Mike,
ci sono generalmente alcune fonti di buone guide là fuori per rafforzare la sicurezza.
- I DISIG STIG
- Gli SRG dell'NSA
- NIST
- Benchmark CSI
- Guida del fornitore
- SANS
- Libri specifici per l'indurimento
Nel mio lavoro, usiamo una combinazione di DISA STIGs, insieme a fantoccio per Linux. Sarei più propenso a dire che è inadeguato e spingere per alcune delle raccomandazioni seguenti.
Tieni presente che le guide di tempra sopra hanno sovrapposizioni e alcune aree mancanti. Una buona pratica è quella di tracciare tutte le opzioni di configurazione tramite la guida in un database o foglio di calcolo, in modo da avere la massima copertura.
Un modo alternativo di fare la stessa cosa è quello di creare script di hardening o auditing basati su sopra e quindi eseguire audit di te stesso per capire dove si trovano gli spazi tra i diversi standard.
Non credo che le guide di RHEL siano sufficienti: preferisco i risultati di NSA, DISA e NIST. Ma le guide di Red Hat sono un ottimo punto di partenza.
Dato che NSA e DISA iniziano a lavorare sugli standard di indurimento con largo anticipo, in bozza, questa potrebbe essere una buona fonte per te. Se hai un amico in DoD, puoi accedere anche al materiale pre-release. A causa dell'attuale stato di DISA STIG per Red Hat, direi che probabilmente la NSA produrrà qualcosa di più veloce. Posso controllare con loro e vedere dove sono. Consiglio di iniziare subito a 6 in un ambiente di test in questo momento. Ottieni i tuoi script di indurimento testati in 6.
Coinvolgere l'assistenza esterna per sviluppare linee guida per il rafforzamento della sicurezza
Prendi in considerazione un impegno con un Ingegnere della Sicurezza incentrato specificatamente sulla protezione della sicurezza di Linux per fornire assistenza per te. Red Hat può rendere disponibili i propri dipendenti anche per impegni al fine di accelerare gli sforzi di ingegneria della sicurezza.
Tutto ciò che hai detto finora indica un approccio di dovuta diligenza e una ragionevole sicurezza. Sulla base di ciò, penso considerando quanto sopra, è chiaro per passare a RHEL6. Tuttavia, aggiungerò alcune attività aggiuntive che potresti prendere in considerazione poiché presumo che tu stia lavorando in un ambiente regolamentato che è molto attento alla sicurezza.
Aumentare il tuo approccio con una valutazione del rischio
Se volevi portare il tuo approccio al livello successivo e giustificarlo in un modo che avrebbe superato la revisione anche da parte del revisore più fiducioso, prendi in considerazione di eseguire una valutazione completa del rischio di sviluppo utilizzando NIST 800-30 insieme ai particolari set di controlli utilizzati nel tuo industria. Questo, supportato da test e analisi sulla sicurezza. Avere formalizzato una valutazione del rischio consentirà una buona documentazione dei rischi presentati andando avanti con RHEL6 e alcuni potenziali controlli compensativi che potresti aggiungere per sostenere eventuali potenziali punti deboli.
Aggiunta di un test di penetrazione
Portandolo anche oltre la valutazione del rischio, è possibile coinvolgere un tester di penetrazione con un forte background Linux per tentare penetrazioni in white box o black box dell'host RHEL6 dopo alcune configurazioni sicure. Un sistema operativo di base sicuro potrebbe non presentare molta superficie di attacco, quindi caricarlo con le applicazioni presenterebbe una piattaforma di attacco molto più realistica che ti consentirebbe di comprendere meglio i potenziali vettori di attacco. Girando alla fine, usando il rapporto del test con la penna è possibile aumentare il lavoro precedente, colmare eventuali lacune, aggiungere ulteriori controlli e dirigersi verso le operazioni con molto più di un caldo e confuso.