遵循食譜（如烘烤 cookie）是確保設備和系統(tǒng)設置和配置一致性的一種方法，這反過來又減少了引入新的配置錯誤的可能性，這些錯誤可能導致攻擊者利用不需要的漏洞。這些配方是基準配置，詳細記錄了操作系統(tǒng)、應用程序或設備應配置的確切設置。使用這些定義明確的配置來自動執(zhí)行以快速有效的方式查找差異和配置漂移的流程。在此博客中，我們將了解配置基線如何成為確保正確設置應用程序和設備的重要工具。

配置基線一點都不新鮮。系統(tǒng)工程師和管理員長期以來一直依賴這些模板來確保每個系統(tǒng)的配置都相同。由系統(tǒng)制造商和其他主題專家組提供的規(guī)范性指南是確保您的配置在設計時考慮到安全性的重要起點。

配置基線定義了必須如何設置特定類型的設備，并且非常詳細到每個輸入和變量。例如，配置基線定義了如何配置對設備的遠程訪問以及要啟用的協(xié)議。利用基線配置應該可以降低設備的總體運營成本，因為它們可以確保整個設備組的同質(zhì)性，這反過來又可以通過自動化和其他省時的方法促進配置。預計如果一個設備在指定配置下運行良好，則其余設備應該以相同的方式運行。適當?shù)呐渲没€也可以提高安全性，因為通過它們的開發(fā)，它們需要對每個設置進行詳細審查，并且通常會根據(jù)用例將設備的默認行為更改為更安全的狀態(tài)。作為設備操作員，您可以研究和查看來自一個來源的規(guī)范性指南，然后擴展此知識以為來自不同制造商的類似設備創(chuàng)建適當?shù)幕€。這種比較方法還突出了設備之間的功能差異，甚至可能會影響您根據(jù)安全功能選擇哪些設備。配置基線應包括如何設置這些安全功能并確保設備和系統(tǒng)適當?shù)丶庸桃悦馐芄簟Ｒ赃h程訪問為例，許多設備都支持遠程訪問，允許系統(tǒng)管理員和開發(fā)人員通過網(wǎng)絡進行配置。設備支持多種協(xié)議（例如，telnet、安全外殼和 Web 瀏覽器訪問）是很常見的，但并非所有這些協(xié)議都同樣安全。

通過將您的基線與您的安全策略和標準相關聯(lián)，確保您的基線支持您組織的安全要求和義務。您的安全策略是您的信息安全計劃的基石，并在高級別定義了哪些行為是允許的，哪些行為是不允許的。一個好的安全策略是廣泛的，涵蓋與您的公司或組織相關的多個安全域。雖然政策范圍更廣、層次更高，但信息安全標準更深入到每個政策領域。例如，您可以在您的政策中包含一個或兩個段落來描述適當?shù)纳矸蒡炞C原則，但專門使用整個五到六頁的標準來更詳細地描述您的組織為這些身份驗證支持的批準協(xié)議和允許的用例和系統(tǒng)服務。配置基線直接支持策略和標準，并包括有關如何設置設備以使用這些系統(tǒng)的實際設置。最后，您可以選擇記錄適當?shù)某绦騺硌a充標準和基線，其中包括關于如何配置更復雜的系統(tǒng)和設備的更廣泛的說明。

在我們之前的遠程訪問示例中，該策略可能描述了所有設備和系統(tǒng)對網(wǎng)絡通信進行加密并要求對特權(quán)訪問進行身份驗證的要求。支持標準將安全外殼（SSH，基于 TCP 22）和超文本安全協(xié)議（HTTPS，基于 443）指定為經(jīng)批準的遠程管理協(xié)議，并將 WS-Federation、安全斷言標記語言 (SAML 2.0) 和 OAuth 指定為經(jīng)批準的身份驗證標準。您組織中的每種類型的設備和系統(tǒng)都會有一個為其創(chuàng)建的唯一配置基線，用于定義使設備能夠支持這些標準的特定于設備的配置設置。配置基線可以采用多種形式。最簡單的是一個表格，其中列出了設備的每個配置元素及其首選值。說明性基線可能包括配置對話框的屏幕截圖，以便于手動設置。為了減少設備之間配置差異的可能性，請務必明確定義每個復選框、單選按鈕和字段的設置方式。對于較大的安裝，尋找機會通過應用程序編程接口 (API) 或設備公開的命令來自動執(zhí)行配置。大多數(shù)企業(yè)網(wǎng)絡設備都是這樣配置的。您可以創(chuàng)建一個包含所有重要配置命令和設置的文本文件或 XML 文檔，并將此文件加載到設備中，以確保以正確的方式配置設備。請務必明確定義每個復選框、單選按鈕和字段的設置方式。對于較大的安裝，尋找機會通過應用程序編程接口 (API) 或設備公開的命令來自動執(zhí)行配置。大多數(shù)企業(yè)網(wǎng)絡設備都是這樣配置的。您可以創(chuàng)建一個包含所有重要配置命令和設置的文本文件或 XML 文檔，并將此文件加載到設備中，以確保以正確的方式配置設備。請務必明確定義每個復選框、單選按鈕和字段的設置方式。對于較大的安裝，尋找機會通過應用程序編程接口 (API) 或設備公開的命令來自動執(zhí)行配置。大多數(shù)企業(yè)網(wǎng)絡設備都是這樣配置的。您可以創(chuàng)建一個包含所有重要配置命令和設置的文本文件或 XML 文檔，并將此文件加載到設備中，以確保以正確的方式配置設備。

這些配置基線是可審計的。許多組織使用經(jīng)過編輯的配置文件向?qū)徲媶T展示設備的安全配置。某些漏洞掃描程序（如 Qualys 或 Nessus）可以配置為掃描其漏洞簽名之外的配置設置。作為更廣泛的信息安全管理系統(tǒng) (ISMS) 的一部分，重要的是不僅要證明您的設備配置正確，而且要證明這些配置符合您的安全策略和程序，而這些配置基線正是這樣做的。

由于多個制造商提供的設備和系統(tǒng)種類繁多，您可能會發(fā)現(xiàn)為本地基礎設施創(chuàng)建配置基線比基于云的服務更多樣化。查看您用于配置最佳實踐的操作系統(tǒng)和大型企業(yè)應用程序的這些制造商。主要的云服務提供商為他們的整個配置公開 API，因此編寫腳本和程序以快速部署新系統(tǒng)變得更加容易，該系統(tǒng)完全按照您的需要配置，就像您的其他系統(tǒng)一樣。Microsoft 已針對其當前操作系統(tǒng)發(fā)布了推薦的安全配置設置，可從其網(wǎng)站下載。此 zip 文件包含數(shù)千個推薦設置以保護這些系統(tǒng)。Internet 安全中心為各種操作系統(tǒng)和應用程序（包括 Microsoft Windows、Linux、iOS、Apache、Docker、Microsoft SQL Server、Oracle 等）提供推薦的安全配置的免費下載。這些資源是免費的，是識別可根據(jù)您的環(huán)境自定義的重要安全配置的良好起點。

結(jié)論

安全配置基線有助于確保以安全且可重復的方式設置您的設備和系統(tǒng)。特別是在可能由多人負責設置設備的大型組織中，這些文檔不僅確保設備設置得當且安全，而且隨后還提供了一個檢查點來審計配置隨時間的漂移。配置基線是全面有效的漏洞管理程序中安全更新的補充組件，也是系統(tǒng)管理員和開發(fā)人員等的重要工具。

審核編輯：湯梓紅