欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

互聯(lián)網(wǎng)數據中心（IDC）屬于互聯(lián)網(wǎng)基礎設施范疇的一個(gè)細分領(lǐng)域。為企業(yè)、金融機構等提供一個(gè)存放服務(wù)器的空間場(chǎng)所，隨著(zhù)科技技術(shù)的發(fā)展，IDC也經(jīng)歷了一個(gè)又一個(gè)的里程碑，如下圖是：摘自《美國數據中心建設發(fā)展歷程分析情況》

• IaaS（基礎設施即服務(wù)）：消費者通過(guò)Internet可以從完善的計算機基礎設施獲得服務(wù)，這類(lèi)服務(wù)稱(chēng)為基礎設施即服務(wù)，基于Internet的服務(wù)（如存儲和數據庫）是IaaS的一部分。

• PaaS（平臺即服務(wù)）：PaaS提供了用戶(hù)可以訪(fǎng)問(wèn)的完整或部分的應用程序開(kāi)發(fā)。

• SaaS（軟件即服務(wù)）：SaaS則提供了完整的可直接使用的應用程序，比如通過(guò)Internet管理企業(yè)資源。

• 云控制臺訪(fǎng)問(wèn)憑證，此類(lèi)憑證用于我們通過(guò)Internet訪(fǎng)問(wèn)云控制臺，在這其中又存在兩個(gè)小類(lèi)：

• 主賬號：擁有其下所有資源和企業(yè)級分布式應用服務(wù)的所有操作權限。

• 子賬號：主賬號通過(guò)創(chuàng )建子賬號，避免用戶(hù)間共享密鑰，按需給子賬號分配權限。

• AccessKey：訪(fǎng)問(wèn)密鑰AccessKey（AK）用于程序方式調用云服務(wù)API（主賬號與子賬號都有AccessKey）。

• 分散的地區：在使用傳統IDC機房的時(shí)候，中小型企業(yè)可能只有1~3機房，但是我們在使用云IDC時(shí)面臨的地域就會(huì )變得更多，上述提到的4種架構都會(huì )形成不同的地域IDC分布，給我們管理云資產(chǎn)帶來(lái)不便。

• 多樣的類(lèi)型：云上的產(chǎn)品的細分類(lèi)給我們提供了使用便捷的同時(shí)也帶來(lái)了資產(chǎn)管理的難題，多樣的類(lèi)型導致我們在進(jìn)行管理的時(shí)候需要處理的數據源更多，不同數據源的字段、屬性也不一致也會(huì )造成統一采集的困難。

• 不同的維度：在這里需要提到的一個(gè)系統就是CMDB，可能對于很多企業(yè)來(lái)講CMDB的維護都是做的很一般或者做不到資產(chǎn)的實(shí)時(shí)管理。這個(gè)問(wèn)題在中小型企業(yè)就更為常?，他們可能都沒(méi)有CMDB或者是非常簡(jiǎn)易的CMDB。并且運維與安全對于CMDB數據的細粒度要求是不一致的，很難將兩者合二為一，更多的做法是各行其事，數據互補。最后在安全做黑盒的云資產(chǎn)管理時(shí)云平臺自身會(huì )對黑盒的方式進(jìn)行一些攔截從而造成一些資產(chǎn)收集的誤報以及漏報，這些問(wèn)題我們都會(huì )在下面的解決方案中提到。

• 云控制臺有哪些用戶(hù)可以訪(fǎng)問(wèn)?

• 主賬號是否存在共享使用?（有多少企業(yè)是所有運維直接共用主賬號進(jìn)行管理）

• 子賬號是否存在共享使用?（云控制臺用戶(hù)是否將自己的賬號共享給其他用戶(hù)）

• 子賬號是否有?色權限以外的權限?

• 灰度賬號是否處于活躍狀態(tài)?（離職員工的賬號是否及時(shí)清理）

• AccessKey是否擁有過(guò)高的權限?

• ............

• 服務(wù)器資源哪些用戶(hù)可以訪(fǎng)問(wèn)?

• 誰(shuí)擁有服務(wù)器上的特權賬戶(hù)?

• 統一單點(diǎn)登錄以外的賬號?

• 云資產(chǎn)對互聯(lián)網(wǎng)或辦公網(wǎng)絡(luò )的訪(fǎng)問(wèn)控制策略（RDS是否允許互聯(lián)網(wǎng)直接訪(fǎng)問(wèn)?核心服務(wù)器是否允許互聯(lián)網(wǎng)直接訪(fǎng)問(wèn)?）

• 不同類(lèi)型云資產(chǎn)之間的訪(fǎng)問(wèn)控制策略（RDS對ECS的訪(fǎng)問(wèn)控制策略）

• 相同類(lèi)型不同屬性云資產(chǎn)的訪(fǎng)問(wèn)控制策略（生產(chǎn)環(huán)境與測試環(huán)境的訪(fǎng)問(wèn)控制）

• 胡亂的資產(chǎn)分組：生產(chǎn)與測試處于同一VPC;

• 成噸的網(wǎng)絡(luò )攻擊：由于云IDC的開(kāi)放性，所以每天會(huì )面臨成噸的訪(fǎng)問(wèn)控制掃描、漏洞掃描、Web掃描等;

• 分散的補丁管理：如果企業(yè)沒(méi)有統一資產(chǎn)管理系統或者服務(wù)器未使用域環(huán)境，那么我們在安裝補丁時(shí)也會(huì )遇到麻煩;

1. 通過(guò)內部通訊工具的接口獲取用戶(hù)原始數據，并且采集通訊工具中的用戶(hù)屬性;

2. 利用云API管理云控制臺賬戶(hù)，根據用戶(hù)屬性決定是否需要創(chuàng )建或刪除云控制臺賬戶(hù);

3. 與內部的跳板機打通，根據用戶(hù)屬性決定是否需要創(chuàng )建登錄或刪除資產(chǎn)訪(fǎng)問(wèn)賬戶(hù);

1. 黑盒資產(chǎn)管理：以?huà)呙璧男问桨l(fā)現資產(chǎn)（masscan+nmap+nessus等），通過(guò)將掃描結果進(jìn)行數據處理后入庫然后以CMDB的形式展示。但是在這個(gè)階段中會(huì )由于云平臺的攔截產(chǎn)生誤報與漏報，所以這里的資產(chǎn)管理數據我們還需要更進(jìn)一步的處理。

2. 白盒資產(chǎn)管理（利用云API），之前小B也分析過(guò)對應的文章：

   https://bloodzer0.github.io/ossa/other-security-branch/asset-management/asset-acquisition/

   

3. 利用主機入侵檢測Agent采集數據，不論是前面的黑盒方式或利用API的方式，我們獲取到的數據在細粒度上都達不到安全后期的要求，所以利用主機入侵檢測的Agent可以獲取更詳細的信息，但是由于這個(gè)層面需要對底層開(kāi)發(fā)有著(zhù)足夠深厚的了解，這也是小B未實(shí)現的原因。但是小B也實(shí)踐過(guò)開(kāi)源的主機入侵檢測系統（OSSEC）采集信息完善安全的CMDB，效果也是很不錯的。

1. 制定訪(fǎng)問(wèn)控制策略與管理流程：訪(fǎng)問(wèn)控制難題不僅僅是一個(gè)通過(guò)技術(shù)就能解決的，首先我們需要制定好訪(fǎng)問(wèn)控制策略，在制定策略之前我們需要梳理我們的主體（使用者）與客體（資源），在評估主體的需求后制定出策略，訪(fǎng)問(wèn)控制策略一定要依據最小權限原則。制定好策略只是一個(gè)起始點(diǎn)，后期策略的管理也至關(guān)重要，在這其中小B是通過(guò)以IT流程的形式進(jìn)行策略變更管理。

2. 制定好策略以后我們需要實(shí)現策略控制，在這里對于憑證的訪(fǎng)問(wèn)控制，主要是通過(guò)云控制臺管理進(jìn)行。對于資產(chǎn)的管理主要是利用安全組來(lái)實(shí)現的，安全組可能并不具備攻擊防護能力，但是具備良好的訪(fǎng)問(wèn)控制策略。在安全組實(shí)現訪(fǎng)問(wèn)控制的時(shí)候，會(huì )遇到一個(gè)大坑，就是當我們的IDC數量越來(lái)越多時(shí)，我們管理就會(huì )變的更加困難。所以如果前期就有這樣的安全意識是最好的，后期就會(huì )需要我們逐一的去調整已有的策略。

   

3. 定期審計訪(fǎng)問(wèn)控制策略是否合理，這里提一點(diǎn)的就是，我們的策略審計最好是以實(shí)踐的方式進(jìn)行審計。通過(guò)將審計策略拉取到本地（API是可以拉取的，云控制臺也可以導出）然后根據策略的內容去實(shí)踐策略是否有效。