来自 安全 2021-06-11 13:02 的文章

防御ddos_高透膜防摔吗_零元试用

防御ddos_高透膜防摔吗_零元试用

在本系列博客的第一部分中,我们讨论了什么是闪亮对象综合症,它是如何产生的,以及它会对您的组织的信息安全计划产生什么影响。本博客提供了更多关于组织如何在基础安全实践层面上打击S.O.S.的详细信息,重点关注:网络分段、访问控制和身份验证以及数据加密。网络分割网络分段是构建安全、高性能网络的基本原则。这是您可以采取的第一步,使攻击者在访问系统时更难移动。是的,我说当他们获得访问权限时…因为不可避免的是,你的组织将或已经有至少一个被破坏的系统。但是,您可以控制黑客在您的网络中移动是多么令人沮丧和/或困难。不幸的是,虽然许多组织在最初构建其网络时使用分段,但随着时间的推移,这些网络不断增长并与其他网络合并,它常常以可管理性的名义被搁置一边。我见过很多这样的情况,一个网络与另一个网络合并,作为收购的一部分,所有的分段都被删除,以促进互操作性。在大多数情况下,有计划重新划分合并后的网络,但正如经常发生的那样,这些计划从未排在待办事项列表的首位。其结果是一个平坦的网络,每个设备都可以互相访问。安全专家都知道,这使得保护重要数据变得更加困难。在有效地划分网络之前,您需要知道要保护的所有有价值的数据在哪里。如果你还没有做一个最近的数据清单,那么现在是时候做一个。一旦你能确定哪些系统保存了你最有价值的信息,你就可以开始你的细分练习了。分段背后的思想是将这些数据隔离到更小、更容易保护的位置,在这些位置可以严格定义周长并严格控制网络级访问。这可以通过为每组系统创建VLAN,然后通过访问控制列表和/或防火墙规则限制对它们的访问来实现。结果是,敏感的网络资源只能从网络的允许段查看。你已经拥有的网络设备可以让你做到这一点,只是花点时间去制定和实施一个计划。一旦实现,这将使攻击者更难在网络中横向移动,并且在许多情况下,会造成足够的挫败感,高防cdn无视cc,使攻击者继续前进。访问控制和身份验证网络分割是一个很好的开始,但是如果没有一个有效的访问控制和身份验证策略,它的好处是有限的。访问控制开发访问控制和身份验证策略的第一步是将用户组织成对公司资源有共同需求的组。这通常从创建可以分配访问权限的角色开始。一旦定义了角色,就需要为每个角色定义一组访问权限。这通常涉及到系统所有者审查角色并定义角色执行其职责所需的访问级别。访问权限应限制为完成角色职责所需的最少权限。访问控制策略的另一个重要部分是,在用户加入组织、当前员工切换角色以及离开组织时,云防御高防cdn,为用户分配角色和权限的过程。大多数公司在加入和退出方面做得相当好,免费高防cdn有哪些,但许多公司没有角色转换的流程。这个缺失的部分导致权限的聚合和整体安全态势的削弱。我见过的最有效的角色转换过程包括完全撤销对旧角色的权限并将权限分配给新角色。一旦定义了角色及其关联的访问权限,就可以根据用户需要的权限对其进行分组。这通常遵循公司的组织结构,因为部门通常具有最常见的访问需求。将这些用户组集成到您的网络分段设计中需要您为公共组创建VLAN,然后定义网络访问控制(访问控制列表和防火墙规则),以根据组访问要求强制执行规则。采取这一步骤可提高网络的安全性,并使攻击者更难横向移动。身份验证虽然大多数访问控制是面向过程的,但身份验证是访问控制的技术实现。像activedirectory和LDAP这样的系统通过强制用户凭据(用户名和密码)来提供对资源本身的逻辑访问。我们都痛苦地意识到,仅仅使用用户名和密码是不足以阻止攻击者的。许多恶意软件和网络钓鱼攻击都以用户凭据为目标,并已相当成功。这就是为什么我强烈建议为访问敏感数据实现多因素身份验证(MFA)。MFA解决方案已经变得更容易部署和集成到您的访问控制系统和应用程序中,并且被广泛用作访问在线银行帐户和其他站点的一种方式。如果用户凭证被盗,MFA也会使其基本上一文不值,因为它不能单独用于获取访问权。数据加密数据加密是最后一道防线,无论您是否有其他安全控制措施,自建高防cdn,都应该进行数据加密。这有两个部分:加密;以及加密密钥的创建、管理和保护。有很多强加密密码存在,它们相对容易使用。重要的任务是创建、管理和保护用于加密(和解密)数据的密钥。如果操作得当,您实际上可以保证任何丢失的加密数据都将不可用。最好的加密解决方案使用所谓的基于角色或逻辑的加密密钥控制。只有经过授权的个人才可以使用密钥加密和解密数据。这一点很重要,因为您只希望在特定情况下允许对特定帐户的未加密数据进行访问。由于大多数数据不再直接从服务器文件系统访问,因此应考虑只允许非交互式服务/应用程序帐户访问加密密钥。如果您有需要访问权限的用户,那么您应该创建一个应用程序接口,该接口允许他们发出请求,但不允许他们直接访问。严格控制对加密密钥的访问是保护数据的关键。许多加密解决方案利用HSM(硬件安全模块),包括物理和虚拟的,它们具有集成的应用程序,能够安全地创建和管理密钥,并且能够提供非常强大的保护,以防受到危害。总之,我认为,华为云ddos防御上限,实施这三个基本安全实践可以最大程度地降低丢失有价值数据的风险,而且可以比继续遭受闪亮对象综合症的影响少很多。在下一篇博客中,我们将回顾你如何在组织层面上对抗S.O.S。FacebookTwitterEmail分享