私有云安全:容器安全设计实践
对于私有云环境的安全建设工作中,需要做的事务繁杂而冗长。但我们在梳理要点后,会发现非传统边界的加固工作,也是我们应该重点关注的。
首先,我们需要关注私有云环境的访问控制问题,在实现一定程度的可信准入后,对各层次的边界进行鉴权和认证;另外,我们需要针对潜在外部的大流量,以及容器间的流量风暴,通过 *** 集群和容灾多活的方式,进行分流防御处理;当然,无论是IDC资源还是容器资源,我们都务必要做好主机加固的工作,阻止黑客进行权限提升和横向扩散。
端口策略
出入策略
在对 *** 边界的安全进行设计时,我们需要对出入端口的访问控制策略,进行精细化的控制。
云环境边界:
对于云环境边界的宿主机和IDC来说,端口开放的越多,意味着攻击面会扩大。而它们被黑客尝试或者存在风险的可能性,也会越大。
所以在此逻辑基础上,这些主机需要依赖云容器管理平台和人工配置,借助类iptables的系统工具,对开放的端口实行最小化原则,同时也要对所有的端口进行严格的认证控制,保障基础的传统边界控制。
安全域隔离边界:
至于云环境 *** 隔离区,则相对来说没有没那么严格。在不同的服务之间,本身可能会存在流量交互,所以进出口规则会比较复杂,变动也会相对来说更多,如果同样采用最小化策略,可能会对业务带来比较多的困扰。
但是,对于 *** 隔离区的出入策略,对于端口控制,也是需要做好认证和鉴权的,这块儿的内容也需要云管平台去做统一的配置管理。
流量监控
对于端口出入的流量,我们除了做好异常流控,保证 *** 稳定以外,也需要对其中的流量进行监控检测。
在黑客通过手段获取了云环境内主机的临时权限后,可能会尝试横向移动或者后门反弹,抑或直接进行数据拖取。在这种情况下,对于端口流量的监控就显得尤为重要了。
在监控到端口流量异常后,安全运营中心(SOC)可以通过行为联动进行分析告警,及时阻断隔离可能沦陷的机器的访问控制。
攻击阻断
边界WAF
在私有云环境提供对外的WEB服务时,对于外部用户可触达的范围,是需要提供WAF保护的。
在针对这部分内容的防御上,主要是针对传统URI进行访问核查,以及对API的访问控制。
其中对于接口的访问频次和流量内容,是否存在异常,都是边界WAF需要关注的。
这里显然不建议在安全域隔离边界进行WAF部署,我们应该专注对云环境边界的主机(如Nginx层)进行流量收口阻断控制,这样是相对合适的做法。
边界防火墙
对于边界防火墙的话,可以对私有云 *** 的内外流量进行交互限制,限制异常流量的出入。
就部署的优先级来看,是私有云边界优先于安全域隔离边界。
我们也可以在云环境边界,尝试部署硬件防火墙,再在安全域边界通过软件防火墙的形式进行补充,当然具体实施要看情况而定。
在实际部署的过程中,我们可能会遇到预算有限、业务复杂性较高、 *** 稳定性要求高等多重问题困扰。
所以我们需要在保障更低安全标准的情况下,对相关安全能力逐步进行建设和方案优化。
HIDS
在边界主机上,我们部署HIDS的同时,进行日志的留存分析也是很有必要的。
在入侵事件发生的事前和事中,我们可以通过内网态势感知(日志流量的监控联动),对攻击进行拦截阻断。
而边界主机上的HIDS的监控告警和相关安全日志,能帮助安全运维人员更好的治病于腠理。
另外需要强调的一点,日志更好统一上传到日志分析中心(比如ELK或者Splunk),以免被拿到权限的黑客清除入侵痕迹。
对于进入私有云环境的流量,我们首先需要做好流量控制,防止内部脆弱的 *** 出现稳定性故障。
负载均衡SLB:
负载均衡(Server Load Balancer)是将访问流量根据转发策略,分发到后端多台机器的流量分发控制服务,这是在流量出入口实施分
微信怎么拉黑对方 进入微信--通讯录--点击需要拉黑的好友--点击右上角“...”图标--打开“加入黑名单”即可。打开微信,点击【通讯录】。选择你想要拉黑的好友,进入个人吵祥主页。点击右上角三个点,打...
本文目录一览: 1、我的世界战神世界服务器怎样开挂 2、我的世界怎么开挂 3、我在玩我的世界联机平台的时候开挂都失败了,到底怎么开挂啊,只说怎么开挂,别的不要说。 我的世界战神世界服务器怎样...
电脑不开机能被黑客攻击吗(黑客攻击电脑)(tiechemo.com)一直致力于黑客(HACK)技术、黑客QQ群、信息安全、web安全、渗透运维、黑客工具、找黑客、黑客联系方式、24小时在线网络黑客、黑...
沈阳市-网络红人预定哪个比较好 伴游叙述:近期有很多盆友在网后台管理留言板留言,想掌握有关沈阳市商务信息内容。因此我根据百度搜索、知乎问答、百度文库等方式,小结了下列有关沈阳市商务经纪的所有内容。期待...
本文目录一览: 1、什么编程语言最简单 2、简单好玩的编程代码有什么? 3、数控cnc编程用什么软件最简单 什么编程语言最简单 C语言玩玩就好,过了指针就难了,JAVA入门简单,后边框架太多...
谱写新时代农业农村改革新华章 习近平总书记近日主持召开中央全面深化改革委员会第十五次会议并发表重要讲话。会议强调,党的十八届三中全会以来,我们全面部署、系统推进农业农村改革,一些长期制约农业...