来自 网络 2021-10-13 07:07 的文章

云盾高防采集_服务器防御ddos攻击_超稳定

云盾高防采集_服务器防御ddos攻击_超稳定

在最近的一篇博文中,tedgary讨论了一项关于系统级配置强化的有效调查的结果。简言之,企业在实施和审核桌面和服务器的安全配置方面取得了进展,但仍有许多工作要做。虽然整个网络设备领域都超出了调查的范围,但显然也不可能超出你的强化努力。背景许多标准框架使用伞式方法推荐配置基线,并平等对待所有设备和端点:NIST网络安全框架公共知识产权-1-建立并维护信息技术/工业控制系统的基线配置。NIST 800-53第4版CM-2-基线配置CM-2(1)-评审和更新ITSG-33(加拿大)CM-2-基线配置CM-2(1)-评审和更新CM-2(2)-对准确性/通用性的自动化支持一些框架和标准,如互联网安全中心(CIS)控制和支付卡行业数据安全标准(PCI-DSS)认为,除了一般系统要求外,网络本身的管理也足够重要,足以证明自己的章节和建议是正确的。CIS控制11-网络设备的安全配置PCI-DSS1.1–建立并实施防火墙和路由器配置标准。1.1.7.a–验证防火墙和路由器配置标准是否需要审查。2.2-为所有系统组件制定配置标准。所有这些建议在各种框架中的中心主题基本上是一个三重过程。设计并实现跨组织设备的安全强化基线。监控并验证基线是否已经实现,并且没有发生漂移。定期审查基线,并根据新的威胁和不断变化的环境进行更新。为一些设备建立安全基线的最佳起点是CIS基准或国防信息系统局(DISA)安全技术实施指南(STIG)。这些资源为许多流行和广泛实施的设备提供了技术强化建议。如果CIS基准测试或DISA STIG未涵盖您环境中的特定设备,ddos攻击简单吗防御,则所有希望都不会丢失。大多数供应商提供自己的独立硬化指南。例如,Juniper Networks发布了自己的指南"强化Junos设备"。就像在桌面和服务器环境中一样,有一种可能性是,没有一种建议是适合所有环境的现成的。如果是这样的话,可能需要定制一个或多个的组合,以获得完整的基线。这里重要的一课是,存在多个资源来帮助您构建初始基线,并避免必须从空白开始。成立的解决方案Tenable的安全配置审核解决方案为网络设备提供了许多审核文件。除了常规漏洞扫描之外,您还可以测试和验证为组织定义的配置基线。这些审计文件涵盖了从Cisco和Juniper到Palo Alto Networks和华为的各种设备。这些设备中的任何一个都可以评估许多不同的配置参数,并且通常有多个可用的审计文件。大多数审计文件都是根据CIS基准或DISA STIG建议构建的,一般来说,有相当多的重叠。例如,服务器集群可以防御cc吗,测试DNS和NTP服务器设置、验证特定服务或协议是否已正确启用和/或配置,以及检查是否为本地和远程管理正确设置了帐户和身份验证,这些都包含在这两个标准中,并检查了可启用的审核文件。如果您的组织需要某个基准文档的混合或定制版本,则可以创建完全自定义的审核文件,或者在许多情况下,可以通过添加/删除检查或修改可接受的值来自定义其中一个标准文件。最近增加(F5和Arista设备)最近,Tenable增加了对其他网络设备的支持,特别是F5 BigIP和Arista MLS设备。我们对F5的支持涵盖了从高级防火墙管理器和应用程序安全管理器到设备和本地流量管理的许多技术。除了这些新插件之外,还附带了基于DIS-STIG指南的审计。可从DISA信息保障支持环境(IASE)主页获取DISA STIG文件的完整列表。F5设备的扫描与许多现有的网络设备扫描非常相似。F5扫描可以从高级扫描或策略符合性模板启动。在这两个模板中的任何一个都应该在"凭据"选项卡的"杂项"下为F5凭据添加一个新条目。在Compliance选项卡下,您还应该看到F5的一个新条目,除了Tenable已经发布的审计文件列表之外,还允许上载自定义审计文件。与F5设备一样,在线Arista扫描可以从高级扫描和策略遵从性模板启动。对于在线扫描,需要SSH登录,并且与其他SSH登录一样存储凭据。提供了一个新的审计与泰纳瑞斯塔审计上传部分。离线审计支持Arista设备也可以在离线模式下进行审计,这通常便于在部署之前验证备份的配置或测试基线配置。脱机扫描是通过脱机配置审核模板配置的。脱机扫描不需要任何凭据,因此不需要SSH登录。设置审核只需要选择审核文件或上载自定义审核,然后在"符合性"选项卡上添加要评估的配置文件。总结在规划网络设备的基线强化时,必须记住,在大多数情况下,防火墙、路由器和负载平衡器等设备的问题会波及整个环境。设备的配置不仅限于提供自己的服务和保护自己,而且在大多数组织的分层安全实践中也扮演着重要角色。一个被破坏的防火墙不仅仅意味着它不能过滤和传递流量,阿里云服务器ddos防御费用,它还可能使其他设备面临无法或无法配置来处理的威胁。你能帮上什么忙Tenable产品为思科(Cisco)、Juniper和华为(Huawei)等最受欢迎的网络设备平台提供了广泛的审计文件,宝塔防御ddos,此外还有F5和Arista。其中许多可以针对正在运行的系统在线执行,linuxcc防御,也可以针对导出的配置文件以脱机模式执行。这种离线支持通常证明在开发安全基线时非常方便,因为可以对更改进行测试,并且可以根据您选择的审核文件立即获得结果。