加入收藏 | 设为首页 | 会员中心 | 我要投稿 惠州站长网 (https://www.0752zz.com.cn/)- 办公协同、云通信、物联设备、操作系统、高性能计算!
当前位置: 首页 > 建站 > 正文

拿来即用的企业级安全运维体系搭建指南

发布时间:2018-09-16 20:03:44 所属栏目:建站 来源:林伟壕
导读:副标题#e# 9月15日技术沙龙 | 与东华软件、AWS、京东金融、饿了么四位大咖探讨精准运维! 本文我们将针对如何解决问题来进行详细说明,从问题入手,通过纠正或者培养良好的运维安全习惯,搭建完整的运维安全技术体系。 一、培养良好的运维安全习惯 想要解决

认证授权机制这块,主要分享的思路如下:

  • SSH不允许用密码登陆,必须用公钥登陆;
  • 建立个人帐号的概念,必须做到一人一个帐号,不允许多个人共用一个个人帐号;
  • 公共帐号要和个人帐号分开,不允许直接登陆;
  • 口令安全需要注意复杂度校验;
  • 无法通过网络层或应用层进行访问控制的,应增加认证授权机制;
  • RBAC:根据角色授权;
  • 最小权限原则:禁止给业务配置root/admin级别的数据库账号,根据业务需求授权相应权限;
  • 白名单机制:同时限制root/admin级别的数据库账号仅能通过白名单ip访问,如存在默认账号密码应同时删除;
  • 认证信息管理:说到Docker容器这块,目前Kubernetes提供了ConfigMap,可以用于传递认证配置路径或者其他间接变量,用于计算认证信息。也可以用Hashicorp Vault进行认证信息管理。

6)DDoS防御

DDoS防御按照网络架构,可分为云清洗或者IDC清洗两种模式,前者通过DNS或者反代将目标IP替换成云的VIP的方式引流,对应的防御流程分为:流量分析→流量采集→流量压制等几个步骤。

后者通过路由牵引模式引流,对应的防御流程分为:流量采集→流量分析→流量牵引→流量压制等几个步骤。

下面从流量采集、流量分析、流量牵引和攻击阻断与过滤简单介绍一下。

流量采集

云清洗

DNS:通常是Web服务,使用域名对外提供服务,只需要将dns A记录指向高防或者清洗VIP,或者dns cname到云清洗域名即可。

反向代理:配置反代,通常用于那些拿IP直接对外提供服务的,比如游戏。

IDC清洗

流量镜像/流量分光:这种方式要求IDC机房部署清洗或者高防集群,通过在网络设备上镜像流量或者分光拿去做异常流量检测。

流量分析

  • 数据包捕获和抓取、数据包分析、会话还原和重组:实际生产环境中建议用nDPI+PF_RING实现,当然,Intel DPDK技术也很成熟了,后者目前也越来越流行。
  • 应用层协议分析:据了解有公司使用Bro解析流量,测试结果显示峰值几十Gbps性能也还扛得住。当然,Bro也可以用PF_RING配合性能加速,也有插件可吐给Kafka分析。
  • 通过这里的流量分析识别出异常数据流,然后触发报警,进行下一步操作。

流量牵引

这个只针对IDC清洗有效,通常是清洗设备与IDC出口设备建立BGP协议,清洗设备向IDC出口下发牵引路由,那么,流往目标IP的所有流量都会被先送到清洗设备进行过滤。

攻击阻断与过滤

攻击阻断主要是黑洞路由,流量过滤主要使用适配清洗算法以及各种算法阈值,由此区分正常流量与异常流量,之后丢弃异常流量,回送正常流量。

7)数据安全

(编辑:惠州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

推荐文章
    热点阅读