墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

海外高防_防ddos攻击设备_超稳定

01-17 CC防护

海外高防_防ddos攻击设备_超稳定

Cyxtera Technologies Inc.(Cyxtera Technologies Inc.)安全访咨询产品副总裁Jason Garbis撰写的系列文章第3部分

谢谢您再次发表我们的第三篇博文,为马上公布的软件定义周界(SDP)架构指南提供预览。在本文中,我们将重点关注文档中的"核心SDP概念"部分,DDoS防护,该部分介绍SDP的差不多原则,并在其中解释SDP提供的好处。在下表中,我们列出了五个类别,并针对每个类别,我们解释了SDP带来好处的几个方面,以及一些彩色注释。

信息/基础设施躲藏

SDP提供的一具关键安全好处是,不仅组织的服务器受到SDP网关的爱护,但SDP基础设施本身是安全的,不大概被未经授权的用户访咨询。这使得在面向internet的角色中部署SDP组件更加安全,而传统的安全基础设施(如VPN)则更容易被攻击者直截了当访咨询。

方面利益威胁减轻服务器被"黑了"SDP组件(操纵器、网关)将不大概响应任何连接,直到使用诸如单数据包授权(SPA)等协议对客户端举行了身份验证和授权。减轻了外部网络攻击和跨域攻击。缓解拒绝服务攻击面向Internet的服务通常位于"拒绝所有"网关/防火墙后面,通常是SDP网关,所以受到DoS攻击的爱护。SDP网关本身受到SPA的DoS攻击爱护(见上文)。带宽DDoS。坏包检测从任何其他主机发送到答应主机(AH)的第一具分组是SPA分组(或类似构造)。假如AH接收到任何其他数据包,它将被视为攻击,高防cdn,同时未来来自该主机的数据包大概被拒绝。快速检测到外部网络和跨域攻击。

双向加密连接

SDP的另一具关键要素是组件之间的所有通信–通常是客户端、操纵器和网关使用相互验证的TLS举行加密。这确保了这些元素能够相互验证,确保系统的完整性。

方面利益威胁减轻设备认证所有主机之间的连接必须使用相互身份验证来验证设备是否为SDP的授权成员。确保不能从无效或未经授权的设备启动连接。不容许伪造证明书相互身份验证方案将证书固定到SDP治理(或信任)的已知有效根。减少来自凭证盗窃的攻击。不允许中间人攻击相互握手确保组件之间的通信安全且防篡改。防止中间人攻击。

SDP和需要了解访咨询模型

由于SDP建立在白名单访咨询策略模型之上,用户只能访咨询策略允许的特定网络资源,CC防御,而不能访咨询整个子网或网络。SDP理念是,应用程序级身份验证不脚以保证安全性,即使没有凭据也可以访咨询网络资源,这实际上是一种应明确授予的特权。

方面利益威胁减轻允许细粒度的访咨询操纵依照访咨询策略,仅允许授权用户和设备连接到服务器。减少了来自未知设备的外部用户的盗窃。使取证更容易所有坏数据包都能够举行分析和跟踪,以举行取证活动。坏数据包和连接减少。强制执行设备验证设备验证证明密钥由请求连接的正确设备持有。来自未经授权的设备的威胁减少,并减轻了凭证盗窃。爱护设备免受损坏由于用户只被授予访咨询授权应用程序的权限,而不被授予访咨询其他应用程序的权限,所以能够消除受损设备横向挪移的威胁。缓解横向挪移带来的威胁。

动态防火墙

SDP充当逻辑(在某些实现中是实际的)防火墙,依照策略动态调整网络访咨询。这允许企业创建动态飞地,差不多上依照成员资格属性(如名目组成员资格)调整用户对网络资源的访咨询。

方面利益威胁减轻允许基于成员身份的动态飞地经过动态创建和删除访咨询规则启用对受爱护资源的访咨询。缓解基于网络的攻击。

应用层访咨询

SDP的最终一具关键要素是用户只能访咨询指定的、允许的网络资源(称为"应用程序",即使它们大概是治理级服务,如SSH或RDP)。经过防止所有不必要的网络级访咨询,组织能够减少攻击面,防止未经授权的用户举行侦察(如端口扫描),并可以检测到试图举行的恶意活动。

方面利益威胁减轻消除了广泛的网络访咨询有了SDP,身份不再可以广泛访咨询网段或子网。设备只能访咨询策略允许的特定主机和服务。最小化攻击面。消除恶意软件或恶意用户的端口和漏洞扫描启用对应用程序和服务访咨询的操纵SDP可用于爱护不同类型的服务,如应用程序和系统服务。SDP系统能够操纵允许哪些设备和应用程序访咨询指定服务。限制攻击面,防止恶意软件或恶意用户连接到资源。

这是SDP核心概念的简要概述。在下一篇(也是最终一篇)预览文章中,我们将讨论SDP策略模型。您能够在那个地点和那个地点阅读我们早期的安装。

Jason Garbis是Cyxtera安全访咨询产品的副总裁,Cyxtera是当今混合环境安全基础设施的提供商,他领导公司安全解决方案的战略和治理。Jason在RSA、HPE、BMC和Iona等安全和技术公司拥有超过25年的产品治理、工程和问经验。他是云安全联盟软件定义周界(SDP)工作组的联合主席,持有CISSP认证,是一位公开辟表的作者,并领导创建了将软件定义周界应用于基础设施即服务环境的云安全联盟打算。

版权保护: 本文由 主页 原创,转载请保留链接: /ddos/139555.html


QQ客服

400-0797-119