10秒后自動(dòng)關(guān)閉
使用零信任架構,守護服務(wù)器安全

零信任安全是近幾年非;鸨陌踩雷o理念。網(wǎng)絡(luò )安全公司和企業(yè)用戶(hù)均視之為解決網(wǎng)絡(luò )安全問(wèn)題的大殺器。那么零信任安全是什么,如何部署零信任安全,何以提升服務(wù)器安全?這些問(wèn)題,本文將一一為你解答。


什么是零信任

零信任概念最早于2010年由Forrester的分析師John Kindervag提出。零信任承認了在網(wǎng)絡(luò )環(huán)境下傳統邊界安全架構的不足,認為主機無(wú)論處于網(wǎng)絡(luò )什么位置,都應當被視為互聯(lián)網(wǎng)主機。它們所在的網(wǎng)絡(luò ),無(wú)論是互聯(lián)網(wǎng)還是內部網(wǎng)絡(luò ),都必須被視為充滿(mǎn)威脅的網(wǎng)絡(luò )。

零信任的核心思想是:默認情況下,網(wǎng)絡(luò )內外部的任何人、事、物均不可信,應在授權前對任何試圖接入網(wǎng)絡(luò )和訪(fǎng)問(wèn)網(wǎng)絡(luò )的人、事、物進(jìn)行驗證。

一句話(huà)總結就是:除了自己,任何人都不可信。


1.jpg

傳統安全架構采用“先連接,后認證”的原則



2.png

“從不信任,始終驗證”是零信任的基本理念,身份驗證采取 “先認證,后連接”的原則



如何部署零信任安全架構

零信任安全架構并非適合所有場(chǎng)景。對于服務(wù)器,主要適用于管理員身份驗證場(chǎng)景。例如以下場(chǎng)景:

·只允許管理員遠程登錄服務(wù)器

·只允許管理員進(jìn)入網(wǎng)站后臺

·只允許管理員FTP上傳文件

工欲善其事,必先利其器。要部署零信任安全架構,首先必須有一款具有該技術(shù)框架的防護系統,部署到服務(wù)器,再配置零信任策略,即可開(kāi)啟零信任安全防護。


零信任安全防護之:提升遠程桌面安全

目前大多數防護軟件,對遠程桌面采用限制終端計算機名或IP的防護方式。

限制計算機名方式,受限于windows自身原因,防護體驗不是很好,并且屬于傳統安全架構,“先連接,后認證”。

限制IP方式,對使用ADSL上網(wǎng)的用戶(hù)來(lái)說(shuō)則是個(gè)擺設(大部分用戶(hù)都是ADSL上網(wǎng))。因為ADSL沒(méi)有固定IP,根本沒(méi)法使用。


那么有沒(méi)有開(kāi)啟遠程桌面零信任安全防護的系統呢?

答案是:有的,護衛神·防入侵系統就可以做到。

使用護衛神·防入侵系統的“遠程防護”模塊,設置“遠程終端防護”的限制方式為“IP/區域”,IP留空,區域留空。然后就開(kāi)啟零信任安全防護了(就這么簡(jiǎn)單

yuancheng.jpg

(遠程桌面零信任防護設置)


PS:防入侵系統是在防火墻底層進(jìn)行防護,采用“先認證,后連接”的原則。未授權用戶(hù),遠程端口不對其開(kāi)放,掃描工具也掃不出來(lái)。但是系統會(huì )記錄掃描者的信息,如下圖。

rizhi.jpg

(黑客掃描日志)


每次遠程登錄前,先登錄護衛神·防入侵系統,然后所有的訪(fǎng)問(wèn)都不會(huì )被攔截了,因為你是管理員嘛。

如果你嫌麻煩,可以安裝一個(gè)安全信任終端軟件到你電腦,自動(dòng)將你的IP添加為信任,無(wú)需再手工登錄防入侵系統控制臺了。詳細操作請看這里:http://www.salesbloggers.com/doc/frq/84.html


零信任安全防護之:提升網(wǎng)站后臺安全

后臺是管理網(wǎng)站最常用的方式,重要性和安全性不言而喻,所有開(kāi)發(fā)人員均會(huì )在程序內部做身份驗證,看起來(lái)很有效。但這屬于傳統安全架構,采用的“先連接,后認證” 原則, 黑客可以利用程序邏輯漏洞繞過(guò)身份驗證,或者使用字典、暴力等手段破解賬戶(hù)密碼。同時(shí)很多網(wǎng)站帶有第三方組件(如在線(xiàn)上傳組件、各種CMS插件),這些組件的身份驗證就不一定做得很好了。


因此我們要對網(wǎng)站后臺做零信任安全防護,必須使用第三方防護框架,在黑客訪(fǎng)問(wèn)后臺前進(jìn)行驗證,才能做到“先認證,后連接”的防護原則。我們可以使用護衛神·防入侵系統的“網(wǎng)站后臺保護”模塊實(shí)現零信任,在“后臺地址”框填寫(xiě)你的后臺地址,區域留空,就可以了。

houtai.jpg

(網(wǎng)站后臺零信任防護設置)


每次登錄后臺前,需要先登錄護衛神·防入侵系統,將你的IP添加為信任,才可以訪(fǎng)問(wèn)后臺。未授權用戶(hù)訪(fǎng)問(wèn)后臺,會(huì )被防入侵系統攔截,連登錄頁(yè)面都看不到。

lanjie.jpg

(未授權用戶(hù)攔截提示)


如果你嫌麻煩,可以安裝一個(gè)安全信任終端軟件到你電腦,自動(dòng)將你的IP添加為信任,無(wú)需再手工登錄防入侵系統控制臺了。詳細操作請看這里:http://www.salesbloggers.com/doc/frq/84.html


零信任安全防護之:提升FTP安全

對于FTP零信任安全防護,可以使用護衛神·防入侵系統的“防火墻”模塊實(shí)現,開(kāi)啟防火墻即可,不用添加規則。上傳前,先登錄護衛神·防入侵系統,將你的IP添加為信任,所有網(wǎng)絡(luò )通信都不會(huì )被攔截,FTP傳輸也就沒(méi)有任何阻礙了。

fire.jpg

(防火墻入口規則)


零信任安全,必不可少

通過(guò)上述應用場(chǎng)景的詳細介紹,相信你對零信任安全部署應用已經(jīng)有了一定的了解。

零信任安全對身份驗證防護有著(zhù)天然的優(yōu)勢,可大幅降低應用身份識別風(fēng)險,是必不可少的安全防護技術(shù)。

護衛神·防入侵系統除了上述功能,還有數十項防護模塊,對服務(wù)器和網(wǎng)站進(jìn)行全方位保護。更多功能模塊也在陸續開(kāi)發(fā)中,即將推出的模塊有:

404掃描防護:攔截黑客掃描網(wǎng)站漏洞,阻止黑客進(jìn)一步入侵

偽蜘蛛防護:通過(guò)智能學(xué)習算法,精準攔截偽蜘蛛

限時(shí)訪(fǎng)問(wèn)保護:限制URL授權訪(fǎng)問(wèn)時(shí)間(例如只白天開(kāi)放訪(fǎng)問(wèn))

UA黑白名單:對User-Agent進(jìn)行防護,滿(mǎn)足更多安全需求


如需詳細了解護衛神·防入侵系統,請進(jìn)入:http://www.salesbloggers.com/soft/frq/