墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

免备案高防cdn_国内高防cdn节点_秒解封

01-14 DDOS防御

免备案高防cdn_国内高防cdn节点_秒解封

Francesco Cipollone,云安全联盟英国分会主席兼NSC42有限公司董事

现代企业倾向于利用IaaS、PaaS和SaaS(基础设施/平台/软件即服务)等云服务的混合或混合来开辟云应用程序。在混合事情下,应认真规划访咨询操纵的设计。

访咨询操纵可在不同级别实施:

在应用程序级别 — 在应用程序逻辑中嵌入访咨询操纵和角色

基础设施 — 在网络级别实施访咨询操纵规则

•端点 — 在防火墙端点或进程访咨询操纵中实施访咨询操纵规则。

我们将要紧探讨和关注基础设施和网络,因为应用程序逻辑大概需要一整套不同的文章。

网络虚拟设备(NVA)又名防火墙设备

现代防火墙设备集成了一些安全操纵,通常被称为下一代防火墙(简称NGFW)。

防火墙设备与虚拟实例一样被引入云平台。云平台基于不同的架构(如软件定义的网络) — SDN)与传统数据中心有特别大不同。这种差异使得传统的防火墙模式难以在云中实现。

防火墙作为访咨询操纵及其历史

防火墙作为技术基本存在了一段时刻,操纵部署在企业和SMB中。控件起源于一具简单的NAT设备,并随着服务的进展而进展。随着攻击变得越来越复杂,集成了一系列安全功能,如:

访咨询操纵(作为防火墙规则)

NAT/PAT功能

深度数据包检查(基于IDS/IPS签名或行为)

特意的Web操纵(作为WAF规则)

以及更多…

经过增加安全功能,传统防火墙更名为下一代防火墙(又名NGFW),使其听起来更时尚。

现如今,NGFW倾向于成为一种差不多的安全操纵,可用于实施若干安全标准的某些构建块(例如PCI-DSS、ISO 27001、安全要素).

此操纵大概与GDPR没有直截了当关系,但构成了企业尽职调查的差不多要素。

NGFW差不多上是与本地设备相同的虚拟设备。

经过我们的所有工作,我发觉云设备大概会带来以下挑战:

接口数量VLAN和子接口网络和默认网关高可用性配置VPN及其终止分区概念(不同逻辑信任区域中防火墙接口的划分)高可用性配置中的负载平衡器

我花了一点时刻在各种实现中正确地实现上述元素,其实比我预期的要长得多。

每个设备的配置略有不同,但上面提到的挑战保持不变。

因为云平台越来越多,我将重点介绍更流行的设备(Azure和AWS)。

网络、VLAN和HA

on-Prem和云设备之间网络(第2层和第3层)的全然区别在于云平台实现基于软件的网络(SDN)并防止设备直截了当与下层结构交互。

这会导致更传统的IP地址共享想法(HRRP、GLBP等)失效,非常是在高可用性配置上.

实现全云本地

本地访咨询操纵提供了云基础设施结构(网络、端点)之间的无缝集成和访咨询操纵。

这种无缝集成意味着能够从全然上在任何级别部署访咨询操纵列表:

-端点的访咨询操纵列表

-网络中的访咨询操纵列表

这些权力和自由意味着在太多的位置/网络/端点部署太多的访咨询操纵列表大概会导致治理噩梦。

在这一点上,高防ip,我还没有遇到任何可以集中治理规则的集中式解决方案,即使AWS在维护web访咨询防火墙的规则集(AWS WAF/防火墙规则治理器)方面做了一些出色的工作。

依照组织的成熟度,部署模型(作为代码的基础设施)和团队(开辟人员-(SEC)-OPS)这种部署大概更合适。

在每个堆栈部署规则的场景中,规则将写入部署代码(云编队、地形编队、azure power shell足本)部署堆栈中的代码意味着,除非有一具可靠且根深蒂固的过程(读作dev sec ops),DDoS防护,否则安全团队在操纵和审核规则方面的工作将更加艰难.

传统设备

正如防火墙历史中所讨论的,传统防火墙设备基本存在了一段时刻,它们在云世界中有优缺点。

要紧优势是市场上广泛的人才和知识水平(任何网络和安全工程师都必须与NAT防火墙等举行交互).

但缺点是网络设备未集成到云结构中,部署更为复杂。

另一具优点是,来自不同设备的大多数规则能够从一具中心位置举行治理,该中心位置能够在各种型号之间保持同步配置,方便、重新部署和部署重要的是幸免与生产设备直截了当举行人机交互。

另一具优势或劣势取决于您对该主题的认为,即供应商倾向于实施一些软件附加组件(有时称为刀片)但虽然它们为中小型企业(SMB)提供了一些便利,但它们往往不如独立控件有效或可配置。企业倾向于挑选来自不同供应商的独立控件(以幸免在升级浮上咨询题时供应商锁定或彻底停机)

结论:

在本文中,我们几乎没有触及防火墙在云端的实现。所以,在接下来的文章中,我们将分析模式、挑战和其他细节。

使用的首字母缩写:

我们都讨厌它们,但我们不能没有它们,高防cdn,为了清楚起见,我将列出我在e文章:

广告 — Microsoft Active Directory自动气象站 — 亚马逊网络服务国际计算语言学协会 — 访咨询操纵列表(AWS)氯化钠 — 网络访咨询操纵列表(AWS)NSG — 网络安全组(Azure)欧盟GDPR — 欧盟通用数据爱护条例(自2018年5月起生效)欧盟 — 欧盟FW — 防火墙哈 — 高可用性IDS/IPS — 入侵预防/检测系统中小企业 — 中小型企业L3 — ISO/OSI第三层 — 网络第二层 — ISO/OSI第二层 — 数据层太太 — 微软纳特/帕特 — 网络/端口地址转换NVA — 网络虚拟设备瓦夫 — 网络应用防火墙

版权保护: 本文由 主页 原创,转载请保留链接: /ddos1/139353.html


QQ客服

400-0797-119