拿来即用的企业级安全运维体系搭建指南

认证授权机制这块，主要分享的思路如下：

• SSH不允许用密码登陆，必须用公钥登陆;
• 建立个人帐号的概念，必须做到一人一个帐号，不允许多个人共用一个个人帐号;
• 公共帐号要和个人帐号分开，不允许直接登陆;
• 口令安全需要注意复杂度校验;
• 无法通过网络层或应用层进行访问控制的，应增加认证授权机制;
• RBAC：根据角色授权;
• 最小权限原则：禁止给业务配置root/admin级别的数据库账号，根据业务需求授权相应权限;
• 白名单机制：同时限制root/admin级别的数据库账号仅能通过白名单ip访问，如存在默认账号密码应同时删除;
• 认证信息管理：说到Docker容器这块，目前Kubernetes提供了ConfigMap，可以用于传递认证配置路径或者其他间接变量，用于计算认证信息。也可以用Hashicorp Vault进行认证信息管理。

6）DDoS防御

DDoS防御按照网络架构，可分为云清洗或者IDC清洗两种模式，前者通过DNS或者反代将目标IP替换成云的VIP的方式引流，对应的防御流程分为：流量分析→流量采集→流量压制等几个步骤。

后者通过路由牵引模式引流，对应的防御流程分为：流量采集→流量分析→流量牵引→流量压制等几个步骤。

下面从流量采集、流量分析、流量牵引和攻击阻断与过滤简单介绍一下。

流量采集

云清洗

DNS：通常是Web服务，使用域名对外提供服务，只需要将dns A记录指向高防或者清洗VIP，或者dns cname到云清洗域名即可。

反向代理：配置反代，通常用于那些拿IP直接对外提供服务的，比如游戏。

IDC清洗

流量镜像/流量分光：这种方式要求IDC机房部署清洗或者高防集群，通过在网络设备上镜像流量或者分光拿去做异常流量检测。

流量分析

• 数据包捕获和抓取、数据包分析、会话还原和重组：实际生产环境中建议用nDPI+PF_RING实现，当然，Intel DPDK技术也很成熟了，后者目前也越来越流行。
• 应用层协议分析：据了解有公司使用Bro解析流量，测试结果显示峰值几十Gbps性能也还扛得住。当然，Bro也可以用PF_RING配合性能加速，也有插件可吐给Kafka分析。
• 通过这里的流量分析识别出异常数据流，然后触发报警，进行下一步操作。

流量牵引

这个只针对IDC清洗有效，通常是清洗设备与IDC出口设备建立BGP协议，清洗设备向IDC出口下发牵引路由，那么，流往目标IP的所有流量都会被先送到清洗设备进行过滤。

攻击阻断与过滤

攻击阻断主要是黑洞路由，流量过滤主要使用适配清洗算法以及各种算法阈值，由此区分正常流量与异常流量，之后丢弃异常流量，回送正常流量。

7）数据安全

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!