開放性有時會讓剛接觸開源軟體的人,產生安全問題上的疑慮。有些人認為 Linux 散佈套件的推陳出新,意味著缺乏標準化,在安全架構與系統管理上,也沒有最佳的實踐標準。
事實上,開放性與大量出現的不同專案其實是優點。上至 Linux 下至小應用程式的開源專案,都會受到開發者不斷地檢視並加以改進。也就是說有許多雙眼睛在審視這些程式碼,他們都想看到這些程式碼順利運作。
Linux 資料安全確有標準存在,主要就是最初由美國國家安全局開發,於 2000 年公開釋出的 Security Enhanced Linux (SELinux)。其他也有像是 ISO 27001、PCI DSS 等中立於平台之外的標準。不過如果不付諸實用,有了這些工具也毫無意義。
常見的問題出在當 Linux 被不同團隊在不同時間,出自不同目的而部署於資料中心各處時,其組態配置所出現的差異。實作並維護適當的安全措施於是變得很棘手。這是風險所在,特別是今日的 IT 基礎架構乃是奠基在廣泛的分散式網路,這為入侵者提供了企業系統與資料的現成進入點。
標準化是關鍵之處,確保安全標準貫徹應用於 Linux 設計、部署、維護過程中。有三項基礎:
標準作業環境是一套經過仔細定義的核心建構規格,能協助組織為依據其不同硬體平台、企業應用與工作負載,實作安全且經優化 Linux 系統,發展出一套可重複的流程。核心建構讓系統能迅速且一致地以安全的方式進行部署。
標準作業環境管理平台是例如像 Red Hat 的 Satellite 伺服器與 Puppet 這樣的一系列技術,讓系統管理者有辦法輕鬆將重複工作自動化,並快速部署與有效管理標準作業環境與其安全性。標準作業環境管理平台能大幅降低核心建構安全性、部署和維護週期的運作成本。
為了維護 Linux 資料安全,安全管理必須成為 FCAPS 等所有管理方法論的關鍵組成部份。
除了標準作業環境管理平台,像是 Centrify 等技術提供了有組織的辨識與存取管理方法,帶來更強大的安全性,更符合規格要求並降低營運成本。
◎本文翻譯自 Linux IT,原作者為 Simon Mitchell:
https://www.linuxit.com/blog/bid/324262/Best-Practice-Linux-Guide-Data-Security?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+LinuxIT+%28LinuxIT+Blog%29