10秒后自動關(guān)閉
使用零信任架構(gòu),守護服務(wù)器安全

零信任安全是近幾年非常火爆的安全防護理念。網(wǎng)絡(luò)安全公司和企業(yè)用戶均視之為解決網(wǎng)絡(luò)安全問題的大殺器。那么零信任安全是什么,如何部署零信任安全,何以提升服務(wù)器安全?這些問題,本文將一一為你解答。


什么是零信任

零信任概念最早于2010年由Forrester的分析師John Kindervag提出。零信任承認了在網(wǎng)絡(luò)環(huán)境下傳統(tǒng)邊界安全架構(gòu)的不足,認為主機無論處于網(wǎng)絡(luò)什么位置,都應(yīng)當被視為互聯(lián)網(wǎng)主機。它們所在的網(wǎng)絡(luò),無論是互聯(lián)網(wǎng)還是內(nèi)部網(wǎng)絡(luò),都必須被視為充滿威脅的網(wǎng)絡(luò)。

零信任的核心思想是:默認情況下,網(wǎng)絡(luò)內(nèi)外部的任何人、事、物均不可信,應(yīng)在授權(quán)前對任何試圖接入網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)的人、事、物進行驗證。

一句話總結(jié)就是:除了自己,任何人都不可信。


1.jpg

傳統(tǒng)安全架構(gòu)采用“先連接,后認證”的原則



2.png

“從不信任,始終驗證”是零信任的基本理念,身份驗證采取 “先認證,后連接”的原則



如何部署零信任安全架構(gòu)

零信任安全架構(gòu)并非適合所有場景。對于服務(wù)器,主要適用于管理員身份驗證場景。例如以下場景:

·只允許管理員遠程登錄服務(wù)器

·只允許管理員進入網(wǎng)站后臺

·只允許管理員FTP上傳文件

工欲善其事,必先利其器。要部署零信任安全架構(gòu),首先必須有一款具有該技術(shù)框架的防護系統(tǒng),部署到服務(wù)器,再配置零信任策略,即可開啟零信任安全防護。


零信任安全防護之:提升遠程桌面安全

目前大多數(shù)防護軟件,對遠程桌面采用限制終端計算機名或IP的防護方式。

限制計算機名方式,受限于windows自身原因,防護體驗不是很好,并且屬于傳統(tǒng)安全架構(gòu),“先連接,后認證”。

限制IP方式,對使用ADSL上網(wǎng)的用戶來說則是個擺設(shè)(大部分用戶都是ADSL上網(wǎng))。因為ADSL沒有固定IP,根本沒法使用。


那么有沒有開啟遠程桌面零信任安全防護的系統(tǒng)呢?

答案是:有的,護衛(wèi)神·防入侵系統(tǒng)就可以做到。

使用護衛(wèi)神·防入侵系統(tǒng)的“遠程防護”模塊,設(shè)置“遠程終端防護”的限制方式為“IP/區(qū)域”,IP留空,區(qū)域留空。然后就開啟零信任安全防護了(就這么簡單

yuancheng.jpg

(遠程桌面零信任防護設(shè)置)


PS:防入侵系統(tǒng)是在防火墻底層進行防護,采用“先認證,后連接”的原則。未授權(quán)用戶,遠程端口不對其開放,掃描工具也掃不出來。但是系統(tǒng)會記錄掃描者的信息,如下圖。

rizhi.jpg

(黑客掃描日志)


每次遠程登錄前,先登錄護衛(wèi)神·防入侵系統(tǒng),然后所有的訪問都不會被攔截了,因為你是管理員嘛。

如果你嫌麻煩,可以安裝一個安全信任終端軟件到你電腦,自動將你的IP添加為信任,無需再手工登錄防入侵系統(tǒng)控制臺了。詳細操作請看這里:http://www.12n9.com/doc/frq/84.html


零信任安全防護之:提升網(wǎng)站后臺安全

后臺是管理網(wǎng)站最常用的方式,重要性和安全性不言而喻,所有開發(fā)人員均會在程序內(nèi)部做身份驗證,看起來很有效。但這屬于傳統(tǒng)安全架構(gòu),采用的“先連接,后認證” 原則, 黑客可以利用程序邏輯漏洞繞過身份驗證,或者使用字典、暴力等手段破解賬戶密碼。同時很多網(wǎng)站帶有第三方組件(如在線上傳組件、各種CMS插件),這些組件的身份驗證就不一定做得很好了。


因此我們要對網(wǎng)站后臺做零信任安全防護,必須使用第三方防護框架,在黑客訪問后臺前進行驗證,才能做到“先認證,后連接”的防護原則。我們可以使用護衛(wèi)神·防入侵系統(tǒng)的“網(wǎng)站后臺保護”模塊實現(xiàn)零信任,在“后臺地址”框填寫你的后臺地址,區(qū)域留空,就可以了。

houtai.jpg

(網(wǎng)站后臺零信任防護設(shè)置)


每次登錄后臺前,需要先登錄護衛(wèi)神·防入侵系統(tǒng),將你的IP添加為信任,才可以訪問后臺。未授權(quán)用戶訪問后臺,會被防入侵系統(tǒng)攔截,連登錄頁面都看不到。

lanjie.jpg

(未授權(quán)用戶攔截提示)


如果你嫌麻煩,可以安裝一個安全信任終端軟件到你電腦,自動將你的IP添加為信任,無需再手工登錄防入侵系統(tǒng)控制臺了。詳細操作請看這里:http://www.12n9.com/doc/frq/84.html


零信任安全防護之:提升FTP安全

對于FTP零信任安全防護,可以使用護衛(wèi)神·防入侵系統(tǒng)的“防火墻”模塊實現(xiàn),開啟防火墻即可,不用添加規(guī)則。上傳前,先登錄護衛(wèi)神·防入侵系統(tǒng),將你的IP添加為信任,所有網(wǎng)絡(luò)通信都不會被攔截,F(xiàn)TP傳輸也就沒有任何阻礙了。

fire.jpg

(防火墻入口規(guī)則)


零信任安全,必不可少

通過上述應(yīng)用場景的詳細介紹,相信你對零信任安全部署應(yīng)用已經(jīng)有了一定的了解。

零信任安全對身份驗證防護有著天然的優(yōu)勢,可大幅降低應(yīng)用身份識別風(fēng)險,是必不可少的安全防護技術(shù)。

護衛(wèi)神·防入侵系統(tǒng)除了上述功能,還有數(shù)十項防護模塊,對服務(wù)器和網(wǎng)站進行全方位保護。更多功能模塊也在陸續(xù)開發(fā)中,即將推出的模塊有:

404掃描防護:攔截黑客掃描網(wǎng)站漏洞,阻止黑客進一步入侵

偽蜘蛛防護:通過智能學(xué)習(xí)算法,精準攔截偽蜘蛛

限時訪問保護:限制URL授權(quán)訪問時間(例如只白天開放訪問)

UA黑白名單:對User-Agent進行防護,滿足更多安全需求


如需詳細了解護衛(wèi)神·防入侵系統(tǒng),請進入:http://www.12n9.com/soft/frq/