DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

云盾_cdn高防应急中心_如何解决

06-29 WEB安全

云盾_cdn高防应急中心_如何解决

混合和多云基础设施在安全和用户访问管理方面是一个真正的挑战。像vpn这样的传统解决方案通常不适合这种情况。他们仍然可以工作,但代价是建立一个复杂的(和昂贵的)互联网络,在那里访问的微观分割将是复杂的管理。

这篇博客文章是一个系列的第一个记录我们的旅程向零信任在库德尔斯基安全。今天,我们将重点介绍如何利用我们刚刚公开的一些工具和代码,通过Cloudflare Access保护内部应用程序的公开。

零信任在两行

在流行语后面,零信任并不是让系统可信;这是关于消除我们最初对网络的信任。因此,每当您的用户从公司网络或家庭WiFi连接到您的应用程序时,他们将遵循相同的身份验证和授权工作流程。

身份是零信任体系结构(基于身份的安全)的组成部分之一,这就是为什么零信任与身份和访问管理(IAM)和设备姿态管理紧密相连,但这可能值得再写一篇博文。

如果你想阅读关于该主题的更多信息:

零信任全球视角什么是零信任架构?BeyondCorp modelBeyondCorp

Cloudflare Access

Cloudflare Access是由Cloudflare开发的SaaS身份感知代理(IaP),通过提供覆盖大多数用户的平台无关解决方案,可以帮助愿意切换到零信任模型的公司使用案例

将应用程序暴露于Cloudflare Access

因为Cloudflare Access是一种SaaS产品,DDOS防御能力,没有物理链接到数据中心,所以我们需要找到一种方法,通过公共互联网将一些应用程序安全地暴露于Cloudflare CDN。有多种方法和技术可以实现这一点(包括Argo隧道),ddos防御php,但是我们为这个特定用例选择和实现的解决方案利用了HAProxy(TCP/HTTP负载平衡器),这是我们内部已经熟悉的产品。

我们在HAProxy上添加了一些胶水,通过加密验证来自Cloudflare访问应用程序的请求,使用LUA引擎增强其功能(在做第4层网络验证的基础上。

分步实现

这篇文章是一个用HAProxy和Cloudflare访问实现基于JSON Web令牌(JWT)的身份验证的分步指南:

HAProxy Cloudflare JWT validator是一个用于HAProxy的lua脚本,它从Cloudflare JWKS端点验证JWT。它能够处理授权和身份验证,因为它验证每个请求以确保它与正确的Cloudflare访问应用程序相关联。此外,它还能够将任何自定义信息从jsonweb令牌(如SAML组信息)传递给HAProxy。它还通过在传统应用程序上添加一层强身份验证(外部IdP+MFA)和授权来实现其安全性。

最后但并非最不重要,这个项目是关于Cloudflare访问上下文中的HAProxy,但是代码和逻辑可以应用于任何使用基于JWT的身份验证的东西。

什么是JSON Web令牌

JSON Web令牌是作为JSON对象在双方之间传输信息的开放标准。这些令牌可以包含用户、组和其他信息。它们可以被信任,因为它们可以被验证,ddos域名攻击防御,因为它们是数字签名的。Cloudflare使用私有和公共密钥对SHA-256对其JWT令牌进行签名。

什么是JWKs?

JSON Web密钥集是一种JSON结构,公开用于验证JSON Web令牌的公钥和证书。Cloudflare在https://YourAuthenticationDomain/cdn-cgi/access/cert. Cloudflare还定期轮换他们在该端点使用的证书。

为什么要验证JSON Web令牌?

Cloudflare建议将Cloudflare IP列入白名单,并对通过的请求验证JWT。只有白名单IPs&未能验证JWT意味着攻击者只需在Cloudflare配置中添加一个DNS条目即可绕过您的IP白名单。您需要确保验证JWT令牌,以防止未经授权的Cloudflare帐户访问,ccddos完美防御,并确保没有任何内容超出您的访问应用程序规则。

演示-在本地签名和验证您自己的JWT

我们在这里提供了一个示例,用于签名JSON web令牌和验证令牌

依赖性

jwt_test.sh命令需要一些需要在系统上安装的依赖项

dockerdocosejq

123sudo apt get install jq(Debian/Ubuntu)sudo yum install jq(CentOS)brew install jq(OSX)

jwtgen

1npm install-g jwtgen

运行测试

运行示例…只需运行脚本例如:

1234567891011121314151617181920212223242526272829303132333435363733839404142434445464849505152535455565758596061626364656667$。/jwt_test.sh生成私钥和证书:生成RSA私钥.................................................................  ...............++++                                                   ................................................................. ………+++正在将新私钥写入"certs/private.key"-正在向JWKS终结点添加证书:已完成启动示例\u调试\u http \u侦听器\u 1。。。已完成启动示例\u cloudflare\u mock\u 1。。。完成启动示例\u haproxy\u cloudflare\u jwt\u验证程序\u 1。。。使用错误的Cf Access Jwt断言头完成CURL响应:403 Forbidden请求被禁止管理规则。用有效的Cf Access Jwt断言头:{"path":"/","headers":{"host":"localhost:8080",免费金盾CC防御,"用户代理":"curl/7.58.0","accept":"*/*","cf access jwt assertion":"eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1N iJ9.eyjpyxqioje1otmymdq4ntgsimf1zci6wyixmj0nty3odkwywjzguxmj0nty3o dkwywjzguxmj0nty3odkwywjzguxmj0nty3odkwywjzguixswizw1hawwiijyyw5kb20tzw1hawxazw1haw"Wuy29tiiwic3viijoimtizndu2nzg5m5hwuiijkb2huiervzisimfkbwluijp 0cnvlcjpc3mioijodhrwoi8vy2xvdwrmbgfyzv9tb2nriiwibmjmijoxntkzmja0odu4 lcjlehaijm5otmyq4ntgsin5guioijhchailcjgvgvgvudgl0ev9ub25jzsi6ijexm texmtmtzdg9tijp7fx0.xq1KyxFrOt4-6ialmqvj8rora72ojvk9gzd5nvQ4yqs8MFGTqERp1ggTxF99ieBZ\ U PDg79jL6NCI\ U bxxDPCpplX8foUb-XqbS0ppsIrS1 H-NWOsOYMg4KCs7vkj0\ U g5eforln8aFdCEG1ToA61DqFM2epAxAk5zuHfjwz7aBtk2eNC RJHGQ692TPWPWDZLLTY4XLFZSBEPPEERA5NWBEPFHZNQ-ISjpx2d4g6zZUMYMbAX7h N4RI7NLTUXLROQUJDNMIUA7BEFSRGQPNP3WZBXH9WWHKFEBKIQMFYW4KLYQuDH7htV-uuCaWqwPm4ke4PDY2w3Hjvds5Zne5SAblmkdJBXTx2fDOCLIIv1t0-Pnf\u T\u3nzmkd\u ymqaorrrrx9-4lcowmuoqe3pblclsqtjvziefzjcnmcte1attdo6ullyoepjpx b58WrJOrQwo3-jzon1precnuzarsfqpe8qpbptljmkfkns6wfnxzmlotqmmjpg4 qthvzmdc3glmdi9rjaribjc0swbjrccnqmdl3dq3gaspkwdrhw-bwxj5ocnntowy5ybG1pTb7Tefd98GamEwhIpENW7z9YF2jPcNeZ8BxmQwna56E0cAQHdTqH-5BaWDDSCLv2 nay0wzuymrpkiovvu1pazznu","x-forwarded-for":"172.20.0.1","connection":"close"},"method":"GET","body":","fresh":false,"hostname":"localhost","ip":"172.20.0.1","ips":["172.20.0.1"]

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/70492.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9324294访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X