来自 DDOS 2021-02-19 16:11 的文章

云服务器防护_如何_云盾安全防护

云服务器防护_如何_云盾安全防护

在各种规模的企业中,微区隔是一种趋势。但是,cc攻击用什么防御,如果您正在考虑对您的网络进行分段,并希望从高度细化的微分段方法开始,免费ddos防火墙,我们已经为您提供了建议。别这样。对网络进行分段可以让您看到并控制区域之间的服务,从而启用和限制区域之间的访问,这些区域由标识(包括IP地址、子网或安全组)组成。在特定于应用程序或狭窄的安全组级别部署粒度区域的微分段提供了更强大的控制来锁定对网络的访问。如果分段是一种行之有效的、切实可行的方法来加强连通性、合规性和安全性,那么微分段不是更好吗?是的…但是在适当的时候。首先,它就像建造一座没有地基的房子。微分段是一种强大的风险管理策略,但在细分策略中过早地实施它可能会给您的安全团队带来负担,可能会使您的法规遵从性和安全性处于风险之中。原因如下。假设您的安全团队将您的会计部门划分为自己的区域,这样只有会计人员才能访问敏感的应用程序,如工资单、银行和其他保存敏感数据的应用程序。但是,您还有一个人力资源应用程序,其中包含高度敏感的信息,服务器防御防止ddos攻击,ddos防御隐藏,如员工的个人详细信息、过去的考核和薪酬。唯一应该访问它的人可能是工资单中的必要人员以及人力资源和财务主管。限制对这一小部分人的访问可以确保它不会被错误的人恶意或无意中访问。要纠正这种情况,您可以通过创建一个仅由应用程序组成的区域和另一个由安全组组成的区域和两个应该访问它的人组成的区域。其他人无法使用其用户凭据访问应用程序。您已经创建了一个由安全团队管理的细粒度安全组,并使用零信任来确保法规遵从性和安全性得到保留。当你有一个小型且更易于管理的网络时,这是可行的。但考虑到您可能有200个业务应用程序,其中许多应用程序处理敏感数据,而且您每年可能还会发布另外30个新应用程序。如果你是微区隔,你将为应用程序和用户创建新的安全组,除了每个安全组中的200个(已经有400个)之外,每年还将增加60个区域。您将有数百个区域,尽管每个区域都有其自己细致入微的安全策略,但是您的安全团队将面临记录更改和有效重用每个安全组、允许的服务和业务原因的挑战。除非您的安全团队精通大规模管理安全策略所需的工具和流程,否则单个安全组的数量是无法管理的。当您考虑到访问策略总是在变化时,情况会变得更糟。新员工加入,ddos攻击防御软件下载,其他人离开,应用程序启动并关闭,服务器停止运行(希望如此),所有这些都需要修改您的访问策略。在这场动荡中,您的安全人员必须不断更新您的安全组及其策略。您将被不断变化的安全规则的复杂性淹没,并且在记录更改或删除过期的访问规则方面会有不足。当追求这样一个粒度级别的控制时,您将更容易失去对安全组的跟踪和可管理性,并无意中保留未使用的、因而不必要的访问权限。这可能在审计过程中变得显而易见,或者更糟的是,在违规之后被发现。忽略开始的最终目标微分段只有在组织有足够的成熟度来实现它时才有效。这就是为什么我们在Tufin强烈建议避免安全第一微区离开大门。从简单地将网络划分为粗略的高级别区域开始,例如内部、外部、Internet和DMZ。开始时,记录和细化访问策略会更容易,而且您将有一个非常易于管理的起点。随着您获得分段的经验,可以逐步划分网络,如按部门或位置划分,以符合您的安全和法规遵从性需求。获取资源以协调和自动化安全策略管理,确保您可以记录策略并随时掌握更改。您将开发一个可参考的模型,用于评估区域之间未来访问更改的遵从性,并为审核做好准备。准备微分段一旦你有了工具和过程,你就有了成熟度、控制力和对微段的可见性。通过将单个应用程序及其用户置于独特的区域,您将限制谁访问您的数据,而不管您的数据是驻留在本地还是云中。您将获得零信任的姿态,并确保您最敏感的信息的安全性和完整性。请记住,网络分割是一个持续的过程。在新的需求和机遇的驱动下,您的业务和网络不断变化,因此,您的细分和安全策略将始终不断发展。您永远不会完成分段,但这没关系,因为正是这种动态性确保了持续的法规遵从性和网络安全。要了解有关网络细分的更多信息,包括指导原则和最佳实践,请下载我们的白皮书,网络细分实用指南。查看网络分段安全信息图。