零信任安全是近幾年非常火爆的安全防護(hù)理念。網(wǎng)絡(luò)安全公司和企業(yè)用戶均視之為解決網(wǎng)絡(luò)安全問題的大殺器。那么零信任安全是什么,如何部署零信任安全,何以提升服務(wù)器安全?這些問題,本文將一一為你解答。
什么是零信任
零信任概念最早于2010年由Forrester的分析師John Kindervag提出。零信任承認(rèn)了在網(wǎng)絡(luò)環(huán)境下傳統(tǒng)邊界安全架構(gòu)的不足,認(rèn)為主機(jī)無論處于網(wǎng)絡(luò)什么位置,都應(yīng)當(dāng)被視為互聯(lián)網(wǎng)主機(jī)。它們所在的網(wǎng)絡(luò),無論是互聯(lián)網(wǎng)還是內(nèi)部網(wǎng)絡(luò),都必須被視為充滿威脅的網(wǎng)絡(luò)。
零信任的核心思想是:默認(rèn)情況下,網(wǎng)絡(luò)內(nèi)外部的任何人、事、物均不可信,應(yīng)在授權(quán)前對任何試圖接入網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)的人、事、物進(jìn)行驗(yàn)證。
一句話總結(jié)就是:除了自己,任何人都不可信。
傳統(tǒng)安全架構(gòu)采用“先連接,后認(rèn)證”的原則
“從不信任,始終驗(yàn)證”是零信任的基本理念,身份驗(yàn)證采取 “先認(rèn)證,后連接”的原則
如何部署零信任安全架構(gòu)
零信任安全架構(gòu)并非適合所有場景。對于服務(wù)器,主要適用于管理員身份驗(yàn)證場景。例如以下場景:
·只允許管理員遠(yuǎn)程登錄服務(wù)器
·只允許管理員進(jìn)入網(wǎng)站后臺
·只允許管理員FTP上傳文件
工欲善其事,必先利其器。要部署零信任安全架構(gòu),首先必須有一款具有該技術(shù)框架的防護(hù)系統(tǒng),部署到服務(wù)器,再配置零信任策略,即可開啟零信任安全防護(hù)。
零信任安全防護(hù)之:提升遠(yuǎn)程桌面安全
目前大多數(shù)防護(hù)軟件,對遠(yuǎn)程桌面采用限制終端計(jì)算機(jī)名或IP的防護(hù)方式。
限制計(jì)算機(jī)名方式,受限于windows自身原因,防護(hù)體驗(yàn)不是很好,并且屬于傳統(tǒng)安全架構(gòu),“先連接,后認(rèn)證”。
限制IP方式,對使用ADSL上網(wǎng)的用戶來說則是個(gè)擺設(shè)(大部分用戶都是ADSL上網(wǎng))。因?yàn)锳DSL沒有固定IP,根本沒法使用。
那么有沒有開啟遠(yuǎn)程桌面零信任安全防護(hù)的系統(tǒng)呢?
答案是:有的,護(hù)衛(wèi)神·防入侵系統(tǒng)就可以做到。
使用護(hù)衛(wèi)神·防入侵系統(tǒng)的“遠(yuǎn)程防護(hù)”模塊,設(shè)置“遠(yuǎn)程終端防護(hù)”的限制方式為“IP/區(qū)域”,IP留空,區(qū)域留空。然后就開啟零信任安全防護(hù)了(就這么簡單)
(遠(yuǎn)程桌面零信任防護(hù)設(shè)置)
PS:防入侵系統(tǒng)是在防火墻底層進(jìn)行防護(hù),采用“先認(rèn)證,后連接”的原則。未授權(quán)用戶,遠(yuǎn)程端口不對其開放,掃描工具也掃不出來。但是系統(tǒng)會記錄掃描者的信息,如下圖。
(黑客掃描日志)
每次遠(yuǎn)程登錄前,先登錄護(hù)衛(wèi)神·防入侵系統(tǒng),然后所有的訪問都不會被攔截了,因?yàn)槟闶枪芾韱T嘛。
如果你嫌麻煩,可以安裝一個(gè)安全信任終端軟件到你電腦,自動將你的IP添加為信任,無需再手工登錄防入侵系統(tǒng)控制臺了。詳細(xì)操作請看這里:http://smartrecovery.cn/doc/frq/84.html
零信任安全防護(hù)之:提升網(wǎng)站后臺安全
后臺是管理網(wǎng)站最常用的方式,重要性和安全性不言而喻,所有開發(fā)人員均會在程序內(nèi)部做身份驗(yàn)證,看起來很有效。但這屬于傳統(tǒng)安全架構(gòu),采用的“先連接,后認(rèn)證” 原則, 黑客可以利用程序邏輯漏洞繞過身份驗(yàn)證,或者使用字典、暴力等手段破解賬戶密碼。同時(shí)很多網(wǎng)站帶有第三方組件(如在線上傳組件、各種CMS插件),這些組件的身份驗(yàn)證就不一定做得很好了。
因此我們要對網(wǎng)站后臺做零信任安全防護(hù),必須使用第三方防護(hù)框架,在黑客訪問后臺前進(jìn)行驗(yàn)證,才能做到“先認(rèn)證,后連接”的防護(hù)原則。我們可以使用護(hù)衛(wèi)神·防入侵系統(tǒng)的“網(wǎng)站后臺保護(hù)”模塊實(shí)現(xiàn)零信任,在“后臺地址”框填寫你的后臺地址,區(qū)域留空,就可以了。
(網(wǎng)站后臺零信任防護(hù)設(shè)置)
每次登錄后臺前,需要先登錄護(hù)衛(wèi)神·防入侵系統(tǒng),將你的IP添加為信任,才可以訪問后臺。未授權(quán)用戶訪問后臺,會被防入侵系統(tǒng)攔截,連登錄頁面都看不到。
(未授權(quán)用戶攔截提示)
如果你嫌麻煩,可以安裝一個(gè)安全信任終端軟件到你電腦,自動將你的IP添加為信任,無需再手工登錄防入侵系統(tǒng)控制臺了。詳細(xì)操作請看這里:http://smartrecovery.cn/doc/frq/84.html
零信任安全防護(hù)之:提升FTP安全
對于FTP零信任安全防護(hù),可以使用護(hù)衛(wèi)神·防入侵系統(tǒng)的“防火墻”模塊實(shí)現(xiàn),開啟防火墻即可,不用添加規(guī)則。上傳前,先登錄護(hù)衛(wèi)神·防入侵系統(tǒng),將你的IP添加為信任,所有網(wǎng)絡(luò)通信都不會被攔截,F(xiàn)TP傳輸也就沒有任何阻礙了。
(防火墻入口規(guī)則)
零信任安全,必不可少
通過上述應(yīng)用場景的詳細(xì)介紹,相信你對零信任安全部署應(yīng)用已經(jīng)有了一定的了解。
零信任安全對身份驗(yàn)證防護(hù)有著天然的優(yōu)勢,可大幅降低應(yīng)用身份識別風(fēng)險(xiǎn),是必不可少的安全防護(hù)技術(shù)。
護(hù)衛(wèi)神·防入侵系統(tǒng)除了上述功能,還有數(shù)十項(xiàng)防護(hù)模塊,對服務(wù)器和網(wǎng)站進(jìn)行全方位保護(hù)。更多功能模塊也在陸續(xù)開發(fā)中,即將推出的模塊有:
404掃描防護(hù):攔截黑客掃描網(wǎng)站漏洞,阻止黑客進(jìn)一步入侵
偽蜘蛛防護(hù):通過智能學(xué)習(xí)算法,精準(zhǔn)攔截偽蜘蛛
限時(shí)訪問保護(hù):限制URL授權(quán)訪問時(shí)間(例如只白天開放訪問)
UA黑白名單:對User-Agent進(jìn)行防護(hù),滿足更多安全需求
如需詳細(xì)了解護(hù)衛(wèi)神·防入侵系統(tǒng),請進(jìn)入:http://smartrecovery.cn/soft/frq/