日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
如何加固基于云端憑據(jù)的身份認(rèn)證

 ???

創(chuàng)新互聯(lián)公司,專注為中小企業(yè)提供官網(wǎng)建設(shè)、營(yíng)銷型網(wǎng)站制作、成都響應(yīng)式網(wǎng)站建設(shè)公司、展示型成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、外貿(mào)網(wǎng)站建設(shè)等服務(wù),幫助中小企業(yè)通過(guò)網(wǎng)站體現(xiàn)價(jià)值、有效益。幫助企業(yè)快速建站、解決網(wǎng)站建設(shè)與網(wǎng)站營(yíng)銷推廣問(wèn)題。

如今,云服務(wù)已是無(wú)處不在了。從商業(yè)角度來(lái)看,任何希望得到快速發(fā)展的公司,都會(huì)選擇通過(guò)其首選的云服務(wù)提供商,來(lái)獲取計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)資源,以加持他們的產(chǎn)品。不可否認(rèn),云服務(wù)正在以指數(shù)級(jí)的速度簡(jiǎn)化著他們的開發(fā)和自動(dòng)化過(guò)程。而人工智能(AI)和物聯(lián)網(wǎng)(IoT)等新興技術(shù),也在助推著這些過(guò)程的轉(zhuǎn)化。

然而,應(yīng)用架構(gòu)在得益于云服務(wù)所提供的效率、靈活性和成本收益的同時(shí),也暴露出了安全上的薄弱環(huán)節(jié)。不同程度及類型的數(shù)據(jù)和信息泄露事件,屢屢登上新聞?lì)^條。總的說(shuō)來(lái),如下三個(gè)因素是導(dǎo)致大多數(shù)攻擊者有可乘之機(jī)的安全漏洞與隱患:


  1. 用于身份驗(yàn)證(verification)和認(rèn)證(authentication)的集中式云原生模型
  2. 存在著根本性缺陷的數(shù)據(jù)安全與隱私架構(gòu)
  3. 云原生解決方案的復(fù)雜性,以及主動(dòng)性安全措施內(nèi)在固有的缺陷

本文將專注于討論上述第一類漏洞的基礎(chǔ)上,提供基本的解決思路與方法。

現(xiàn)有弱密碼認(rèn)證機(jī)制存在的問(wèn)題

基于憑據(jù)的身份驗(yàn)證(即:用戶名和密碼的方式)是導(dǎo)致目前80%以上數(shù)據(jù)泄露的根源。然而,大多數(shù)最終用戶仍然會(huì)通過(guò)這種簡(jiǎn)單方便方式,去訪問(wèn)他們的網(wǎng)站和應(yīng)用。更糟糕的是,許多DevOps和云服務(wù)工程師并未對(duì)其敏感的云端生產(chǎn)環(huán)境引起足夠重視。目前,諸如GitHub之類越來(lái)越多的網(wǎng)站,都已意識(shí)到了此類威脅,并在逐漸棄用基于密碼的身份驗(yàn)證方式。

來(lái)自云端的威脅

如前所述,雖然云服務(wù)的好處主要體現(xiàn)在靈活性、可擴(kuò)展性、以及分布式訪問(wèn)上,但是將數(shù)據(jù)湖、數(shù)據(jù)庫(kù)、以及IAM(身份訪問(wèn)管理)等服務(wù)集中到一處,只會(huì)造成安全組件的簡(jiǎn)單堆砌,甚至相互影響。因此,任何安全工程師都應(yīng)該清楚,由于體量的原因,集中在龐大的、基于云的數(shù)據(jù)湖里的數(shù)據(jù)和服務(wù),都是網(wǎng)絡(luò)黑客寧可鋌而走險(xiǎn),也要攻擊并獲取的豐厚資源,他們需要通過(guò)合理的規(guī)劃,來(lái)提高整體安全態(tài)勢(shì)。具體而言,當(dāng)前的身份與密碼驗(yàn)證方案存在著如下三類漏洞:


  1. 對(duì)于那些依賴用戶憑據(jù)實(shí)施訪問(wèn)控制的云端數(shù)據(jù)庫(kù)而言,由于它們?cè)谕惶幘酆狭烁鞣N關(guān)于用戶身份、活動(dòng)、歷史等數(shù)據(jù),因此天然地形成了單點(diǎn)隱患。
  2. 嚴(yán)重依賴用戶識(shí)別和授權(quán),而忽略了用于執(zhí)行此類操作的手段。例如,短信和電子郵件,是攻擊者兩個(gè)極易得手的渠道。
  3. 最終用戶的體驗(yàn)度與合規(guī)性之間的摩擦。畢竟硬件令牌的使用,以及僅包含短信的SFA(單因素認(rèn)證)等方式,看似方便了用戶,但是在一些安全等級(jí)要求較高的場(chǎng)合,顯然是不合規(guī)的。

此外,就攻擊本身而言,它們既可以來(lái)自任何地方、任何設(shè)備、以及任何水平的黑客(或?yàn)闃I(yè)余愛(ài)好者、或?yàn)槔暇毜膶I(yè)人士),又可以源于僵尸主機(jī)、惡意軟件、勒索軟件,甚至是AI軟件。此類攻擊通常能夠比負(fù)責(zé)監(jiān)控的安全組件,提前一步得手。

我們應(yīng)該如何應(yīng)對(duì)?

秉承著迎難而上的思想,我們下面來(lái)討論如何基于簡(jiǎn)單的設(shè)計(jì)和網(wǎng)絡(luò)安全構(gòu)建,去消減云端威脅的攻擊面。

1. 使用加密密鑰而非憑據(jù)來(lái)強(qiáng)化訪問(wèn)認(rèn)證

使用AES的256位強(qiáng)加密方式,來(lái)有效地防止身份憑據(jù)在被盜的情況下,暴露敏感的信息資源。

2. 將加密訪問(wèn)綁定到設(shè)備,再將設(shè)備綁定給用戶

我們可以通過(guò)兩個(gè)簡(jiǎn)單的步驟來(lái)保障設(shè)備的安全。


  • 將密鑰綁定到設(shè)備。我們可以使用包括可信平臺(tái)模塊(Trusted Platform Module,??TPM??)在內(nèi)的多種方法,將加密密鑰的使用,唯一性地限制在對(duì)于相應(yīng)設(shè)備的構(gòu)建和授權(quán)環(huán)節(jié)。
  • 將設(shè)備與經(jīng)過(guò)身份驗(yàn)證的用戶相綁定。在上一步確認(rèn)了設(shè)備的真實(shí)性的基礎(chǔ)上,我們可以為設(shè)備添加有權(quán)使用或控制的唯一性身份角色,及其驗(yàn)證方法。

3. 將MFA(多因素身份驗(yàn)證)去中心化,并綁定到設(shè)備上

如今,所有的MFA都會(huì)最終依賴于基于云端的數(shù)據(jù)庫(kù)和服務(wù)器,并且需要由一個(gè)信任鏈(??Chain of Trust??)來(lái)執(zhí)行。為了讓云服務(wù)能夠完全脫離單點(diǎn)管控,我們可以將MFA分散開來(lái),并分發(fā)給綁定到設(shè)備的用戶側(cè),進(jìn)而消除所謂中心節(jié)點(diǎn)的角色。

可見(jiàn),上述三步不但極大地增強(qiáng)了訪問(wèn)過(guò)程中的安全性,而且減少了與最終用戶的潛在“摩擦”、以及IT人員的支持開銷。就MFA而言,其首要因素是:您“知道”什么。這主要體現(xiàn)在通過(guò)登錄環(huán)節(jié)的常規(guī)密碼輸入、一次性口令、消息推送、以及硬件令牌等,對(duì)設(shè)備予以身份驗(yàn)證。更重要的是,我們應(yīng)該利用基于加密設(shè)備的驗(yàn)證方式,去提供另兩個(gè)強(qiáng)大的因素,進(jìn)而確保身份的合法性:


  • 您“擁有”什么?——擁有AES的256位私鑰。
  • 您“是”誰(shuí)?——利用生物識(shí)別技術(shù)將基于云端與設(shè)備的活動(dòng)監(jiān)控相結(jié)合。

4. 持續(xù)使用零信任

上三步足以給絕大多數(shù)身份驗(yàn)證用例與需求,帶來(lái)安全與隱私保護(hù)。不過(guò),對(duì)于那些嚴(yán)格要求訪問(wèn)人員與身份相對(duì)應(yīng)的場(chǎng)景,我們則需要引入具有“永不信任,持續(xù)驗(yàn)證”特性的零信任,來(lái)保障終端安全、鏈路安全、以及訪問(wèn)控制安全。

安全加固的意義

從簡(jiǎn)單層面來(lái)看,上述四招可以直接將云端身份驗(yàn)證和認(rèn)證的受攻擊面大幅減少。從深遠(yuǎn)角度而言,我們將獲得如下三方面的優(yōu)勢(shì):

1. 消減基于憑據(jù)的攻擊

我們所熟悉的網(wǎng)絡(luò)釣魚、身份盜竊和冒用、社會(huì)工程等攻擊方式,都是基于身份憑據(jù)的。如果沒(méi)有了可竊取的憑據(jù),那么由它所引發(fā)的受攻擊面將會(huì)大幅縮減。

2. 消減基于云端的、系統(tǒng)范圍的攻擊

根據(jù)零信任的管控方式,用戶在訪問(wèn)資源的時(shí)候,需要一個(gè)接一個(gè)地持續(xù)認(rèn)證,其訪問(wèn)到的端點(diǎn)設(shè)備也會(huì)被逐一跟蹤。顯然,此舉抬高了絕大多數(shù)黑客攻擊云端系統(tǒng)與服務(wù)的門檻。

3. 按需升級(jí)和執(zhí)行“人在回路(Human-In-The-Loop)”中的零信任驗(yàn)證

歸根結(jié)底,如今各種基于云服務(wù)的身份驗(yàn)證,都需要依賴軟件或端點(diǎn)設(shè)備,來(lái)驗(yàn)證身份。當(dāng)您的應(yīng)用上下文需要對(duì)設(shè)備或用戶,進(jìn)行實(shí)時(shí)且重復(fù)性的身份驗(yàn)證時(shí),就可以適當(dāng)?shù)匾胫獣栽撚脩羯矸莸氖跈?quán)人員角色,根據(jù)預(yù)先配置好的自動(dòng)化軟件驅(qū)動(dòng)流程,來(lái)流暢地執(zhí)行身份驗(yàn)證任務(wù)。

小結(jié)

綜上所述,我們與其沿用以前“打地鼠”式的安全補(bǔ)救方式,不如從根本上對(duì)易受攻擊的、集中式的云原生服務(wù)架構(gòu)進(jìn)行安全加固。希望上述為您提供的設(shè)計(jì)與構(gòu)建方式,能夠協(xié)助您不斷彌補(bǔ)云服務(wù)中的現(xiàn)有漏洞,并能持續(xù)提高其安全態(tài)勢(shì)。


網(wǎng)頁(yè)題目:如何加固基于云端憑據(jù)的身份認(rèn)證
網(wǎng)站URL:http://www.5511xx.com/article/copieji.html