来自 资讯 2021-06-10 08:01 的文章

cdn防御_云服务器防御_免费试用

cdn防御_云服务器防御_免费试用

介绍我们很高兴地宣布,Centrify现在支持CoreOS容器优化Linux,我们的一些客户正在使用它作为其应用程序部署采用容器化的一部分。但首先,让我们先概述一下Centrify如何帮助您保护对这些容器化平台和运行在这些平台上的应用程序的访问。随着企业采用混合云环境,将其应用程序和其他工作负载转移到公共云(如AWS、Azure和Google)时,构建自定义应用程序的应用程序开发人员不可避免地要重新编写其应用程序,启用ddos攻击防御什么意思,以利用托管平台的功能,如自动伸缩,从而实现弹性和可伸缩性。这一举措通常意味着通过容器化应用程序将应用程序转换为微服务体系结构,以实现实现业务所需的所需功能所需的灵活性。随着应用程序开发人员向容器化应用程序过渡,操作团队需要确保他们既能为这些应用程序实施所需的安全性,又能支持应用程序在生产中的运行。这就是身份、访问和权限管理的用武之地。Centrify一直在与我们几个最大的客户合作,wayos如何防御ddos攻击,以保护他们的集装箱化应用程序及其运行的主机。这些部署中的许多都将有一个编排系统或容器管理平台来管理容器,这些容器也需要得到保护,以便适当的DevOps员工访问。图1:容器及其主机容器主机的权限管理我们从保护容器主机开始,该主机通常运行Docker,以确保运行容器的平台是安全的,并且您能够集中管理用户访问权限和权限。权限管理对于确保管理不同容器集的IT员工和开发人员不会损害主机或其他团队的容器化应用程序的安全性至关重要。Centrify Infrastructure Services为Linux docker host或CoreOS container Linux提供身份、访问和权限管理,以使IT人员能够登录到这些主机,即使这些主机是自动管理的并且是短暂的。登录权限、MFA策略、特权和会话审核策略都在本地集中管理和执行。对于Docker来说,Centrific Infrastructure Services可以集中管理Docker组和作为Docker组成员的用户,从而可以执行Docker命令。如果您希望提供执行特定Docker命令的细粒度权限,则不应将用户放入Docker组中,而是使用Centrify privilege elevation service来控制哪些用户可以在单个或多个Docker主机上执行特定的Docker命令。此外,最佳做法是在Docker主机的逻辑组之间应用访问和特权策略,利用中心区域来隔离应用程序或项目以及需要访问它们的DevOps员工。图2:容器主机的权限管理集装箱的IAM和AAPM许多在容器中运行的应用程序可能需要PAM或NSS服务来访问或验证一个帐户,以便对其他服务或容器进行网络访问,在某些情况下,您可能还需要Kerberos服务来进行比这些帐户的密码或静态密钥更强的身份验证。Centrify提供在运行这些主机上的应用程序的容器中运行的安全服务,提供身份和访问管理(IAM)以及应用程序帐户和凭据管理。一个用例是使开发人员能够直接登录到Operations为他们创建的容器,美国高防cdn节点,以使他们能够管理和排除应用程序的故障。您只需安装OpenSSH以及Centrify和您的应用程序。另一个用例是提供应用程序或服务帐户服务,以支持一个容器化应用程序对网络上的另一个服务或容器化应用程序进行身份验证或登录。这可以通过以下方式实现:a)在服务器应用程序的容器中创建一个帐户并将其密码保险存储,以便客户端可以签出并登录;或者b)在AD中创建一个网络帐户,然后利用Kerberos来支持对其他Active Directory集成服务的网络登录。Centrify提供了身份代理服务,以支持容器中的PAM和NSS调用,这些调用既适用于activedirectory用户帐户和组,也适用于Centrify Identity Platform有权进行身份验证的任何用户。此外,Centrify还提供GSSAPI来支持Kerberos身份验证,这些应用程序需要支持AD用户的activedirectory集成身份验证,或者服务帐户能够访问网络上的其他activedirectory集成资源。容器可以配置为通过计算机帐户加入Active Directory以获取自己的标识,也可以利用主机的帐户和与AD的关系。此外,Centrify可以直接将容器加入到activedirectory,或者为每个容器的单个帐户注册Centrify的基于云的身份代理服务,每个容器都有自己的访问控制。这种模型的好处是,它使开发人员能够直接登录到他们的容器,而不必授予他们在主机上的任何权限,这在新的部署模型(如AWS Fargate)中尤为重要。Centrify还提供应用程序密码管理服务,以支持帐户密码的保险存储,以及签出以支持服务之间基于密码的容器化应用程序身份验证。一旦加入Centrify的Identity platform,基于目录的应用程序帐户就可以被容器化应用程序使用,利用SAML或OAuth访问其他网络资源。图3:集装箱化应用的IAM和AAPM用于容器编排平台的IAM大多数采用容器来管理其应用程序的组织将使用一个容器编排系统,如Kubernetes或CoreOS constructural。虽然这些编排平台支持为DevOps员工登录创建本地帐户,但将这些类型的管理平台集成到企业身份验证系统中始终是最佳实践。这可以通过利用LDAP通过中心化LDAP代理与activedirectory集成来实现多域支持,或者您可以利用SAML或OAuth来支持从企业用户帐户进行联合登录。两种型号如下所示:图4:保护对容器编排平台的访问摘要Centrify正在与我们的几个客户合作,以确保他们能够控制整个集装箱化生态系统的访问和权限,并为应用程序开发人员提供IAM服务,以构建在容器中运行的应用程序。您可以从在运行Linux或CoreOS的Docker主机上安装centrifyinfrastructure服务开始,如果您正在运行AWS,linux防御ddos方法,ddos防御硬件,请访问我们的AWS技术中心。