来自 防护 2021-09-02 07:52 的文章

ddos防火墙_深信服云盾_优惠券

ddos防火墙_深信服云盾_优惠券

第3部分是我们的3个博客系列的第3部分,购买防御ddos,内容包括特权密码管理基础知识、定义、挑战、威胁、最佳实践、好处和解决方案。最终,特权密码管理的结果是有效地管理特权凭证的生命周期,以便于用户和应用程序对资源进行安全身份验证,并执行特殊的过程。在企业密码管理方法中,大多数组织处于手动和自动化过程之间的某个连续统一体上。由于威胁的形式是内部人士,他们已经磨练了系统和资源的内部知识,以及来自拥有自动黑客工具包的攻击者的威胁,依靠手动过程来管理密码的组织处于相当不利的地位。在本节中,您将发现八个重点关注的核心领域,以改进特权帐户和凭据的管理。最有可能的是,实现整体企业密码管理将遵循渐进式方法的过程。通过继续阅读,你将发现从何处开始以及如何进行的见解。另外,虽然您可以通过应用手动和自动解决方案的组合来零碎地处理这八个领域中的每一个,但如果您最终对完全自动化的方法感兴趣,请不要担心您不应该需要八个不同的解决方案。事实上,一些特权密码管理解决方案将在整个密码管理生命周期中提供自动化功能和简化的工作流。对于特权账户和凭证的整体管理,重点关注以下八个方面:1) 发现所有共享的管理员、用户、应用程序和服务帐户、SSH密钥、数据库帐户、云和社交媒体帐户以及其他特权凭据(包括由第三方/供应商使用的凭据)。发现应包括每个平台(Windows、Unix、Linux、Cloud、on prem等)、目录、硬件设备、应用程序、服务/守护程序、防火墙、路由器等。此过程还应包括收集有助于评估风险的用户帐户详细信息,如权限级别、密码期限、登录日期和过期日期,以及对帐户具有依赖关系的组成员资格和服务。发现应该说明特权密码的使用地点和方式,并有助于揭示安全盲点和弊端,例如:被遗忘已久的孤立帐户可能为攻击者提供进入关键基础设施的后门,没有过期日期的密码不恰当地使用特权密码,例如在多个服务帐户中使用同一个管理员帐户跨多个服务器重用的SSH密钥发现的结果允许您重新考虑策略并重新调整帐户的访问权限。由于新系统和企业应用程序随时可能涌现,因此您需要定期执行发现,以确保每个特权凭证都是安全的、集中的和受管理的。手动方法与自动发现解决方案:缺乏自动化,全面的发现很可能是一项非常耗时的工作,它依赖于电子表格进行记录,并利用多种脚本语言、API等,这种方法通常会导致缺少凭据和安全漏洞(请参阅下面有关应用程序密码管理的更多信息)。使用第三方解决方案,您可以自动扫描IP地址、端口、系统、服务、应用程序、云,甚至社交媒体帐户。一个过程,可能需要永恒(以人类年计算)与一个自动化的解决方案可以浓缩成几分钟。2) 将特权帐户和凭证置于集中管理之下:最佳情况下,登录过程在密码创建时发生,或者在随后的例行发现扫描期间进行。独立管理自己密码的个人或团队的筒仓会导致密码泛滥和人为错误。所有特权凭证都应该集中保护、控制和存储。理想情况下,您的密码存储支持行业标准的加密算法,如AES 256和Triple DES。手动方法与自动化解决方案:您可以将特权凭证的存储集中在加密数据库中,也可以在Excel电子表格中记录值。一个自动化的企业密码安全解决方案将提供一个加密的数据库,您可以从中管理密码生命周期。企业密码保险箱可以自动执行您的特权密码管理策略,例如密码复杂性、唯一性(每个资产、帐户等的密码不同)、过期、轮换、签入和签出、删除默认密码以及其他规则。密码安全的解决方案极大地简化了新特权帐户的凭据的发现和登录。3) 在每个帐户、系统、联网硬件和物联网设备、应用程序、服务等之间实施密码轮换。如前所述,密码应是唯一的,不得重复使用或重复,并在预定的基础上,在签入时或响应特定威胁或漏洞时随机化。手动与自动密码轮换:您可以在Excel电子表格中旋转特权凭证值,然后手动登录到关联的帐户和系统。虽然不具有高度可扩展性,但这可以在简单环境中提供一些密码管理覆盖范围,但某些类型的凭据(即硬编码的密码和密钥)的管理和轮换很可能被证明是不可能的。依赖企业密码保险箱的自动化、第三方方法意味着您可以放心,您的所有特权凭证(数千到数百万)将按策略设置的间隔定期轮换。此外,使用企业密码保险箱,您可以无缝地同步帐户所在目录中的密码更改与使用密码的系统/设备/应用程序/服务中的更改,以避免任何停机时间。4) 管理应用程序密码:简单地说,这需要部署第三方应用程序密码管理解决方案,强制应用程序和脚本从集中的密码保险箱调用(或请求)密码的使用。通过实现API调用,您可以获得对脚本、文件、代码和嵌入密钥的控制,从而消除硬编码和嵌入的凭据。一旦完成了这一点,防御游戏cc攻击,您就可以根据策略的要求自动地旋转密码。而且,通过管理应用程序密码并将其加密到防篡改的密码保险箱中,凭证和底层应用程序比密码保持静态并滞留在代码中时安全得多。5) 管理SSH密钥:NIST IR 7966为企业、政府组织和审计人员提供SSH实现的适当安全治理指导,包括SSH密钥发现、轮换、使用和监控方面的建议。将SSH密钥作为另一个密码来处理,尽管它附带一个也必须管理的密钥对。定期轮换私钥和通行短语,确保每个系统都有一个唯一的密钥对。手动和自动SSH密钥管理:要识别设置为使用SSH密钥的帐户,您可以手动输入hidden.SSH用户文件夹中的authorized keys文件,但这仍然无法帮助您确定谁拥有与文件中任何公钥匹配的私钥。虽然手动SSH密钥管理比完全不管理要好,但是在稍微复杂的环境中,手动轮换SSH密钥是不可持续的策略。如果是这样的话,请寻找第三方解决方案为每个系统生成唯一的密钥对,并执行频繁的轮换。自动化的第三方SSH密钥管理解决方案将大大简化创建和轮换SSH密钥的过程,消除SSH密钥的蔓延,并确保SSH密钥在不损害安全性的情况下实现生产效率。6) 实施特权会话管理,以改进对特权帐户和凭据的监督和问责。特权会话管理是指对特权会话的监视、记录和控制。它需要能够为安全性审核特权活动,WAF能防御DDOS,并满足SOX、HIPAA、GLBA、PCI DSS、FDCC、FISMA等法规的要求。审计活动还可以包括捕捉击键和屏幕(允许实时查看和回放)。手动与第三方特权会话管理解决方案:虽然您当然可以手动实现某些过程,例如屏幕录制,但自动化解决方案允许您无缝地以数百或数千个并发会话的规模完成它。此外,一些第三方解决方案可以提供自动化的工作流,机房防御ddos,使其能够对特权会话进行细粒度控制,例如允许它们查明异常会话并暂停、锁定或终止它,直到确定该活动是适当的。7) 威胁分析-为了降低风险,并根据需要改进您的策略,azureddos防御,您应该不断分析特权密码、用户和帐户行为,并能够识别异常和潜在威胁。密码管理的集成度和集中度越高,就越容易生成有关帐户、密钥和面临风险的系统的报告。更高程度的自动化可以加速您对威胁的意识和精心安排的响应,例如使您能够立即锁定帐户或会话,或更改密码,例如当错误的密码(如暴力或字典攻击)反复尝试访问敏感资产时。8) 自动化工作流管理:虽然您当然可以构建自己的内部规则集来触发警报,并围绕密码管理应用一些策略,但第三方解决方案提供了强大的功能,可以简化和优化整个密码管理生命周期。第三方,特权密码管理解决方案也可以帮助autom