来自 应用 2021-06-10 08:17 的文章

cc防护_服务器加防御_零误杀

cc防护_服务器加防御_零误杀

当迁移到AWS基础设施时,安全责任由Amazon和您的组织共同承担。亚马逊的分担责任模型清楚地显示了双方责任的起点和终点。AWS保护基础设施堆栈的底层,而组织负责所有其他工作,ddos防御不是不要,包括应用层。为组织迁移到AWS的六个安全最佳实践扩展通用安全模型传统的安全和法规遵从性概念仍然适用于云计算。无论我们谈论的是迁移到云端的现有应用程序,还是正在那里构建的新应用程序,它们都必须是安全的,而且良好的实践仍然适用。通过利用组织内已有的流程和技术,您可以将实现这一目标所需的时间和资源降至最低。合并身份身份筒仓扩大了你的攻击面,增加了开销,并导致身份蔓延。与其创建其他本地AWS用户帐户和访问密钥,不如使用现有标识(例如,ddos防御开发,activedirectory)并启用联合登录。联合允许您向企业目录中的现有用户身份授予访问任何AWS服务的适当权限。这避免了身份扩展、身份复制和同步的问题,以及提供和管理另一个身份竖井的需要。确保问责制共享特权帐户(如amazonec2_用户和Windows管理员帐户)是匿名的。为了确保责任,用户使用个人帐户而不是共享匿名帐户登录,防御ddos攻击的方法,并根据需要提升权限,这一点很重要。授权可以从activedirectory集中管理,角色和组可以很容易地映射到AWS角色。然后,混合企业中的所有用户活动都可以与独特的个人用户联系起来,实现100%的责任。特权登录会话应进行视频记录,所有登录AWS门户和amazonec2实例的尝试以及所有特权提升尝试都应进行审核和记录。最低权限访问当涉及到AWS管理控制台、AWS服务、amazonec2实例和对托管应用程序的访问时,应该给用户足够的权限来完成手头的任务。中心化客户利用其现有的目录基础设施来管理和审核角色和权限,这些角色和权限在AWS服务级别和amazonec2实例级别上为每个用户提供适当的访问权限。可以将任何目录服务中的任何IT用户或组添加为中心化角色的成员,服务器什么防御ddos攻击,然后将该角色映射到AWS角色以在AWS接口中分配粒度权限。审计一切记录和监视amazonec2实例的授权和未授权用户会话。管理员可以使用个人帐户直接登录,也可以登录到共享密码管理门户,并(如果其角色允许)使用其企业凭据远程登录到实例。可以在代理或主机级别通过会话记录来审核活动,cc防御是什么意思呢,但最好是在主机级别,以确保绕过代理时的可见性。AWS有权对所有云跟踪活动进行监视和报告,并有权对所有云跟踪活动进行监视和报告。MFA无处不在高度敏感的操作可能需要额外的用户验证,最佳做法是在任何地方都使用多因素身份验证(MFA)。即使有了合适的角色,用户也必须通过带外因素(如向预先注册的移动设备发送推送通知)来确保其身份,然后才能执行某些操作。这可以大大提高对身份保证的信心,防止攻击者使用最新网络攻击中常见的受损凭据。在amazonec2实例的登录和权限提升、签出保险库密码和访问企业应用程序时,为AWS服务管理实现MFA。有关保护您组织的AWS云环境的更详细的指南,请下载本白皮书。在里面你可以找到3个常见用例的细节。