中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當(dāng)前的位置是:  首頁 > 資訊 > 文章精選 >
 首頁 > 資訊 > 文章精選 >

萬丈高樓平地起,云安全無小事

2020-08-18 15:54:37   作者:   來源:CTI論壇   評論:0  點(diǎn)擊:


  “DMZ 是英文“demilitarized zone”的縮寫,中文名稱為“隔離區(qū)”,也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題,而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。該緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)。在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施,如企業(yè) Web 服務(wù)器、FTP 服務(wù)器和論壇等。另一方面,通過這樣一個(gè) DMZ 區(qū)域,更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)。因?yàn)檫@種網(wǎng)絡(luò)部署,比起一般的防火墻方案,對來自外網(wǎng)的攻擊者來說又多了一道關(guān)卡。”
  ——摘自百度百科
  “故事”開篇的俗語新解
  “要想富,先修路”——云端與 IDC 相同,網(wǎng)絡(luò)先行,很多用戶在上云時(shí)并沒有做好安全的前期規(guī)劃導(dǎo)致埋下了安全隱患。
  “擒賊先擒王”——論述 Azure 的網(wǎng)絡(luò)安全架構(gòu),為什么從 DMZ 區(qū)域設(shè)計(jì)實(shí)踐說起?DMZ 區(qū)域是整個(gè)網(wǎng)絡(luò)安全設(shè)計(jì)中的重點(diǎn),流量屬性最復(fù)雜,安全重要性最高。
  “一副好牌,也要打得漂亮”——關(guān)于云原生,很多用戶上云后希望更多采用云平臺第一方的托管服務(wù),過去一年多的時(shí)間 Azure 在安全產(chǎn)品上有很多新產(chǎn)品發(fā)布,也希望幫助用戶了解 Azure 上有哪些牌,并將這副牌打好。
  DMZ分而治之的“宏偉藍(lán)圖”
  如果我們把運(yùn)行在云端的應(yīng)用服務(wù)按照服務(wù)對象來分類的話,一類是暴露給互聯(lián)網(wǎng)用戶使用的外網(wǎng)應(yīng)用,一類是暴露給內(nèi)網(wǎng)用戶使用的內(nèi)網(wǎng)應(yīng)用。如果我們按照相同的安全策略進(jìn)行管理,外網(wǎng)應(yīng)用處于眾矢之的,一旦被攻破其會(huì)成為滲透內(nèi)網(wǎng)的跳板。其實(shí)整個(gè)網(wǎng)絡(luò)安全中分而治之的概念貫穿在方方面面,Zero-Trust Sercurity(零信任安全)中做了任何人、應(yīng)用都可能成為安全潛在危險(xiǎn)的假設(shè),所以在進(jìn)行網(wǎng)絡(luò)安全涉及的時(shí)候我們應(yīng)該以按需分配的原則,為用戶,應(yīng)用系統(tǒng)進(jìn)行分類,以最小權(quán)限分配原則將安全策略分配到用戶,應(yīng)用系統(tǒng)上。在承載系統(tǒng)的 Azure VNet 中外網(wǎng)應(yīng)用和內(nèi)網(wǎng)應(yīng)用首先通過子網(wǎng)劃分的方式將 VNet 拆分為多個(gè) Segment(分段),通過分段便于我們對分段內(nèi)的系統(tǒng)使能不同的安全策略,在這里我們定義外網(wǎng)應(yīng)用分段為 DMZ-Subnet,內(nèi)網(wǎng)應(yīng)用分段為 Others-Subnet。
  當(dāng)擁有分段后,按照外網(wǎng)應(yīng)用分段(DMZ-Subnet)和內(nèi)網(wǎng)應(yīng)用分段(Others-Subnet)來定義不同的訪問安全策略。在傳統(tǒng)數(shù)據(jù)中心中 DMZ 區(qū)域通常通過防火墻來實(shí)現(xiàn),通過定義不同的區(qū)域(Zone),來實(shí)現(xiàn)訪問的隔離。在 Azure VNet 中沒有區(qū)域的概念,我們可以不同的分段即 Subnet 映射為傳統(tǒng)的區(qū)域即(Zone)的概念。在 DMZ 實(shí)踐中,通過定義訪問策略來實(shí)現(xiàn)安全隔離,一般的策略邏輯為:允許互聯(lián)網(wǎng)訪問 DMZ 區(qū)域,允許內(nèi)網(wǎng)區(qū)域訪問 DMZ 區(qū)域,不允許 DMZ 區(qū)域訪問內(nèi)網(wǎng)區(qū)域。上述邏輯的實(shí)現(xiàn)可以通過 Azure NSG(網(wǎng)絡(luò)安全組服務(wù))來實(shí)現(xiàn),在 NSG 中我們可以定義訪問策略規(guī)則,邏輯與傳統(tǒng)防火墻 ACL 一致。Azure NSG 規(guī)則可以使能在 Subnet 上或虛擬主機(jī)的 Nic 上,從使用實(shí)踐上對于整個(gè)分段即 Subnet 內(nèi)所有虛擬主機(jī)一致的策略建議配置在 Subnet 上,對于個(gè)別主機(jī)的特殊策略配置在 Nic 上,這樣簡單且易于管理。
  在上述的 NSG 訪問策略規(guī)則規(guī)劃中,我們還有很多留白的區(qū)域,如 DMZ-DMZ 即 DMZ 區(qū)域內(nèi)部的互訪,Others-Others 即內(nèi)網(wǎng)區(qū)域內(nèi)部的互訪,以及 DMZ,Others 到 Internet 的訪問。我們先來看下內(nèi)網(wǎng)場景,多組應(yīng)用系統(tǒng)雖然同時(shí)歸屬在相同分段但它們之間未必存在依賴(即不存在互訪需求),按照零信任網(wǎng)絡(luò)模型最小訪問權(quán)限原則,在同分段內(nèi)不同應(yīng)用系統(tǒng)之間也需要進(jìn)行訪問控制策略隔離。如法炮制,分段!前面我們通過 Subnet 實(shí)現(xiàn)了分段,在 Subnet 內(nèi)的系統(tǒng)我們繼續(xù)分段,這里我們稱之為微分段(Micro-Segment)。在傳統(tǒng)網(wǎng)絡(luò)實(shí)踐中通常是對同 Subnet 內(nèi)的主機(jī)設(shè)置基于 IP 地址的明細(xì)訪問規(guī)則,這種做法可以達(dá)到安全目標(biāo)但不易于維護(hù),隨著主機(jī)數(shù)量的增多,規(guī)則數(shù)量將成比例激增,后期不宜與維護(hù)管理。Azure 中的 Application Security Group 功能為微分段的實(shí)現(xiàn)帶來了便利,用戶可以將虛擬主機(jī)按照微分段創(chuàng)建相應(yīng)的 Application Security Group,然后在 NSG 策略中直接通過 Application Security Group 來定義訪問策略,訪問安全策略的定義剝離了 IP 的依賴,使后期維護(hù)變得簡單快捷。
  通過微分段實(shí)現(xiàn)分段內(nèi)部的安全訪問控制,可以進(jìn)一步加固網(wǎng)絡(luò)安全。下面我們來看一下 DMZ 和 Others 分段訪問 Internet 的安全設(shè)計(jì)。在傳統(tǒng)數(shù)據(jù)中心內(nèi)這部分我們稱之為互聯(lián)網(wǎng)邊緣(Internet Edge),通過防火墻來實(shí)現(xiàn) DMZ 和 Others 向互聯(lián)網(wǎng)的訪問,隨著安全產(chǎn)品的不斷發(fā)展演進(jìn),從三四層防御到應(yīng)用感知的七層防御,從靜態(tài)策略到動(dòng)態(tài)策略,不斷的來加固和提升企業(yè)網(wǎng)絡(luò)的安全等級。在Azure 中可以通過 Azure Firewall (防火墻服務(wù))來實(shí)現(xiàn),Azure Firewall 可以提供訪問日志審計(jì),F(xiàn)QDN 訪問控制策略,基于 IP 信譽(yù)的安全策略等功能,實(shí)現(xiàn) VNet 內(nèi)向 Internet 訪問的安全防護(hù)。
  上述設(shè)計(jì)中所有的安全訪問策略主要針對的都是對于與業(yè)務(wù)流量的策略,當(dāng)今很多安全事件都是從控制層面發(fā)起了滲透,比如主機(jī)被破解 SSH/RDP 登錄等。所以從整個(gè)安全設(shè)計(jì)上,外網(wǎng)區(qū)域,內(nèi)網(wǎng)區(qū)域的隔離其實(shí)體現(xiàn)最小范圍的將應(yīng)用暴露在公網(wǎng),那么不具備公網(wǎng)訪問的主機(jī)如何進(jìn)行管理?市場上有很多成熟的跳板機(jī)解決方案解決的就是遠(yuǎn)程登陸管理的問題,在 Azure 中 Bastion 服務(wù)可以提供跳板機(jī)服務(wù),可以幫助管理員用戶通過指定的入口對 VNet 內(nèi)的主機(jī)進(jìn)行管理。Bastion 服務(wù)作為托管的跳板機(jī)服務(wù),將管理員用戶的訪問聚合到統(tǒng)一入口,對于 VNet 內(nèi)部的主機(jī)只需要放行對于 Bastion 服務(wù)地址的登錄訪問即可。
  前面的設(shè)計(jì)中,我們通過分段和微分段的方式實(shí)現(xiàn)了對虛擬主機(jī)訪問的分而治之。對于 Azure 中的 PaaS 服務(wù),實(shí)現(xiàn)方式略有不同,默認(rèn)情況下 Azure PaaS 服務(wù)暴露的是一個(gè)公網(wǎng)訪問的 Endpoint,用戶可以在 PaaS 服務(wù)內(nèi)置的 Firewall 防火墻訪問策略內(nèi)設(shè)置允許訪問的客戶端 IP 白名單,但由于暴露在公網(wǎng)仍然存在被別人掃描的可能性。所以建議用戶采用 Azure Private Link,將 Azure PaaS 服務(wù)的訪問 Endpoint 鎖定到 VNet 內(nèi)部只暴露內(nèi)網(wǎng)訪問節(jié)點(diǎn),從而實(shí)現(xiàn)與虛擬主機(jī)一樣的內(nèi)網(wǎng)隔離設(shè)計(jì)。
  除此之外 Web 七層安全防御以及 DDoS 防御也是受到普遍關(guān)注的安全實(shí)踐,Azure WAF (Web 安全防火墻服務(wù))和 Azure DDoS 服務(wù)(拒絕服務(wù)攻擊防御服務(wù))可以幫助用戶實(shí)現(xiàn)防御。Azure WAF 支持在 Azure FrontDoor 服務(wù)以及 Azure Application Gateway 服務(wù)上開啟,對于面向互聯(lián)網(wǎng) 2C 應(yīng)用,WAF on FrontDoor 可以借助 FrontDoor 服務(wù)的全球接入點(diǎn)實(shí)現(xiàn)全球分布式近緣防御。Azure DDoS 服務(wù)借助微軟云全球豐富的網(wǎng)絡(luò)帶寬資源,結(jié)合基于機(jī)器學(xué)習(xí)的自適應(yīng)流量策略模型為用戶提供全球性的 DDoS 保護(hù)服務(wù)。
  DMZ 的設(shè)計(jì)就完成了,意味著我們借助 Azure 第一方的網(wǎng)絡(luò)安全組件以零信任網(wǎng)絡(luò)模型為基準(zhǔn)構(gòu)建了安全可靠的網(wǎng)絡(luò)環(huán)境。但是,安全無小事,安全事無巨細(xì),更多關(guān)于身份安全,數(shù)據(jù)安全的話題,且聽下回分解。
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點(diǎn)判斷保持中立,不對所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔(dān)全部責(zé)任。

專題

CTI論壇會(huì)員企業(yè)