Mike,
umumnya ada beberapa sumber panduan yang bagus di luar sana untuk pengerasan keamanan.
- STA DISA
- SRG NSA
- NIST
- Tolok Ukur CIS
- Panduan vendor
- TANPA
- Buku khusus untuk pengerasan
Di tempat kerja saya, kami menggunakan kombinasi DISA STIG, bersama dengan boneka untuk Linux. Saya akan lebih cenderung mengatakan bahwa itu tidak memadai dan mendorong beberapa rekomendasi di bawah ini.
Perlu diingat bahwa panduan pengerasan di atas memang tumpang tindih, dan beberapa area hilang. Praktik terbaik adalah melacak semua opsi konfigurasi melalui panduan dalam database atau spreadsheet, sehingga Anda dapat memiliki cakupan terbanyak.
Cara alternatif untuk melakukan hal yang sama adalah dengan membuat skrip pengerasan atau audit berdasarkan di atas, dan kemudian menjalankan audit sendiri untuk mencari tahu di mana kesenjangan antara standar yang berbeda.
Saya tidak percaya panduan RHEL cukup - saya lebih suka output dari NSA, DISA dan NIST. Tapi, panduan Red Hat adalah titik awal yang bagus.
Ketika NSA dan DISA mulai bekerja pada standar pengerasan jauh di muka, dalam konsep, itu mungkin merupakan sumber yang baik untuk Anda. Jika Anda memiliki teman di DoD, Anda juga bisa mendapatkan akses ke materi pra-rilis. Karena keadaan saat ini dari DISA STIG untuk Red Hat, saya akan mengatakan NSA kemungkinan akan menghasilkan sesuatu yang lebih cepat. Saya dapat memeriksa dengan mereka dan melihat di mana mereka berada. Saya akan merekomendasikan mulai bergerak maju ke 6 di lingkungan pengujian sekarang. Dapatkan skrip pengerasan Anda diuji dalam 6.
Melibatkan bantuan dari luar untuk mengembangkan panduan pengerasan keamanan
Pertimbangkan keterlibatan dengan Insinyur Keamanan yang berfokus khusus pada pengerasan keamanan Linux untuk menghasilkan panduan bagi Anda. Red Hat dapat menyediakan karyawan mereka untuk keterlibatan juga untuk mempercepat upaya rekayasa keamanan.
Semua yang Anda katakan sejauh ini menunjukkan pendekatan uji tuntas dan keamanan yang wajar. Berdasarkan itu, saya pikir mempertimbangkan di atas, Anda jelas untuk bergerak maju ke RHEL6. Namun, saya akan menambahkan beberapa tugas tambahan yang dapat Anda pertimbangkan karena saya menganggap Anda bekerja di lingkungan yang diatur yang sangat sadar akan keamanan.
Menambah pendekatan Anda dengan Penilaian Risiko
Jika Anda ingin mengambil pendekatan Anda ke tingkat berikutnya, dan membenarkannya dengan cara yang akan melewati tinjauan bahkan oleh auditor yang paling retrospektif, pertimbangkan untuk melakukan penilaian risiko perkembangan penuh menggunakan NIST 800-30 bersama dengan set kontrol tertentu yang digunakan dalam Anda industri. Ini, didukung oleh pengujian & analisis keamanan. Memiliki penilaian risiko diformalkan akan memungkinkan dokumentasi yang baik dari risiko yang disajikan dengan melangkah maju dengan RHEL6, dan beberapa kontrol kompensasi potensial yang dapat Anda tambahkan untuk menopang setiap kelemahan potensial.
Menambahkan tes penetrasi
Mengambilnya bahkan di luar penilaian risiko, Anda dapat menggunakan tester penetrasi dengan latar belakang Linux yang kuat untuk mencoba penetrasi white box atau black box dari host RHEL6 Anda setelah beberapa konfigurasi aman. Sistem operasi pangkalan yang aman mungkin tidak menghadirkan banyak permukaan serangan, sehingga memuatnya dengan aplikasi akan menghadirkan platform serangan yang jauh lebih realistis yang akan lebih memungkinkan Anda untuk memahami vektor serangan potensial. Berputar-putar di akhir, menggunakan laporan tes pena Anda bisa menambah pekerjaan Anda sebelumnya, menutup semua celah, menambahkan kontrol tambahan dan menuju operasi dengan jauh lebih hangat dan tidak jelas.