墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

cdn谨防cc_ddos谨防的意思_解决方案

01-17 WEB安全

cdn谨防cc_ddos谨防的意思_解决方案

作者:Michael Pitcher,Coalfire Federal技术网络服务部副总裁

我最近在云安全联盟的联邦峰会上就"云中的持续监控/持续诊断和缓解(CDM)概念"发表了演说。随着政府基本并将然后向云挪移,确保在这种环境下实现持续监控目标变得越来越重要。具体而言,云资产大概是高度动态的,缺乏持久性,所以,用于内部解决方案的传统持续监控想法并不总是转化为云。

Coalfire参与了各机构的CDM实施,是最大的第三方评估组织(3PAO),我们完成了比任何人都多的FedRAMP授权,独特地定位于关心客户考虑这一挑战。可是,这些概念和挑战并不是作为清洁进展机制项目一部分的政府机构所独有的;它们也适用于其他政府和国防部社区以及商业实体。

回忆一下,国土安全部(DHS)CDM打算的第一时期要紧集中在静态资产上,大部分不包括云。它的中心是建立和了解一具清单,接着能够登记举行中的扫描,频率为每72小时一次。目标是确定资产是否被授权在网络上,是否被治理,以及是否安装了易受攻击和/或配置错误的软件。随着云成为下一轮CDM的一部分,了解实现这些目标的想法需要怎么适应是特别重要的。

云服务可以动态分配、消耗和取消分配资源,以满脚高峰需求。几乎任何系统都会有比其他系统需要更多资源的时候,而云允许计算、存储和网络资源依照这一需求举行扩展。例如,在Coalfire中,我们有一具安全解析工具(Sec-P),它能够启动计算资源来处理掉在云存储桶中的漏洞评估文件。当文件被处理时,CC防御,计算资源只存在几秒钟,接着它们就会被删除。此类示例以及无服务器体系结构挑战了传统的延续监控想法。

可是,潜在的解决方案基本存在,高防cdn,包括:

采纳内置服务和第三方工具部署代理利用基础架构即代码(IaC)审查使用抽样举行验证开辟定制想法

采纳内置服务和第三方工具

动态云环境突出了执行主动和被动扫描以建立库存的不脚之处。在使用传统的故障诊断仪举行评估之前,资产大概不过来去匆匆。每个要紧的云服务提供商(CSP)和很多较小的提供商除了提供能够监控资源变化的服务外,还提供库存治理服务——例如AWS的System Manager inventory Manager和cloud Watch、Microsoft的Azure资源治理器和活动日志,以及谷歌的资产清单和云审计日志。还能够使用高质量的第三方应用程序,其中一些甚至基本获得FedRAMP授权。不管使用何种服务/工具,那个地点的关键是将其与现有CDM或持续监测解决方案的集成层连接。这能够经过与解决方案之间的API调用实现,这是当前CDM打算要求所允许的。

部署代理

关于将具有某种程度持久性的资源,代理是执行延续监控的一种特别好的方式。代理能够与主服务器签入以维护资源清册,同时在资源启动后执行安全检查,而不必等待扫描。代理能够作为构建过程的一部分举行安装,甚至能够作为部署映像的一部分举行安装。与操纵代理的主节点接口并将其与库存举行比较是执行基于云的"流氓"资产检测的好想法,这是CDM的一项要求。本地使用的那个概念实际上是对于寻找未经授权的资产,例如插入开放网络端口的个人笔记本电脑。在云计算中,我们需要寻找偏离已批准配置且不符合安全要求的资产。

关于上一具示例中的资源,例如我们的Coalfire Sec-P工具,在90%以上的时刻内基本上作为代码存在的,我们需要有不同的方法。代理想法大概不起作用,因为计算资源大概不存在脚够长的时刻,甚至无法与主机签入,更不用讲执行任何安全检查了。

代码审查基础设施

IaC用于部署和配置云资源,如计算、存储和网络。它差不多上是一组用于"编程"基础架构的模板。这不是云的新概念,然而云环境变化的速度将IAC引入安全焦点。如今,我们需要思量怎么对构建和配置资源的代码举行评估。对于怎么做到这一点,有特别多工具和不同的想法;应用程序安全并不是啥新的东西,当我们以为它是对基础设施举行延续监控的一部分时,必须重新检查它。好消息是IaC使用结构化格式和通用语言,如XML、JSON和YAML。所以,能够使用工具甚至编写自定义足本来执行审查。这种结构化格式还允许对配置举行自动化和持续的监控,即使当资源仅作为代码存在而不是"生存"时,重要的是思量啥样的软件正在与资源一起旋转,因为所使用的包必须包括不具有漏洞的最新版本。代码更改时应举行安全审查,所以能够持续监控批准的代码。

设置资产到期日是在利用IaC的高DevOps环境中强制执行CDM原则的一种想法。CDM的目标是每72小时评估一次资产,所以我们能够将资产设定为在规定的时刻内到期(被拆除,所以需要重建),以了解他们日子在按照批准的代码建筑的新基础设施上。

抽样

抽样将与上述想法结合使用。在总资产数量不断变化的动态环境中,DDoS防护,车队应该有一具坚实的核心,能够经过传统的主动扫描方式举行扫描。我们只需要答应如此一具事实:我们无法扫描完整的库存。此外,个人资料或"黄金图像"的数量也应该远远少于总资产。我们的方法是,假如您在任何给定扫描中都能获得至少25%的每个配置文件,这么您特别有大概会发觉同一配置文件的所有资源上存在的所有错误配置和漏洞,和/或确定资产是否从舰队中漂浮。这脚以识别系统性咨询题,例如糟糕的部署代码或使用过时的软件开辟的资源。假如您在一具概要文件中发觉的资源与同一概要文件中的其他资源有特别大差异,这么这算是需要解决的DevOps或配置治理咨询题的迹象。我们并没有放弃拥有完整库存的概念,不过答应了一具事实,即实际上全然没有如此的东西。

特意为执行安全测试而构建IaC资产也是一具特别好的杠杆挑选。这些资产能够具有持久性,并经过仪表板或其他方式"注册"到持续监控解决方案中,以类似于本地设备的方式报告漏洞。震源组中的漏洞总数是在这些样本资产上发觉的数量乘以震源组中存在的这些资产的数量。如上所述,我们能够从CSP服务或第三方工具中获得这一数量。

定制想法

有很多不同的CSP可用于无休止的基于云的大概性,所有CSP都有不同的服务和工具可供使用,同时适用于他们。我所回忆的是高级概念,然而每个客户都需要依照他们的用例和目标来输入细节。

版权保护: 本文由 主页 原创,转载请保留链接: /web/139575.html


QQ客服

400-0797-119