软件界说界线 (SDP) 怎样缓解常见安详威胁
|
名为软件界说界线 (SDP) 的长途会见新范式回收零信赖要领,以基于身份的细粒度会见取代普及的收集接入,提供重要 IT 资源会见。
仅仅几年之前,大大都事变照旧在办公室里完成的。但现在,大量事变都开始延续通过长途执行——至少长途事变时刻占比很高。员工可在机场、咖啡馆、旅馆和火车上接入事变收集。相等多的事变者,好比雇员或承包商,绝大部门时刻都是在家或在 WeWork 这样的共享办公空间长途事变。 这一转变对旨在掩护界线的企业安详造成了重大影响。企业假造专用网 (VPN) 是提供安详长途会见最常见的办理方案,不只赋予长途事变者企业收集接入,还可使他们可以或许会见该收集上的应用和数据。但这种局域网 (LAN) 上用户自然 “可信” 的过期认知,给进攻者留出了辽阔的进攻空间。 荣幸的是,名为软件界说界线 (SDP) 的长途会见新范式回收零信赖要领,以基于身份的细粒度会见取代普及的收集接入,提供重要 IT 资源会见。SDP 掩护企业免受多种威胁及黑客技能侵吞,防备罪犯乐成攻破企业收集。 本文中,接受过 Meta Networks 首席执行官,今朝任职 Proofpoint 零信赖产物副总裁的 Etay Bogner 将为我们点出企业 VPN 无法抵制的八种常见安详威胁,显现 SDP 在直面此类威胁时的有用性。 威胁 1:中间人 进攻者将自身置于用户与应用的会话中间,窃听或伪装个中一方,使信息交换看起来仍像正常举办一样,这样的进攻就叫做中间人进攻 (MITM)。SDP 和 VPN 办理方案都能通过加密地道提供针对 MITM 进攻的防护。但 SDP 陈设全面,始终在线,可全程掩护 Web 流量,提供企业收集安详会见。而许多传统 VPN 办理方案为节减开支和低落耽误,回收单独的地道直接发送 Web 流量,将终端置于风险之中。SDP 却通过掩护开放终端办理了这个题目。 威胁 2:DNS 挟制 DNS 挟制是接入民众 WiFi 收集事变的又一危害。黑客可参与 DNS 理会,将用户导引至恶意站点而非其意图会见的正当网站。行使恶意软件或未授权修改处事器均可告竣此目标。黑客一旦节制了 DNS,就能将通过此 DNS 上网的其他人引至假意网站——机关相似,却包括特另外内容,好比告白等。也可以将用户导引至包括恶意软件或第三方搜刮引擎的页面。而始终在线的 SDP 办理方案依托收集即处事架构,行使策展式安详 DNS 处事执行理会,抵制 DNS 挟制进攻。 威胁 3:SSL 剥离 SSL 剥离属于 MITM 进攻的一种,将终端与处事器间的通讯降级至非加密情势以便可以或许读取其内容。防备 SSL 剥离的一种方法是安装 HTTPS Everywhere 赏识器扩展,逼迫遍地均回收 HTTPS 通讯,阻止不请自来的进攻者将通讯降级为 HTTP。SDP 也能阻止此类威胁,通过以加密地道发送全部流量加以缓解。 威胁 4:DDoS 漫衍式拒绝处事 (DDoS) 进攻中,应用因遭遇流量大水过载而无法相应正常哀求。因为是漫衍式的,此类进攻很是难以阻止。拒绝处事进攻的特性就是进攻者明明要阻塞处事的正当行使。 拒绝处事 (DoS) 进攻首要有两种情势:搞瓦解处事的,以及沉没处事的。最严峻的进攻就是漫衍式的。因为掩护的是应用而非终端用户装备,SDP 办理方案对两种 DDoS 进攻都有用。SDP 模子中,应用(以及托管这些应用的基本办法)并不直接接入互联网。SDP 办理方案作为网关拦阻统统未授权会见。 威胁 5:端口扫描 黑客运用端口扫描定位收集上可操作来进攻的开放端口。安详打点员必需寄望与端口扫描相干的两大首要存眷点。起首,与开放端口及其处事提供措施相干的安详及不变性题目。其次,与通过开放或封锁端口运行于主机上的操纵体系相干的安详及不变性题目。因为 SDP 办理方案将全部收集资源与互联网断绝,黑客无法操作此技能找出进入的途径。 威胁 6:可蠕虫化裂痕操作 就像近期频登媒体头条的 BlueKeep,蠕虫就是可以从一台呆板爬到另一台呆板的裂痕操作。有什么可大惊小怪的?由于用户只要进入收集就会被传染——无论可信收集还长短受信收集。换句话说,杀毒软件和 EDR 等通例终端安详平台阻止不了此类裂痕操作,用户安详意识培训也无甚辅佐。由于无需用户操纵,仅需用户的条记本电脑或手机接入收集的同时有台被传染装备也接入了同个收集即可。因为收集上操作了蠕虫,大大都环境下,企业防火墙或 VPN 无法缓解 BlueKeep 类裂痕操作。零信赖 SDP 为用户提供奇异的牢靠身份和微断绝会见,仅供会见所需的资源,云云一来,被传染装备对整个收集发生的影响就很是有限了。 威胁 7:暴力破解进攻 与 DDoS 相同,暴力破解进攻也是黑客通过重复登录实行,获取收集或应用会见权的方法之一。SDP 办理方案可当即检测到失败的登录实行,同时留意到可疑地理位置或登录时段、装备状态改变和终端杀毒软件缺失或被禁用的环境,从而拒绝会见。 威胁 8:遗留应用 许多遗留应用计划时没思量过从互联网会见的环境,缺乏当代软件即处事 (SaaS) 应用默认的根基安详法子。通过 SDP 办理方案限定对遗留应用的会见可以将这些应用与企业收集和互联网断绝,增进顺应性节制法子以低落风险。 从不掉线的软件界说界线在应用层保卫网关安详,扼守通往云基本办法及其彼此之间的交通要道,修建结实的安详框架。加之乃至第三方应用提供商都无法密查通讯的加密成果,SDP 为迈向云的公司企业理睬了抱负的高安详界线。 【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安详牛(微信公家号id:gooann-sectv)获取授权】 戳这里,看该作者更多好文
(编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
