DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

网站防护_高防虚拟主机zxhost_怎么防

06-11 CC防护

网站防护_高防虚拟主机zxhost_怎么防

行业新闻2017年3月29日温迪·纳瑟BeyondCorp:创建访问策略在我们第一篇介绍BeyondCorp概念的博客文章中,我们讨论了组织在自己尝试时应该考虑什么。这些步骤可能不是按顺序进行的,但通常是:注册用户及其终结点部署证书以标识受信任的设备设置访问代理及其策略在这篇文章中,我们将讨论创建访问策略。您的访问代理承担着强制访问公司资源的角色,而不管这些资源是在您传统的外围还是内部。强制策略是我们表达风险容忍度的一种方式;调整这些策略的大小取决于敏感度、威胁、用户群体、监管要求和其他许多因素。同时,对防火墙双方一致地执行策略是BeyondCorp模式的一个关键原则。不止一次您的访问策略比停止或执行方法灵活得多。像一个多用途工具一样,你可以使用它们来敲击、轻推、切片或敲击。下面是一些要考虑的访问策略的类型。警告-强烈建议或要求在将来某个时候采取行动。阻塞-最重的策略,完全阻止访问。记录-记录条件或事件。缓解-基于某些风险情景放松或逆转另一项政策的影响。应对-采取短期行动对特定情况做出反应。警告您可以使用警告策略来驱动行为。警告是一个背后有点分量的提醒:如果你不按提醒说的去做,迟早你会受到后果的。例如,大多数组织在他们的策略中设置了一个宽限期,让用户在软件被强制升级或被阻止之前有时间更新软件。以Duo Beyond作为BeyondCorp模型的例子,一个导致警告的简单策略可能如下所示:因此,如果某个特定浏览器的新版本发布,您的用户有一个月的时间进行升级,或者在宽限期到期后被阻止。如果您的警告策略没有附加任何后果—也就是说,用户每次都可能覆盖或忽略警告—那么它只不过是在该用户的工作流中弹出的一个恼人的标志。如果警告是关于用户不能采取行动的,那就更令人沮丧了。如果一个系统因为其他一些依赖关系而无法更新,那么这个警告就毫无用处,只会训练用户忽略刺激。当涉及到访问策略时,请确保您请求的是接收方能力范围内的具体操作,并准备好根据您的风险估计在合理的时间内采取强制措施。舞台调度阻止策略最适合于您没有回旋余地的情况。例如,KAYAK等Duo客户希望阻止非托管个人设备对关键应用程序的访问。该设备要么是公司所有的,要么不是。在Duo Beyond,政策如下:许多组织对基于地理位置的块化感兴趣。如果您非常确定您永远不需要允许来自特定区域的访问,则一般块可以工作,web应用ddos防御,但如果您与他们做生意或有用户在那里旅行,则这并不总是一个选项。请记住,基于IP地址或派生地理位置的阻塞不一定能保护您免受可能欺骗这些内容的确定的攻击者的攻击,但一般来说,它可以作为一种过滤机制,用于大部分不应该尝试向您的应用程序进行身份验证的人群。减轻有些策略用于减轻其他策略的影响。多因素身份验证是一种重要的安全控制措施,但有些用户不喜欢每次需要使用资源时都必须使用它。组织可以决定,在对系统的初始认证之后,风险低到足以延迟重新认证一段时间。其中一个例子是"记住"一个用户或设备,或两者兼而有之。对于Duo来说,您可以设置如下策略:另一个可能的缓解策略是跳过特定可信网段上设备的第二个身份验证因素。然而,一旦你开始信任某个位于网络外围的"内部"的东西,你就有可能破坏BeyondCorp的全部理念:你不应该更信任内部而不是外部。因此,谨慎使用这些"宽松"政策。回应组织也可以制定临时策略来应对特定事件。例如,如果一个插件宣布了一个严重的漏洞,并且您知道您的用户正处于危险之中,因为该漏洞已经被利用,那么您可能需要阻止用户,直到他们安装了补丁版本。换句话说,对于这一种情况,您将缩小常规保险单的时间窗口或宽限期。其他响应类型的策略可能包括对某人找不到的设备设置地理位置或网络限制,直到他们再次找到它,或者确定它确实丢失或被盗。如果他们在他们期望的地方找到它,他们可以马上再次使用它,但是如果其他人试图从其他地方使用它,他们将无法使用它访问公司数据。同样的想法也适用于即将离职的员工;当他们确定通知期限时,他们的访问策略可能会收紧,从而无法访问包含大量敏感数据存储的应用程序。管理策略例外(也称为:"阴性。我是一个肉冰棍。")对于每一项政策,都有一个平等和相反的例外。一组端点不能完全更新可能有很好的原因:它们不能正常访问足够的网络带宽;它们依赖于一个需要经过认证的堆栈才能运行的应用程序;即使你的CEO是自己的手机,51ddos攻击防御,ddos云服务器防御,也不能阻止她,这在政治上太敏感了。你永远不允许通过匿名代理进行通信,除非有一次,当一个雇员在国外旅行时,不能以任何其他方式访问一些国内资源。严格地说,防火墙本身就是一个例外:你知道连接到互联网是有风险的,但是你无论如何都要这么做,因为这样做有很强的商业理由。防火墙包含并管理这些异常("好吧,java防御ddos,但仅适用于web应用程序…")。对于您的用户,准备好一个工作流流程来接收异常请求;对于您自己,准备好记录和批准这些请求,并在策略异常只是临时性的情况下进行跟进。添加策略例外的另一个目的是随着时间的推移引入变化。您可能有更严格的策略供较小的用户组在将其部署到其他用户之前试用。如果你知道一个例外被排除在外,你也可以排除所有的例外。从大到小访问策略不仅可以用于网络和应用程序级别,ddos备用防御,还可以用于设备和行为级别。您可以先阻止对所有异常值类别的访问(例如禁止使用任何不安全的浏览器),然后再努力实现更好的端点卫生要求,例如屏幕锁。在Duo Mobile的情况下,您可以要求您的用户使用iOS上的指纹验证其双因素身份验证(2FA)确认,这样即使攻击者可以访问未锁定的手机,他们仍然无法完成登录应用程序。最重要的是切掉你不想允许的设备、软件、资源和行为,从而减少你遭受攻击的风险。改变一个组织的安全生活方式需要专门的工作,但是一旦你的控制更适合他们所属的地方——用户、他们的设备和应用程序——那么你就可以弥补今天传统安全模式中的空白,并超越它。有关如何在Duo中创建访问策略的更多信息,请参阅此Duo策略指南。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/60487.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8088001访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X