【金融級IT架構與運維：雲原生、分佈式與安全】筆記

1. OpenShift容器雲的安全加固最佳實踐：https://docs.openshift.com/container-platform/4.13/security/index.html

2. DevSecOps - Jenkins pipeline：

並再透過StackRox對Kubernetes層強化安全性。

3. DoD - Container Hardening Process Guide：https://dl.dod.cyber.mil/wp-content/uploads/devsecops/pdf/Final_DevSecOps_Enterprise_Container_Hardening_Guide_1.2.pdf

4. Ansible Security Best Practices：https://docs.ansible.com/automation-controller/latest/html/administration/security_best_practices.html#general-best-practices

5. RHEL Security Hardening：https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/index

6. 穩態中心安全建設：

（1）防火牆：通常會在以下三層部署防火牆

a. 網路接入層：包括多條供應商提供的鏈路，以及可以被外網存取的業務IP入口。

b. 網路前置層：會分為多個水平區，每個區承載不同的業務，且通常有與之對應的後台業務區。SSL解密設備、WAF、動態混淆設備也會放置於此。

c. 後台業務系統層：運行銀行核心業務與資料，防火牆會放置在業務區入口、不同業務區東西向之間。

• 防火牆作為應用代理會有很大的限制，由於無法代理七層應用服務，不具備負載平衡能力，因此通常使用防火牆的NAT功能，把內網中的位址轉為外網IP位址。

• 而防火牆之後的鏈路控制，負載平衡設備只需處理內網位址，以簡化負載平衡設備執行安全控制的複雜性。

（2）SSL解密設備

• 部署於網路前置層，主要目的為SSL解密後讓前置區的應用安全檢測設備能對Client端的請求進行安全檢測。

• 由於解密後可能受嗅探、APR Spoofing等風險，因此SSL解密設備應在一層內就結束，在資料中心建立信任的網路區和非信任的網路區，把SSL解密設備部署到信任的網路區，在信任的網路區內可忽略非加密流量傳輸的風險，同時透過安全合規規範、培訓提高資料中心操作人員的安全意識，並對操作人員於任何時間的任何操作保存審計記錄。

• 第一層負載平衡負責SSL設備的負載平衡與非SSL流量的轉發功能，將SSL流量轉發到SSL解密設備，並將非SSL流量直接轉發到第三層負載平衡。

• 第二層SSL解密設備，通常是多節點集群部署，負責SSL解密功能，當流量解密後匯聚到第三層負載平衡。

• 第三層負載平衡負責伺服器的負載平衡。

• 三明治架構的好處在於優化網路轉發與網路配置，若配置SNAT，則只需要在第三層負載平衡配置即可；若要在應用伺服器配置gateway，則一樣只需配置第三層負載平衡地址作為gateway即可。

• 一般SSL解密設備通常會針對不同的業務提供不同的入口地址，不同的入口對應不同的證書，而由於三明治架構下的SSL解密設備位於中間層，因此方便SSL解密設備的升級與擴展。

（3）WAF：分為兩種模式：

a. 路由模式（三層代理模式）：

• 將伺服器位址映射到WAF設備上，WAF會分別與Client與伺服器建立TCP連接，所有流量透過前端網路連接發給WAF，在WAF處理後再透過後端連接發給伺服器。

 b. 透明模式（兩層代理模式）：

• 部署在Web伺服器前端的網路流量集中點，以橋接方式工作，透過擷取請求流量來獲取存取資訊。

• 每台WAF設備會有VLAN in、VLAN out，Client請求流量到達應用之前會經過VLAN in到WAF，WAF對HTTP流量處理後再透過VLAN out將資料送到業務區的應用。

• 透明模式的WAF不需配置IP位址，前端請求可直接發送到後端伺服器。

• 好處是零配置，若設備故障可直接bypas直通、性能好。

• 運作於第七層應用層，主要透過中間代理的方式擷取HTTP流量，再透過其過濾規則進行分析與攔截。

• 針對啟用SSL加解密的應用，WAF需要部署在SSL解密設備之後、Web伺服器之前。

（4）安全設備部署方案：

a. 流量編排集群：

• 負責接受外網與內網發來的業務存取流量，對流量進行識別、分類，並依據業務、安全需求對不同流量進行統一調度。

• 流量編排集群依據相應的策略將請求轉發給相應的安全資源池，而安全資源池完成相應檢測後，再將請求送回流量編排集群。

• 針對七層加密流量，流量編排集群本身可考慮同步進行解密，也可先部署解密設備，當解密完成後再將明文送到各個安全資源池。

b. 安全資源池：

• 由兩台或以上具備相同功能的安全設備組成，如SSL解密資源池、NGFW資源池、IPS資源池、WAF資源池、防毒資源池等。

• 服務鏈：SSL解密 → NGFW → IPS → WAF