墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

ddos盾_国内高防空间_3天试用

01-14 CC防护

ddos盾_国内高防空间_3天试用

由云安全联盟英国分会主席兼NSC42有限公司董事Francesco Cipollone撰写。

用例和常见陷阱

安全设备供应商仍在更新其设备,以包括更有效地集成到云提供商结构中的典型云架构。另一些人则提出了针对云提供商特定操纵的定制和治理的规则集(例如,治理的WAF规则)。本节中的模式指的是传统的多层体系结构(有时称为三层模型),那个地点探讨的模式将应用于IaaS云部署。这些模式适用于混合模式(例如IaaS和SaaS),但为了时刻起见,本部分将只关注IaaS部署。

我在这些混合环境中使用的参考通常是web API:IaaS中的服务需要与其他云实现(外部IaaS、SaaS、PaaS)通信时我将像爱护穿越公共互联网的两个API之间的通信一样爱护通信。

传统防火墙和Web访咨询防火墙(WAF)设备的部署蓝图与传统DC实现类似,惟独少数例外。虽然这样,请注意,仅依靠防火墙的访咨询操纵在IaaS模型中基本存在艰难,因为它也限制了云的能力。

传统的防火墙访咨询操纵将在SaaS、PaaS和IaaS/数据中心之间更现代的混合集成中遇到艰难。所以,当一具或多个层暴露在传统IaaS基础设施之外时,应认真思量ACL的位置。稍后我将提供这些混合场景的一些注意事项。

治理咨询题

关于操作流程和易用性,中央ACL规则治理器的作用变得至关重要,否则,规则的部署要紧是原子的(例如,在一具或多个足本中)。一具需要治理器的典型场景是云部署有两个或多个防火墙设备。

中央规则治理器可实现规则的自动同步,因为大多数系统目前不支持将规则/会话同步到单个应用程序级别。

通常,ACL的治理以及其他关键的治理组件应该部署在一具非常的环境中;我将把它称为治理层。

模式

在本节中,我将举例讲明NSC42在某些事情下使用的一些模式,但请注意,不同的云提供商有不同的技术实现。

完整的本机堆栈

AWS用例:

下图显示了IaaS云环境中的完整堆栈部署。

左侧的模式显示了一具带有集成不同的本地AWS服务,如:

IP访咨询操纵规则 — 关于基于端口的过滤,以及针对特定WEB层7规则的负载平衡和SSL卸载WAF的补偿controlELB/ALB

组织能够决定以一种或另一种方式倾歪集成规模,利用云上的更多功能。

在这种模式中,控件彻底是本地的,并与云结构集成。

使用此模式的优点是部署或重新部署能够自动化。

缺点是规则分布在各种控件中,而不是集中治理。从治理角度来看,分布式规则大概相当复杂,因为通常事情下,基础架构的治理元素部署在一具隔离的环境中(Azure订阅或AWS帐户)。

对这些治理环境的访咨询应限制为最高安全级别。任何达到此治理和操纵级别的攻击都会阻碍并落低环境的整体安全态势。

上图源自参考AWS架构。

参考:https://aws.amazon.com/blogs/aws/building-three-tier-architectures-with-security-groups/

Azure:

上图显示云Azure中的控件。这张图片在AWS中是等效的,在控件上有一些变化。

在Azure中,以下是等效控件,与AWS等效控件相比特别少:

经过网络安全组(NSG)举行访咨询操纵负载平衡器(即使它们没有AWS这么成熟)WAF没有AWS中这么成熟,治理规则的级别也不相同WAF没有像AWS那么的中央规则治理等效。

参考文献:

https://docs.microsoft.com/en-us/azure/architecture/reference-architectures/dmz/secure-vnet-hybridhttps://aws.amazon.com/blogs/awsforsap/vpc-子网分区模式for-sap-on-aws-part-2-network-zoning/https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html

可选Azure SQL三层堆栈蓝图:

以上是AWS蓝图的摘录,可在此处获得:https://docs.microsoft.com/en-us/azure/architecture/reference-architectures/n-tier/n-tier-sql-server

全设备堆栈

Azure

以下提供了三层中全堆栈网络虚拟设备的高级详细实现。白板提供了两个选项:

web和internet之间的单一防火墙(通常在中小型企业部署中)多个级别的多个防火墙(通常在企业组织中)

Azure蓝图:

注意:蓝图中混合了NSG(网络安全组)和NVA(网络虚拟设备)。NSG能够保留为空,高防cdn,除非您想实施混合想法。与AWS的上一节一样,组织需要决定他们希翼使用本机控件(WAF/NSG…)的程度,以及他们希翼使用传统设备(防火墙/WAF…)的程度.

单防火墙详细部署:

上图显示了具有多个订阅的实现。

部署利用Azure订阅强制隔离网络。

假如企业不需要高可用性,NVA能够部署为单个设备。

此部署模式允许企业部署足本来更新UDR,但UDR仍需要指向防火墙的南部接口。

UDR通知各种虚拟网络(VNET)作为默认网关指向何处,南方防火墙接口。

或更多信息请参阅https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-udr-overview 及https://docs.microsoft.com/en-us/azure/virtual-network/tutorial-create-route-table-portal

多防火墙场景详细部署:

下表显示了步骤和步骤不同区域的操纵

以上不过一些操纵的简化场景。这是一具怎么将企业(On-Prem)与云部署连接的示例。

网络分为Prod、Dev和UAT订阅(左侧),与On-Prem系统类似(图片右下部分).

数字显示了从外部请求到具有各种操纵的内部系统的流量。

下面的数字将提供更详细的信息:

Azure订阅上的部署杠杆以部署隔离。

此蓝图需要在防火墙NVA的南部接口上与北侧的负载平衡器。

此图(比上图更好看)显示Azure中的一种部署想法。

请注意,各种订阅需要配备UDR,因为防火墙的南部没有负载平衡器。

此部署将持续到Azure开辟负载平衡器以启用持久会话为止。

作为UDR的替代方案,防火墙的北侧大概有负载平衡器。

出于上述缘由,防火墙的南部能够监视多个订阅。要有到防火墙的路由,进而到互联网,VNET需要实用户定义的路由(UDR)。

要实现负载平衡和高可用性,各种订阅需要一具足本来动态更新UDR中的默认网关,使之成为主动防火墙的南方接口。

该足本保证在其中一具实例发生故障时具有高可用性。

该足本将动态探测接口并更新UDR上的默认网关,

有关更多信息,请参阅https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-udr-overview 及https://docs.microsoft.com/en-us/azure/virtual-network/tutorial-create-route-table-portal

AWS:

以下是AWS中NVA部署的几个示例,场景类似于Azure,DDoS防护,但在对等方面有所不同,自定义路由和探测。

防火墙和数据中心场景:

上述图片显示了在一具具有多个可用区域的VPC内部署两个设备。

防火墙部署在WAF前面,而VPC也与一具on Prem对等(或能够是另一具VPC/帐户).

设备将位于ELB/ALB后面,由防火墙和WAF屏蔽。与前一种事情一样,NVA设备(防火墙)能够覆盖AWS中的多个VPC。

详细的防火墙场景:

以下是在与Azure类似的模型中部署具有多个VPC的防火墙。

每个VPC将有一具VPN网关,该网关与两个防火墙举行对等。主动防火墙将与VPN网关举行对等,并形成BGP对等。经过BGP窥视AWS VPN网关,活动防火墙将注入默认路由。假如主系统浮上故障,另一具防火墙将变为活动防火墙,并开始发布默认路由。

如前所述,CC防御,防火墙可在独立模式下或借助WAF部署。WAF能够实现为云前端过滤服务(例如AWS WAF)或外部SaaS服务(例如Imperva或类似服务)。

混合想法

混合想法使用上述一些模型,并使用本机云操纵(WAF、IP过滤等)将其分层

hybrid的显著区别在于您希翼在云访咨询操纵(NSG)中实施多少规则/

版权保护: 本文由 主页 原创,转载请保留链接: /ddos/139351.html


QQ客服

400-0797-119