来自 防护 2021-06-10 08:20 的文章

cc防护_cc防御软件_原理

cc防护_cc防御软件_原理

用于Unix/Linux服务器的NIST 800-63在控制Unix/Linux服务器上的登录和权限时,Centrify的理念与现代NIST的建议一致,而不是传统供应商的解决方案是以密码保险库为中心的。Centrify认为用户应该以自己的身份直接登录,并根据需要和授权以粒度方式提升权限。我们还有一个用于共享帐户密码管理(SAPM)的保险存储解决方案,但是我们认为,只有在除使用特权帐户的保险库密码外别无选择时,网吧电信ddos防御,才应将其用于碎玻璃场景和其他有限的使用情形。Centrify认为用户应该直接以自己的身份登录,防御cc的cdn,使用他们的activedirectory帐户或没有默认权限的个人管理帐户,这是因为根据NIST,它提供了更高级别的身份验证保证,并通过基于主机的用户身份验证、权限管理和基于主机的会话审核。根据NIST 800-63b,使用密码保险库在目标计算机上提供登录服务,在目标计算机上通过重放密码执行身份验证,被归类为AAL1(身份验证保证级别1)。此外,即使密码保险库提供基于SSH公钥的身份验证,由于这被认为是基于单因素加密软件的身份验证,因此仍然会导致AAL1的身份验证。此外,如果在密码保险库前添加多因素身份验证(MFA),那么用户在获得共享帐户密码之前必须进行MFA,这将导致对保险库的访问是AAL2,而对主机而言只有AAL1身份验证。请记住,攻击者试图攻击主机以获取敏感信息——这就是为什么要将重点放在主机的身份验证保证级别上,而不是在密码保险库中,尽管这一点也非常重要。出于这个原因,密码保险库应该只用于真正打破玻璃的情况。Unix/Linux服务器的中心化解决方案为IT人员访问服务器提供了NIST所称的联合身份验证,依靠php防御cc,即在用户对Active Directory进行身份验证后,使用Kerberos执行身份验证,根据NIST 800-63c,在FAL2(联邦身份验证级别2)下对主机进行用户身份验证。如果IT人员使用Active Directory中配置为需要智能卡登录的帐户,则生成的Kerberos身份验证为FAL3。这些FAL2+级别的要求是身份验证必须由您登录的系统进行验证。因此,在我们的用例中,特定的联合身份验证要求是,为了信任基于Kerberos的身份验证,每个UNIX或Linux计算机都必须连接到activedirectory。NIST称,使用任何保险库密码解决方案都不能提供您登录的系统所需的身份验证保证,而且随后的安全性也不如集中式广告桥接代理。Centrify的最佳实践集中在主机上的AAL的原因是,我们希望通过强制实施基于主机的MFA或如上所述的联合登录,帮助客户防止攻击者(例如OPM攻击者)恶意滥用有效帐户。此外,Centrify建议通过以下组合来限制访问权限和特权命令执行:(a)对系统进行时间限制的访问的请求访问权限;(b)防止恶意内部人员(如Manning或Snowden)滥用的最低权限策略。此外,最佳实践建议,在用户登录到FAL2+上的Unix/Linux服务器之后,他们应该利用特权提升策略来执行其角色所需的特定命令。这些策略应使用RBAC来实施,DDOS防御1001DDOS防御,高防cdn哪家好用,RBAC利用AD组,以便用户只能访问他们需要的特定权限,不多不少,因此符合NIST 800-53。有关中央化联邦合规解决方案的更多信息,请访问此处。