web-dev-qa-db-ja.com

NSA RHEL 6を保護するためのガイドに近いもの

インフラストラクチャグループの一部は、RHEL 6の新機能の利用を開始するためにアップグレードを希望しています。これまで、私はNSAガイド(www.nsa.gov/ia/_files /os/redhat/rhel5-guide-i731.pdf)を使用して、RHEL 5とCentOS 5のインストールを保護します。このガイドは非常に貴重です。

同様の方法でRHEL/CentOS 6を保護した経験がある人はいますか?もしそうなら、どのようなリソース(書面またはコンサルティング)を活用しましたか?

一部の同僚から、バージョン6はバージョン5とさまざまな点で大幅に異なると聞いたことがあります。そのため、これらの違いを適切に考慮しなかったため、セキュリティにギャップホールを残したくないと思います。

RHEL 6のRed Hat独自のガイド( http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html )は本当に十分ですか?

説得力のある機能上の理由がない限り、NSAのようなグループが特定のガイドを作成できるようになるまで、5から6へのアップグレードを保留する必要がありますあなたが保護しようとしているバージョンに?

より適切なフォーラムに私を導くものであっても、あなたからのフィードバックはありがたいです。

よろしく、

マイク

12
theosophe74

マイク、

一般に、セキュリティ強化のための優れたガイドのソースがいくつかあります。

  • DISA STIGs
  • NSA SRG
  • NIST
  • CISベンチマーク
  • ベンダーガイダンス
  • SANS
  • 強化に関する本

私の作業では、DISA STIGとLinuxのパペットを組み合わせて使用​​しています。私はそれは不十分であると言う可能性が高く、以下の推奨事項のいくつかをプッシュします。

上記の強化ガイドには重複があり、一部の領域が不足していることに注意してください。ベストプラクティスは、データベースまたはスプレッドシートのガイドを介してすべての構成オプションを追跡することです。これにより、最も広い範囲をカバーできます。

同じことを行う別の方法は、上記に基づいて強化または監査スクリプトを作成してから、自分の監査を実行して、異なる標準間のギャップがどこにあるかを把握することです。

RHELのガイドで十分だとは思いません。NSA、DISA、NISTの出力を好みます。しかし、Red Hatのガイドは素晴らしい出発点です。

NSAとDISAがドラフトではるかに早い段階で標準の強化に取り組んでいるので、それはあなたにとって良い情報源になるかもしれません。DoDに友人がいる場合、事前にアクセスすることができます。資料もリリースします。現在のRed HatのDISA STIGの状況により、NSAはより速く生成される可能性があります。それらをチェックインして、どこにあるかを確認できます。 。今すぐテスト環境で6に進むことをお勧めします。6で強化スクリプトをテストしてください。

セキュリティ強化ガイダンスを開発するための外部支援の利用

Linuxのセキュリティ強化に特化したセキュリティエンジニアとの契約を検討して、ガイダンスを作成してください。 Red Hatは、セキュリティエンジニアリングの取り組みを加速するために、従業員が関与できるようにすることもできます。

これまでに述べたことはすべて、デューデリジェンスアプローチと妥当なセキュリティを示しています。これに基づいて、上記を考慮して、RHEL6に進むことは明らかです。ただし、セキュリティを非常に重視する規制された環境で作業していることを想定しているため、検討できるタスクをいくつか追加します。

リスク評価によるアプローチの強化

アプローチを次のレベルに進め、最も保持力のある監査人でもレビューに合格するように正当化したい場合は、NIST 800-30を使用して本格的な発達リスク評価を実行することを検討してください。業界。これは、セキュリティのテストと分析によってサポートされています。リスク評価を形式化すると、RHEL6を進めることによって提示されるリスクを適切に文書化し、潜在的な弱点を強化するために追加できるいくつかの潜在的な補完的コントロールが可能になります。

侵入テストの追加

リスクアセスメントを超えて、いくつかの安全な構成の後に、強力なLinuxの背景を持つペネトレーションテスターを雇って、RHEL6ホストのホワイトボックスまたはブラックボックスのペネトレーションを試みることができます。セキュリティで保護されたベースオペレーティングシステムは、攻撃対象領域が少ないため、アプリケーションをロードすると、より現実的な攻撃プラットフォームが提供され、潜在的な攻撃ベクトルを理解しやすくなります。最後に、ペンテストレポートを使用して、前の作業を補強したり、ギャップを埋めたり、コントロールを追加したり、暖かくぼんやりとした操作を行ったりできます。

8
Brennan

RHEL 6 STIGSは2013年5月13日頃に終了する予定です。RedHatのGov-Secメーリングリストの情報をフォローできます。

2
SimonTek