Security reference architecture based on Technology Risk Management - TRM
example: 零信任模型 Zero trust model
Difference between Active directory and Identity and Access managment
微分段 在传统的数据中心网络中,普遍认为数据中心网络内部的流量是安全的,外部的流量是不安全的。因此,通常在网络内、外部的边界部署防火墙,对进、出网络的流量(即南北向流量)进行分析和处理。这种在边界设备上对流量进行安全分析的技术,也称为边界安全技术。
随着数据存储、应用的不断增多, 数据中心网络流量从以前的南北向流量为主转变为东西向流量为主,这样对内部流量进行安全管控就变得尤为重要。一旦攻击者冲破边界防护,那么数据中心内部的安全将受到严重威胁,攻击者可以随意攻击数据中心内部的服务。因此在云化的数据中心内部,需要针对数据中心内外部的流量做全面的防护,如果将数据中心内部虚拟机间的流量全部绕行集中式防火墙,很难满足数据中心灵活分布式、可扩展部署的要求和挑战,容易形成性能和扩容的瓶颈。
微分段可以提供比子网粒度更细的分组规则,并对数据中心的内部网络进行分组,然后对所有分组之间的流量部署安全策略。这样就可以实现更精细的业务策略控制,限制攻击行为在网络内部横向移动的能力,以增强安全性。这就类似于我们将船体分成若干个相互隔离的独立船舱,能保证因破损造成某一船舱进水时,不会波及其他船舱而导致整船进水,从而提高船舶的抗沉性。
微分段与VLAN、ACL、防火墙对比 网络分段不是新技术,传统网络通常依赖防火墙、虚拟局域网(VLAN)和访问控制列表(ACL)用于网络分段,对业务流量进行隔离。但是这些技术存在其局限性:
而微分段可以提供更细粒度、更灵活的分段方式。微分段定义强调“微”和“分段”。
微分段借鉴了安全设备Security Zone的概念,将数据中心业务单元按照一定的原则分组,然后通过分组间策略实现流量控制。微分段基于以下两个元素实现精细分组隔离:
also referred to as endpoint detection and threat response (EDTR), is an endpoint security solution that continuously monitors end-user devices to detect and respond to cyber threats like ransomware and malware.
DDoS全称:分布式拒绝服务(DDoS:Distributed Denial of Service),该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。CC攻击全称Challenge Collapsar,中文意思是挑战黑洞,因为以前的抵抗DDoS攻击的安全设备叫黑洞,顾名思义挑战黑洞就是说黑洞拿这种攻击没办法,新一代的抗DDoS设备已经改名为ADS(Anti-DDoS System),基本上已经可以完美的抵御CC攻击了。CC攻击的原理是通过代理服务器或者大量肉鸡模拟多个用户访问目标网站的动态页面,制造大量的后台数据库查询动作,消耗目标CPU资源,造成拒绝服务。
DDoS攻击打的是网站的服务器,而CC攻击是针对网站的页面攻击的,用术语来说就是,一个是WEB网络层拒绝服务攻击(DDoS),一个是WEB应用层拒绝服务攻击(CC)。CC攻击模拟用户对一些比较消耗资源的网页进行攻击,而DDoS攻击则是针对ip进行攻击,两者的危害也是不一样的,DDoS的攻击会比CC攻击更难防御,造的危害会更大
DDOS attack DNS A DNS flood is a type of distributed denial-of-service attack (DDoS) where an attacker floods a particular domain’s DNS servers in an attempt to disrupt DNS resolution for that domain.