10秒后自動(dòng)關(guān)閉
使用零信任架構(gòu),守護(hù)服務(wù)器安全

零信任安全是近幾年非;鸨陌踩雷o(hù)理念。網(wǎng)絡(luò)安全公司和企業(yè)用戶均視之為解決網(wǎng)絡(luò)安全問(wèn)題的大殺器。那么零信任安全是什么,如何部署零信任安全,何以提升服務(wù)器安全?這些問(wèn)題,本文將一一為你解答。


什么是零信任

零信任概念最早于2010年由Forrester的分析師John Kindervag提出。零信任承認(rèn)了在網(wǎng)絡(luò)環(huán)境下傳統(tǒng)邊界安全架構(gòu)的不足,認(rèn)為主機(jī)無(wú)論處于網(wǎng)絡(luò)什么位置,都應(yīng)當(dāng)被視為互聯(lián)網(wǎng)主機(jī)。它們所在的網(wǎng)絡(luò),無(wú)論是互聯(lián)網(wǎng)還是內(nèi)部網(wǎng)絡(luò),都必須被視為充滿威脅的網(wǎng)絡(luò)。

零信任的核心思想是:默認(rèn)情況下,網(wǎng)絡(luò)內(nèi)外部的任何人、事、物均不可信,應(yīng)在授權(quán)前對(duì)任何試圖接入網(wǎng)絡(luò)和訪問(wèn)網(wǎng)絡(luò)的人、事、物進(jìn)行驗(yàn)證。

一句話總結(jié)就是:除了自己,任何人都不可信。


1.jpg

傳統(tǒng)安全架構(gòu)采用“先連接,后認(rèn)證”的原則



2.png

“從不信任,始終驗(yàn)證”是零信任的基本理念,身份驗(yàn)證采取 “先認(rèn)證,后連接”的原則



如何部署零信任安全架構(gòu)

零信任安全架構(gòu)并非適合所有場(chǎng)景。對(duì)于服務(wù)器,主要適用于管理員身份驗(yàn)證場(chǎng)景。例如以下場(chǎng)景:

·只允許管理員遠(yuǎn)程登錄服務(wù)器

·只允許管理員進(jìn)入網(wǎng)站后臺(tái)

·只允許管理員FTP上傳文件

工欲善其事,必先利其器。要部署零信任安全架構(gòu),首先必須有一款具有該技術(shù)框架的防護(hù)系統(tǒng),部署到服務(wù)器,再配置零信任策略,即可開啟零信任安全防護(hù)。


零信任安全防護(hù)之:提升遠(yuǎn)程桌面安全

目前大多數(shù)防護(hù)軟件,對(duì)遠(yuǎn)程桌面采用限制終端計(jì)算機(jī)名或IP的防護(hù)方式。

限制計(jì)算機(jī)名方式,受限于windows自身原因,防護(hù)體驗(yàn)不是很好,并且屬于傳統(tǒng)安全架構(gòu),“先連接,后認(rèn)證”。

限制IP方式,對(duì)使用ADSL上網(wǎng)的用戶來(lái)說(shuō)則是個(gè)擺設(shè)(大部分用戶都是ADSL上網(wǎng))。因?yàn)锳DSL沒(méi)有固定IP,根本沒(méi)法使用。


那么有沒(méi)有開啟遠(yuǎn)程桌面零信任安全防護(hù)的系統(tǒng)呢?

答案是:有的,護(hù)衛(wèi)神·防入侵系統(tǒng)就可以做到。

使用護(hù)衛(wèi)神·防入侵系統(tǒng)的“遠(yuǎn)程防護(hù)”模塊,設(shè)置“遠(yuǎn)程終端防護(hù)”的限制方式為“IP/區(qū)域”,IP留空,區(qū)域留空。然后就開啟零信任安全防護(hù)了(就這么簡(jiǎn)單

yuancheng.jpg

(遠(yuǎn)程桌面零信任防護(hù)設(shè)置)


PS:防入侵系統(tǒng)是在防火墻底層進(jìn)行防護(hù),采用“先認(rèn)證,后連接”的原則。未授權(quán)用戶,遠(yuǎn)程端口不對(duì)其開放,掃描工具也掃不出來(lái)。但是系統(tǒng)會(huì)記錄掃描者的信息,如下圖。

rizhi.jpg

(黑客掃描日志)


每次遠(yuǎn)程登錄前,先登錄護(hù)衛(wèi)神·防入侵系統(tǒng),然后所有的訪問(wèn)都不會(huì)被攔截了,因?yàn)槟闶枪芾韱T嘛。

如果你嫌麻煩,可以安裝一個(gè)安全信任終端軟件到你電腦,自動(dòng)將你的IP添加為信任,無(wú)需再手工登錄防入侵系統(tǒng)控制臺(tái)了。詳細(xì)操作請(qǐng)看這里:http://e-m-i-r-a-t-e-s.com/doc/frq/84.html


零信任安全防護(hù)之:提升網(wǎng)站后臺(tái)安全

后臺(tái)是管理網(wǎng)站最常用的方式,重要性和安全性不言而喻,所有開發(fā)人員均會(huì)在程序內(nèi)部做身份驗(yàn)證,看起來(lái)很有效。但這屬于傳統(tǒng)安全架構(gòu),采用的“先連接,后認(rèn)證” 原則, 黑客可以利用程序邏輯漏洞繞過(guò)身份驗(yàn)證,或者使用字典、暴力等手段破解賬戶密碼。同時(shí)很多網(wǎng)站帶有第三方組件(如在線上傳組件、各種CMS插件),這些組件的身份驗(yàn)證就不一定做得很好了。


因此我們要對(duì)網(wǎng)站后臺(tái)做零信任安全防護(hù),必須使用第三方防護(hù)框架,在黑客訪問(wèn)后臺(tái)前進(jìn)行驗(yàn)證,才能做到“先認(rèn)證,后連接”的防護(hù)原則。我們可以使用護(hù)衛(wèi)神·防入侵系統(tǒng)的“網(wǎng)站后臺(tái)保護(hù)”模塊實(shí)現(xiàn)零信任,在“后臺(tái)地址”框填寫你的后臺(tái)地址,區(qū)域留空,就可以了。

houtai.jpg

(網(wǎng)站后臺(tái)零信任防護(hù)設(shè)置)


每次登錄后臺(tái)前,需要先登錄護(hù)衛(wèi)神·防入侵系統(tǒng),將你的IP添加為信任,才可以訪問(wèn)后臺(tái)。未授權(quán)用戶訪問(wèn)后臺(tái),會(huì)被防入侵系統(tǒng)攔截,連登錄頁(yè)面都看不到。

lanjie.jpg

(未授權(quán)用戶攔截提示)


如果你嫌麻煩,可以安裝一個(gè)安全信任終端軟件到你電腦,自動(dòng)將你的IP添加為信任,無(wú)需再手工登錄防入侵系統(tǒng)控制臺(tái)了。詳細(xì)操作請(qǐng)看這里:http://e-m-i-r-a-t-e-s.com/doc/frq/84.html


零信任安全防護(hù)之:提升FTP安全

對(duì)于FTP零信任安全防護(hù),可以使用護(hù)衛(wèi)神·防入侵系統(tǒng)的“防火墻”模塊實(shí)現(xiàn),開啟防火墻即可,不用添加規(guī)則。上傳前,先登錄護(hù)衛(wèi)神·防入侵系統(tǒng),將你的IP添加為信任,所有網(wǎng)絡(luò)通信都不會(huì)被攔截,F(xiàn)TP傳輸也就沒(méi)有任何阻礙了。

fire.jpg

(防火墻入口規(guī)則)


零信任安全,必不可少

通過(guò)上述應(yīng)用場(chǎng)景的詳細(xì)介紹,相信你對(duì)零信任安全部署應(yīng)用已經(jīng)有了一定的了解。

零信任安全對(duì)身份驗(yàn)證防護(hù)有著天然的優(yōu)勢(shì),可大幅降低應(yīng)用身份識(shí)別風(fēng)險(xiǎn),是必不可少的安全防護(hù)技術(shù)。

護(hù)衛(wèi)神·防入侵系統(tǒng)除了上述功能,還有數(shù)十項(xiàng)防護(hù)模塊,對(duì)服務(wù)器和網(wǎng)站進(jìn)行全方位保護(hù)。更多功能模塊也在陸續(xù)開發(fā)中,即將推出的模塊有:

404掃描防護(hù):攔截黑客掃描網(wǎng)站漏洞,阻止黑客進(jìn)一步入侵

偽蜘蛛防護(hù):通過(guò)智能學(xué)習(xí)算法,精準(zhǔn)攔截偽蜘蛛

限時(shí)訪問(wèn)保護(hù):限制URL授權(quán)訪問(wèn)時(shí)間(例如只白天開放訪問(wèn))

UA黑白名單:對(duì)User-Agent進(jìn)行防護(hù),滿足更多安全需求


如需詳細(xì)了解護(hù)衛(wèi)神·防入侵系統(tǒng),請(qǐng)進(jìn)入:http://e-m-i-r-a-t-e-s.com/soft/frq/