防御与运营
配置管理
别称: CM, 配置治理
定义
通过定义、记录并强制执行系统与应用的期望状态,使配置保持已知、可预期且安全的管理实践。
配置管理为操作系统、网络设备、应用和云资源定义权威配置,并通过 Ansible、Puppet、Chef、Terraform 或 Kubernetes Operator 等工具进行应用与协调。结合版本控制和策略即代码,可以实现漂移检测、可重复重建,以及对 CIS、DISA STIG 等加固基线的合规性证据。从安全角度看,它消除了最常见的入侵根因之一——静默的配置漂移——并与变更管理和安全基线紧密关联。
示例
- Terraform 定义强制要求每个 S3 桶启用加密并阻断公网访问。
- Ansible 剧本将所有 SSH 服务器恢复到批准的 CIS 基线配置。