(guī)定了所有部署的應用系統(tǒng)都應安全配置，并且這些配置應受到持續(xù)監(jiān)控，并得到長期維護，以便保持在安全可靠的配置狀態(tài)下運行工作。但是在實際應用中，雖然很多企業(yè)都會按照CIS標準指南要求部署配置系統(tǒng)，但長期的準確管理配置卻難以保障，配置漂移情況時有發(fā)生。

　　什么是配置漂移？軟件系統(tǒng)在開發(fā)和交付過程中，需要根據(jù)應用需求不斷進行修改和調(diào)整，隨之而來也會發(fā)生相關(guān)軟件運行參數(shù)的配置變更。在理想的情況下，這些變更都應該有序進行，并被準確跟蹤記錄。但是，由于企業(yè)的實際應用環(huán)境并不完美，導致企業(yè)很多的修改并未被正確同步。當系統(tǒng)正式上線后，實際運行的配置與研發(fā)設計的配置并不一致，這種現(xiàn)象就叫配置漂移。

　　配置漂移會讓組織面臨重大安全風險，具體視漂移的嚴重程度而定。那么該如何應對這種情況的發(fā)生呢？維護系統(tǒng)配置的方法主要有三種。企業(yè)組織可以根據(jù)自身安全管理流程的成熟度，選擇適合自己的管理方法。

　　模式一  人工監(jiān)控系統(tǒng)配置

　　人工管理系統(tǒng)配置非常耗時，因此難以定期、持續(xù)開展。由于合規(guī)管理的硬性要求，組織通常會嘗試將系統(tǒng)數(shù)量限制在必須審核管理的范圍內(nèi)，從而盡可能減少人工監(jiān)控的工作量。在此情況下，審核員也只會核實有限范圍內(nèi)的部分系統(tǒng)和應用，以驗證配置的正確性和合規(guī)性。只有當這部分設備被發(fā)現(xiàn)存在配置漂移時，組織才會采取修復措施。

　　模式二  通過掃描工具監(jiān)測配置情況

　　采用掃描工具可以對人工監(jiān)測進行有效的補充，但這仍需要一定程度的交互來創(chuàng)建工具掃描所需的管理憑據(jù)，以及需要時安排工具操作人員運行掃描，并針對結(jié)果進行人工修補。工具掃描通常每月或每季度進行一次，以滿足合規(guī)流程的需要。

　　在實際應用中，這種模式通常也主要針對合規(guī)要求內(nèi)的應用系統(tǒng)，而其他系統(tǒng)往往會被遺忘，只有在它們暴露出問題或發(fā)生運行事故時才進行檢查。在CIS發(fā)布的指南中，建議企業(yè)組織盡可能為所有應用系統(tǒng)提供安全配置監(jiān)測，因此即使發(fā)生變更，也應有能力持續(xù)維護所有運行系統(tǒng)上的配置正確。

　　模式三  實時地監(jiān)控所有系統(tǒng)配置

　　在此模式下，可以為各種應用系統(tǒng)配備輕量級代理，并通過代理監(jiān)控系統(tǒng)的配置變更和運行狀態(tài)。代理程序可以嵌入到已部署的映像中，或者包含在某些自動化工具（比如Puppet或Chef）的部署流程中，從而連接到所有的應用系統(tǒng)上。

　　一旦代理啟動并進行監(jiān)控，就可以實時發(fā)現(xiàn)系統(tǒng)的異常變更，同時啟動相應的修補措施。比如說，這可以通過自動創(chuàng)建事件工單、發(fā)送電子郵件或通過安全事件管理（SIEM）工具來完成。

更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<