100条安全架构精髓知识,吃透40条进阶专家! 2025-05-02 网络安全 暂无评论 166 次阅读 #一、基础安全体系(20项) 1. 最小权限原则:所有账号、服务仅授予完成任务所需权限,定期审查并撤销多余权限。 2. 日志全生命周期管理:采用Filebeat、Logstash等工具统一采集→加密传输→集中存储→与SIEM联动分析→归档。 3. 漏洞闭环管理:部署定期扫描计划(如每日自动扫描),高危漏洞需24小时内修复并验证关闭状态。 4. 密码策略:密码长度≥12位,需包含大小写字母、数字和符号,禁止重复或弱口令,强制90天更新。 5. 多因素认证(MFA):所有外部访问与高权限账号必须启用MFA,首选硬件密钥(如YubiKey)。 6. 防火墙规则优化:默认拒绝入站流量,仅按业务需要开放端口,启用基于IP、地域、协议的访问控制列表。 7. 补丁自动化:使用Ansible或WSUS自动分发系统补丁,并生成执行日志和成功率报告。 8. 系统基线加固:参考CIS Benchmark禁用Guest账户、Telnet、SMBv1等非必要服务,配置最小化系统组件。 9. 网络分段:使用VLAN或SDN技术实现生产、办公、测试网络物理隔离,限制跨区域通信。 10. 入侵检测系统(IDS):部署Snort或Suricata监控流量,配置邮件与Webhook双重告警机制。 11. 数据备份3-2-1原则:至少3份备份、2种不同介质、1份存储在离线环境(如磁带)。 12. 安全审计制度:每月审查一次高权限变更、系统配置调整、登录失败等关键事件日志。 13. 物理安全防护:IDC部署人脸+门禁系统,24小时监控录像,环境异常(温湿度、烟雾)自动告警。 14. 终端防护:所有办公终端安装EDR工具,阻断未签名可执行文件、异常进程行为。 15. DNS安全:内部DNS服务器启用DNSSEC签名校验,防止缓存投毒与中间人攻击。 16. 邮件安全措施:启用SPF、DKIM、DMARC配置,拦截伪造发件人和钓鱼邮件。 17. SSH加固:禁用root用户远程登录,仅允许密钥认证,修改默认端口为非22端口。 18. 员工安全培训:每季度进行一次钓鱼演练,评估员工识别能力与响应时间。 19. 零信任架构实施:基于设备+身份+位置实现动态访问控制,取消默认内网信任模型。 20. 蜜罐技术部署:在内网部署低交互蜜罐系统用于诱捕并分析攻击行为,提升检测能力。 #二、云与容器安全(20项) 1. 云资源合规基线:启用云厂商安全基线检查,禁止使用0.0.0.0/0全开放规则,强制HTTPS访问。 2. IAM策略细化:使用RBAC精细控制权限,避免使用管理员角色授予日常操作账号。 3. 容器镜像扫描:在CI/CD流程中嵌入Trivy或Clair扫描任务,阻断含高危漏洞镜像上线。 4. Kubernetes安全加固:启用PodSecurityPolicy、限制主机路径挂载,默认禁止特权容器。 5. 云存储加密:S3或OSS启用服务端加密(SSE-AES256),敏感数据采用客户主密钥(CMK)。 6. 云操作审计日志:CloudTrail或ActionTrail日志保存180天以上并实时传输至SIEM。 7. Serverless安全策略:设置执行时间上限(如 < 30s)、并发数限制、函数调用频率告警。 8. API网关保护:启用JWT验证、速率限制策略、强制HTTPS及签名机制防止伪造请求。 9. KMS统一密钥管理:动态生成API密钥并绑定有效期,避免密钥硬编码。 10. 云WAF防护策略:启用规则引擎拦截SQL注入、XSS、RCE等攻击行为并自动封禁IP。 11. 容器运行时防护:启用Falco等监控容器行为,如shell逃逸尝试、文件篡改等触发告警。 12. 云资源漏洞扫描:集成云厂商Inspector/漏洞扫描服务,对ECS、RDS等进行自动化检测。 13. 多云访问统一认证:采用统一IDP对接多云平台,实现集中权限审计与控制。 14. Serverless函数隔离:限制每个函数使用资源上限(CPU/内存),避免“资源炸弹”攻击。 15. 云防火墙策略优化:基于资源标签、工作负载动态调整流量规则,阻断异常IP。 16. 私有容器注册表加固:启用镜像签名验证、访问日志审计、权限粒度控制。 17. 云负载均衡防护:关闭UDP、非业务协议端口,仅开放HTTP/HTTPS及必要端口。 18. 云DLP策略部署:对对象存储、邮件、Web传输进行敏感数据检测(如身份证、银行卡)。 19. 云资产清单自动同步:使用Terraform等IaC工具对所有资源自动发现、分类并记录变更历史。 20. 服务网格安全通信:Istio或Linkerd启用双向TLS、启用mTLS策略控制服务访问边界。 #三、应用与数据安全(20项) 1. 防御OWASP Top 10风险:重点防注入、失效认证、暴露敏感数据,开发前完成威胁建模。 2. XSS防御策略:输出层面统一使用HTML转义(如OWASP Encoder),启用CSP策略限制脚本执行。 3. CSRF防护机制:每次提交必须包含CSRF Token,并开启Cookie的SameSite=Strict属性。 4. SQL注入防御:全站启用ORM框架或预编译语句,禁用动态SQL拼接。 5. API安全认证机制:OAuth 2.0配合JWT鉴权,启用访问频率限制与IP白名单。 6. 数据脱敏机制:在测试环境中自动屏蔽如手机号、身份证号等敏感字段,使用脱敏规则替换。 7. SSL/TLS加密配置:统一启用TLS 1.3,禁用SSL/TLS 1.0/1.1,禁止使用RC4、3DES等弱加密套件。 8. 文件上传防护:限制文件类型(白名单)、内容扫描(ClamAV)、存储路径隔离。 9. 会话管理策略:JWT令牌有效期控制在30分钟以内,开启IP绑定、设备指纹识别。 10. 业务逻辑安全校验:在支付、转账等功能中校验业务数据完整性、用户身份一致性。 11. 开源组件漏洞检测:使用Snyk、Dependabot等持续监控依赖库漏洞,自动创建修复PR。 12. GDPR合规实现:所有用户数据处理流程加入“可删除、可导出、可撤回”机制。 13. 数据库访问审计:启用MySQL/Audit插件记录每条SQL语句及操作用户信息。 14. 备份数据加密:使用AES-256加密存储所有备份文件,密钥由KMS统一管理。 15. 数据完整性校验:关键配置文件、日志、数据库使用SHA-256校验和周期性比对。 16. 日志脱敏处理:日志输出前自动屏蔽邮箱、手机号、ID号等敏感数据。 17. API调用限速策略:配置速率限制(如每秒 < 10次)与异常行为IP自动拉黑机制。 18. WebShell检测机制:部署Web行为分析引擎,监控创建执行脚本文件、反弹shell行为。 19. 反序列化安全策略:统一封禁非可信类加载机制,启用白名单反序列化。 20. 业务连续性计划(BCP):制定关键业务系统RTO < 2h、RPO < 30min恢复目标,进行双月演练。 #四、身份与访问管理(20项) 1. 统一身份认证(SSO):通过AD/LDAP与SAML或OAuth集成,实现跨系统登录统一认证,提升用户体验并简化账号管理。 2. 多因素认证(MFA):所有员工、管理员、VPN用户强制启用MFA,优先选用TOTP、U2F或生物识别设备。 3. 最小权限控制:基于“按需赋权”原则配置RBAC角色,默认无访问权限,由业务负责人审批权限授予。 4. 权限周期审查:设定权限有效期,定期(如每季度)由数据/系统负责人复核权限分配合理性。 5. 特权账号集中管理(PAM):使用堡垒机集中管理高权限账户,所有操作录像,强制双人审批与自动授权过期机制。 6. 账号生命周期自动化:集成人事系统,员工入离职自动同步账号启用/禁用状态,避免遗留账户。 7. 密码复杂度与策略:配置密码策略(最小长度12位、禁止重复、定期更换、不得使用常见密码)并强制执行。 8. 临时权限动态授予:权限审批采用“临时Token”方式,有效期到即回收,无需人工撤销。 9. 行为基线监测(UEBA):部署UEBA系统分析用户行为基线,识别异常登录时间、IP、操作频率等。 10. API访问认证与授权:API服务接入OAuth2.0 + JWT机制,权限粒度控制到接口级,并记录所有调用行为。 11. 服务账号规范化:服务账号不得用于登录,必须绑定唯一功能模块,权限最小化且定期审计。 12. 联邦身份认证:通过SAML或OIDC实现SaaS平台与本地认证系统联动,统一身份认证与注销。 13. 第三方账户限制:供应商/合作伙伴账号设定访问时段、资源范围、网络来源白名单。 14. 密钥与凭证集中管理:敏感密钥存储于KMS或HashiCorp Vault中,禁止在代码或配置文件中硬编码。 15. SSH接入控制机制:禁用密码登录,统一使用密钥对,接入统一跳板机进行命令审计和权限控制。 16. 登录异常告警:登录失败超过5次锁定账号,来自异常国家或城市的访问实时告警并要求二次验证。 17. 移动设备访问控制:接入企业系统必须通过MDM注册设备,控制设备状态(如越狱、加密状态)与权限。 18. 权限申请审批流程:采用工单系统,权限申请必须经数据资产所有人+安全管理员审批后方可授予。 19. 身份同步监控机制:检测AD等主目录身份同步异常、时间延迟、失败同步并告警。 20. 权限可视化管理平台:构建员工可视化权限查看界面,支持自助撤销、申请、查看权限流转记录。 #五、日志与监控安全(20项) 1. 日志采集平台统一化:全平台日志通过Logstash/Fluentd进行标准化采集,支持动态标签与分类。 2. 操作行为审计:登录、远程操作、配置更改、文件访问、数据库执行等必须记录详细上下文。 3. 日志传输加密:日志传输采用TLS加密,禁止明文发送敏感信息,如认证令牌、密码片段。 4. 日志存储合规隔离:关键日志(如金融、医疗系统)在不同磁盘分区中保存,配置访问权限分层。 5. 审计日志保留策略:操作类日志保存≥180天,合规要求类日志保存≥1年,配置冷/热数据分层存储。 6. 自动化异常告警:建立基于关键字、行为模型、访问模式的告警规则,配置邮件、短信、IM联动通报。 7. 告警响应分级:高/中/低三个等级分类,重大事件自动创建应急响应流程并通知责任人。 8. 用户行为分析(UEBA):采集用户历史行为数据,使用ML算法分析异常模式(如深夜访问、大量下载)。 9. 告警闭环处理流程:所有告警进入工单系统处理,须记录处理过程、责任人、关闭理由与时间。 10. 日志查询权限控制:日志平台启用RBAC模型,不同岗位仅能访问授权日志,防止数据泄露。 11. 日志文件完整性校验:定期对关键日志文件进行哈希校验(如SHA256),检测未授权更改行为。 12. 日志防篡改机制:部署WORM存储(写一次读多次),关键日志存入不可修改分区或第三方审计系统。 13. 跨平台日志聚合:多云、SaaS、IoT系统日志统一归集入中心平台,便于统一分析与告警配置。 14. 数据库操作日志审计:记录所有SQL语句、操作者、来源IP,定期与访问权限做交叉验证。 15. 堡垒机操作日志:所有高权限访问必须通过堡垒机,记录完整操作录像与命令行为日志。 16. 日志脱敏规则管理:日志存储前对敏感字段(如身份证号、密码、Token)脱敏,防止泄露。 17. 容器环境日志接入:Kubernetes日志(容器日志、事件日志、控制面)统一发送至ELK或Prometheus分析。 18. 监控系统高可用部署:监控系统自身部署双活或异地冗余,防止攻击期间失效。 19. AI辅助分析引擎:集成异常聚类、行为预测等AI能力,提升告警准确率与关联性。 20. 日志合规审计:根据等保2.0、GDPR等标准定期审查采集内容、保存方式、权限管理。 转自https://mp.weixin.qq.com/s/38Kzad84jVHIQn0GNDyN7A 标签: none 本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。