本页内容
Apstra 服务器强化
漏洞扫描
除了任何正在开发中的版本的最新版本外,每周还会针对所有已发布、受支持的 Juniper Apstra 版本进行 Tenable / Nessus 漏洞扫描。本软件旨在通知 Apstra 工程和支持部门,如果超过 CVSS > 8.0 的特定阈值有任何新发现的安全漏洞。作为这些安全发现的一部分,Juniper Apstra 制定了有针对性的计划,以更新现场的安全包。
Juniper Apstra 使用自动化的 CI/CD 流程来构建版本,包括引入最新版本的 Ubuntu 和更新的软件包。然后,构建系统的 SecOps 部分会运行 Tenable I.O Nessus 扫描以查找漏洞。我们会审查该报告并修复任何关键问题,并审查不太重要的问题,以挑选我们认为需要注意的漏洞。
我们解决安全问题的唯一途径是软件升级,其中与 Apstra 软件捆绑在一起的新 Ubuntu 版本和相关软件包已经过测试,并已放入长期使用测试中,以发现任何回归、性能或功能问题。Ubuntu 和软件包的版本在我们构建和发布时是原始的。不过,随着时间的推移发现的漏洞将导致其他问题,这些问题已通过升级解决。对于孤立的关键问题,我们可以创建修补程序并将其应用于生产部署,或建议缓解过程。
强化过程(内部过程)
在客户下载 Apstra VM 之前,Apstra 会针对当前的 CIS Ubuntu 版本将其作为“1 级”系统进行加固。此过程包括几个安全域中的基本安全配置,详见此处。截至 Apstra 版本发布之日,VM 拥有所有 Ubuntu 软件包的最新版本减去六周(正式发布前的验证和老化时间)。
Apstra VM 映像是在多构建阶段流程的基础上构建的:
Apstra 从联机 Ubuntu 存储库的 Ubuntu ISO 映像创建基本的 Ubuntu 系统映像。
使用 SHA 哈希验证源 ISO 的真实性
应用最低配置和最低安装包,以便 Apstra 安装并自动分配安全策略。使用的配置类似于 CIS Ubuntu 强化标准 https://www.cisecurity.org/benchmark/ubuntu_linux/,与企业领域的许多安全合规框架保持一致。
运行强化脚本后,将删除生成项目和缓存文件夹,以最大程度地减少磁盘使用量、修剪日志文件以及“关闭”基本系统 VM。
作为官方构建版本工件的一部分,我们重复使用上面创建的基本系统,仅安装特定于 Apstra 的软件包。
为相同的原始 VM 映像构建项目将转换为适用于 VMware 的 OVA、适用于 Linux 的 QCOW2 KVM 和适用于 Microsoft Hyper-V 的 VHDX,并标记为可供分发 (https://support.juniper.net/support/downloads/?p=apstra)
.
强化/验证步骤
-
源有效性
-
在构建过程开始之前,Ubuntu 源 ISO 使用 SHA 哈希进行验证
-
-
HTTPS 加密
-
Apstra 服务器在 Nginx 上使用 HTTPS 提供 Apstra UI 和 API。Apstra 使用 Nginx 记录的过程来替换 TLS 证书,以实现客户端到服务器身份验证和端到端加密。Apstra 鼓励用户用签名证书替换包含的不安全的“自签名”TLS 证书。
-
-
文件系统安全
-
禁用不必要的文件系统驱动程序
-
确保文件系统挂载安全
-
Apstra 服务不会与作系统的其他部分共享磁盘空间(例如/var/log/Apstra)
-
文件系统权限强
-
-
服务安全性
-
禁用不必要的服务
-
配置 AppArmor
-
强化 SSH 配置
-
-
网络安全
-
确保 iptables 配置了适当的“默认拒绝”策略
-
确保系统具有 uRPF、禁用 IP 路由等
-
警告横幅,表明任何作都应在 Apstra 的支持下进行。
-
将登录限制应用于 ssh 登录尝试(暴力破解)
-
-
审计
-
确保对系统配置更改进行审核(运行审核)
-
审核登录/注销失败和成功
-
审核权限提升
-
-
安全的服务器访问
-
可通过三种方法管理 Apstra 服务器:
Javascript Web UI (443):HTTPS、基本身份验证和 RBAC*
REST API (443):HTTPS、基本身份验证和 RBAC*
SSH (22): 默认情况下不允许root登录
注意:重要提示:更改默认管理员密码。Apstra 附带默认管理员密码。在服务器完成第一个启动过程后更改此密码至关重要。Apstra 建议使用 SSH 访问 Apstra 服务器以更改密码。有关更多信息,请参阅 重置 Apstra GUI 管理员密码。
-