安全与运维如何协同管理暨DDOS防护方案对比探讨 | 总第134周

安全与运维如何协同管理暨DDOS防护方案对比探讨 | 总第134周

0x1 本周话题TOP2

话题1：大家的准入、vpn、堡垒机、防火墙这些是在安全部门还是在运维部门？这类有涉及安全也有运维的产品，安全与运维如何协同？

A1：我们涉及安全也有运维的产品。一般安全负责日志分析，运维或者其他团队负责硬件，VPN和防火墙由网络团队管，这些安全产品的网络属性也比较强（vpn，防火墙等）。

A2：我们也有这个问题，准入和vpn不在一个团队，未来想在端上要把这两个融合，如何做好协同？目前区分太开，有严重的部门墙，感觉协同管理更难。

A3：依我所知，没有特别依据或准则，一般沿袭各家习惯和老板认知。有的在网络团队，有的在安全团队。

至于协同管理，得有个很重要的磨合点，运维和安全的分工要能为各自的目标负责。以网络管防火墙为例，网络想尽可能简化策略，避免调整策略，安全想尽可能地互联网暴露面小，导致立场目标不一样，磨合会不容易。感觉职场有时候还是得打一打人际关系牌，分工没办法完全清清楚楚，有灰色地带。

A4：共同运维，这个确实比较好，也是我们现在的体会，但是度很难把握，最终还是有一个主责方。全部给运维，他们更关注稳定性、可用性，一些安全配置功能，根本没用上；全部给安全，安全人员也确实忙不过来，而且还有一些运维方面的专业性。度确实难以把握，而且也需要双方认可。

A5：运维主责，那安全就提要求、运维落实，反之同理。我们是运维负责这些设备管理、维护和操作，安全负责提供安全相关的控制策略（由运维操作）并收集来自这些设备的日志（告警）做安全分析。不过我们安全和运维虽然归属不同中心，但都属于同一个主管，这部分好协调。团队管理最主要是能促成共识机制。

A6：主要看运维条线，安全条线的分管领导及话语权，如果是一个运维条线负责比较合适，尤其是规模大的企业，运维工作量还是大的，如果不在一条管理线上是很多问题的，尤其是涉及网络准入跟区域隔离会影响业务。

同时，每个公司运维和安全的职责定义都不一样，不好一概而论。上面说的这些系统我们这都是安全团队负责管理和维护。

A6：是的，得打开看。我们是准入、堡垒机在运维团队系统管理，vpn、防火墙在运维团队网络管理。网络策略开通是安全团队和网络团队定好规则。安全团队有准入、堡垒机、VPN的审计权限。

这里，策略是否允许开通是安全审核还是网络审核？这个没有固定的标准，根据各家的环境来，具体问题具体分析。

A7：网络策略还要2个组批？这么复杂吗？不是应该网络分区，隔离的架构、技术方案和原则定义之后，那么网络团队去做不就完了吗？毕竟有防火墙自动化平台（保证生成规则符合既定原则，新增策略不直接覆盖现有其他规则，执行正确），也有防火墙策略管理功能（如FIREMON这种）保证策略的生命周期和有效性。

每条网络开通规则，安全团队都去审，有这么多人吗？即使审了，有足够的信息给安全团队去判断是否能开吗？无论是需求描述和防火墙现有策略现状？审核过了，又能确保网络执行人执行对吗？安全其实应该多对技术架构提意见和建议。

A8：防火墙：基础服务属性略强，但执行安全职责。基础服务团队审核职责主要在策略是否可以把执行，是否对现网服务有损害。安全审核是否达到安全期望，实际审核过程可基于基线符合的进行先注册后设计，超出的先审后通。

但如果是一个特别的小型高敏感区，上述不符合。

A9：我的认知也是这样。应用系统有四态，防火墙策略都是部署态的执行阶段了，真不觉得有啥好审的，而且降低效率，安全左移就是希望设计态介入的，虽说也和企业文化、传统分工、具体当事人的想法等等都有关系。

话题2：大家面对DDOS都有什么好的办法？买运营商的清洗服务？云waf？云防？冗余链路？

A1：WAF不能解决DDOS的问题，只是辅助阻断一部分连接，冗余链路也只是缓解，在大流量面前效果不大。流量小的增加带宽，CDN，大了就得用云清洗。其中运营商的清洗服务只能提前买，不能后付费。

A2：带宽往往一时半会也扩不起来，涉及费用流程啥的，而且怕扩了也很快满了。云清洗感觉买几年服务一次也没用上过，亏得慌。

A3：买流量清洗，商务谈判的时候跟运营商谈最大防护开启次数。流量清洗各种收费的点太多了，流量、清洗并发等，没必要按足买，我们的做法是商务谈判时让运营商每年送1次最大防护。另外，电信和联通的流量清洗有区别，联通最近换了云盾产品，有最大防护次数的讲法；电信每个地方的不同，上海电信没有。

Q：高防和运营商清洗有啥区别？哪个合适？

A4：买厂商的高防，有些能力也是运营商的能力。省心的话，直接买三方的吧，做的细一些，运营商的清洗适合面临长期大流量的攻击。运营商清洗一般只清洗自己的链路，比如电信的只能清洗电信，移动和联通的清洗不了。厂商的高防一般有BGP或者CDN，都可以防护全部链路，但是需要把站点的证书提供给厂商，如果泄露，就需要换证书了。

A5：国内的运营商不支持BGP牵引，如果你只是web应用，可以选择dns代理方式，把你的域名解析关联到安全厂商的高防IP上，让他给你做防护，这种方式你入向出向的流量都会经过这个IP；或者你选择在你数据中心本地建立清洗中心，在你带宽出口未满是，将流量按需清洗，流量超出你带宽时，联合你的上游服务商做黑洞封停（通过API）。国际场景，可以通过BGP按需牵引，无论是你本地，还是第三方的云清洗中心，构成混合清洗方式。

A6：如果预算足一般建议混合清洗方案，即本地抗D清洗硬件+云清洗服务。

0x2 本周精粹

姚志平：浅谈风险管理视角的信息安全工作

0x3 2022年第6周运营数据

金融业企业安全建设实践群 | 第134期

本周群里共有 201 位群友参与讨论，群发言率为46.745%，群发言消息数为 1207 条，人均发言数为 6 条。

企业安全建设实践群 | 第59期

本周群里共有 96 位群友参与讨论，群发言率为20.77%，群发言消息数为 362 条，人均发言数为 3.77 条。

0x4 群友分享

【漏洞情报】

实战 | 价值126,000 美元的漏洞导致Facebook帐户接管的故事

B站企业邮箱发全员钓鱼链接致多员工被骗达8万元，公司被质疑不想负责

【安全资讯】

2022年刑侦工作怎么做？

思科竞购 Splunk：出价 200 亿美元

二级市场网络安全公司估值进入机会区间

葡萄牙全国大面积断网：因沃达丰遭破坏性攻击

快钱、得仕被罚，2022年首张千万级罚单来了！

千亿营收、万人团队：微软安全已成为网络安全霸主

微软商议收购曼迪安特/Mandiant，成为安全情报霸主

起底巧达科技：“玩转”8亿人数据的灰色生意

https://tech.sina.cn/csj/2019-03-27/doc-ihsxncvh5874395.d.html?from=wap

上亿简历大数据公司被警方一锅端 大股东曾多次犯罪

https://tech.sina.cn/i/gn/2019-03-25/detail-ihsxncvh5273989.d.html?from=wap

用微信传递涉密文件！浙江省通报5起违反保密法律法规典型案例

https://export.shobserver.com/toutiao/html/450025.html?tt_from=weixin&tt_from=weixin&utm_campaign=client_share&wxshare_count=1×tamp=1644326135&app=news_article&utm_source=weixin&utm_medium=toutiao_android&use_new_style=1&req_id=2022020821153501013819015713876AC1&share_token=d5d87a9f-3b2d-477d-832d-83e8e84540d8&group_id=7062290658085732895

国务院关于印发“十四五”数字经济发展规划的通知（国务院公报2022年第3号）

【安全圈】北京一科技公司利用爬虫技术窃取2.1亿条简历数据 被告人被判处有期徒刑7年

【安全技术】

A Touch of BeyondProd

企业面对APT化攻击的防御困境

NSFOCUS旧友记--quack的绿盟往事

监控员工离职动态，是否侵犯个人隐私权

开源软件包与软件供应链安全漏洞修复分析研究

--------------------------------------------------------------------------------

往期群周报：

关于上海首份《企业数据合规指引》建议企业数据合规由合规部管理的探讨暨红蓝对抗价值呈现的思考 | 总第133周

员工被公司盗号邮箱钓鱼后的个人经济损失处理、员工行为风险预警合法性暨交易数据加密存储解决方案探讨 | 总第132周

红蓝对抗服务之攻击队约束条款、业务首次上云避坑讨论暨sudo账户管理问题 | 总第131周

从CMDB到SCMDB，安全资产管理的实践探讨以及向上管理艺术之如何有效争取资源 | 总第130周

如何进群？

如何下载群周报完整版？

请见下图：

‍

‍

‍

‍

‍

‍