零信任安全是近几年非常火爆的安全防护理念。网络安全公司和企业用户均视之为解决网络安全问题的大杀器。那么零信任安全是什么,如何部署零信任安全,何以提升服务器安全?这些问题,本文将一一为你解答。
什么是零信任
零信任概念最早于2010年由Forrester的分析师John Kindervag提出。零信任承认了在网络环境下传统边界安全架构的不足,认为主机无论处于网络什么位置,都应当被视为互联网主机。它们所在的网络,无论是互联网还是内部网络,都必须被视为充满威胁的网络。
零信任的核心思想是:默认情况下,网络内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络的人、事、物进行验证。
一句话总结就是:除了自己,任何人都不可信。
传统安全架构采用“先连接,后认证”的原则
“从不信任,始终验证”是零信任的基本理念,身份验证采取 “先认证,后连接”的原则
如何部署零信任安全架构
零信任安全架构并非适合所有场景。对于服务器,主要适用于管理员身份验证场景。例如以下场景:
·只允许管理员远程登录服务器
·只允许管理员进入网站后台
·只允许管理员FTP上传文件
工欲善其事,必先利其器。要部署零信任安全架构,首先必须有一款具有该技术框架的防护系统,部署到服务器,再配置零信任策略,即可开启零信任安全防护。
零信任安全防护之:提升远程桌面安全
目前大多数防护软件,对远程桌面采用限制终端计算机名或IP的防护方式。
限制计算机名方式,受限于windows自身原因,防护体验不是很好,并且属于传统安全架构,“先连接,后认证”。
限制IP方式,对使用ADSL上网的用户来说则是个摆设(大部分用户都是ADSL上网)。因为ADSL没有固定IP,根本没法使用。
那么有没有开启远程桌面零信任安全防护的系统呢?
答案是:有的,护卫神·防入侵系统就可以做到。
使用护卫神·防入侵系统的“远程防护”模块,设置“远程终端防护”的限制方式为“IP/区域”,IP留空,区域留空。然后就开启零信任安全防护了(就这么简单)
(远程桌面零信任防护设置)
PS:防入侵系统是在防火墙底层进行防护,采用“先认证,后连接”的原则。未授权用户,远程端口不对其开放,扫描工具也扫不出来。但是系统会记录扫描者的信息,如下图。
(黑客扫描日志)
每次远程登录前,先登录护卫神·防入侵系统,然后所有的访问都不会被拦截了,因为你是管理员嘛。
如果你嫌麻烦,可以安装一个安全信任终端软件到你电脑,自动将你的IP添加为信任,无需再手工登录防入侵系统控制台了。详细操作请看这里:https://www.hws.com/doc/frq/84.html
零信任安全防护之:提升网站后台安全
后台是管理网站最常用的方式,重要性和安全性不言而喻,所有开发人员均会在程序内部做身份验证,看起来很有效。但这属于传统安全架构,采用的“先连接,后认证” 原则, 黑客可以利用程序逻辑漏洞绕过身份验证,或者使用字典、暴力等手段破解账户密码。同时很多网站带有第三方组件(如在线上传组件、各种CMS插件),这些组件的身份验证就不一定做得很好了。
因此我们要对网站后台做零信任安全防护,必须使用第三方防护框架,在黑客访问后台前进行验证,才能做到“先认证,后连接”的防护原则。我们可以使用护卫神·防入侵系统的“网站后台保护”模块实现零信任,在“后台地址”框填写你的后台地址,区域留空,就可以了。
(网站后台零信任防护设置)
每次登录后台前,需要先登录护卫神·防入侵系统,将你的IP添加为信任,才可以访问后台。未授权用户访问后台,会被防入侵系统拦截,连登录页面都看不到。
(未授权用户拦截提示)
如果你嫌麻烦,可以安装一个安全信任终端软件到你电脑,自动将你的IP添加为信任,无需再手工登录防入侵系统控制台了。详细操作请看这里:https://www.hws.com/doc/frq/84.html
零信任安全防护之:提升FTP安全
对于FTP零信任安全防护,可以使用护卫神·防入侵系统的“防火墙”模块实现,开启防火墙即可,不用添加规则。上传前,先登录护卫神·防入侵系统,将你的IP添加为信任,所有网络通信都不会被拦截,FTP传输也就没有任何阻碍了。
(防火墙入口规则)
零信任安全,必不可少
通过上述应用场景的详细介绍,相信你对零信任安全部署应用已经有了一定的了解。
零信任安全对身份验证防护有着天然的优势,可大幅降低应用身份识别风险,是必不可少的安全防护技术。
护卫神·防入侵系统除了上述功能,还有数十项防护模块,对服务器和网站进行全方位保护。更多功能模块也在陆续开发中,即将推出的模块有:
404扫描防护:拦截黑客扫描网站漏洞,阻止黑客进一步入侵
伪蜘蛛防护:通过智能学习算法,精准拦截伪蜘蛛
限时访问保护:限制URL授权访问时间(例如只白天开放访问)
UA黑白名单:对User-Agent进行防护,满足更多安全需求
如需详细了解护卫神·防入侵系统,请进入:https://www.hws.com/soft/frq/