当前位置:主页 > 高防服务器 > 正文

防御ddos_cc高防_如何解决

时间:2021-09-08 12:21 来源:E度网络 编辑:E度网络

核心提示

Valimail博客如何在AWS中跨多个环境实现多因素身份验证作者:David Swift,前Valimail工程师作为一家电子邮件认证公司,我们保持最高的安全标准,而维护防弹基础设施是极其重要的。我...

防御ddos_cc高防_如何解决

Valimail博客如何在AWS中跨多个环境实现多因素身份验证作者:David Swift,前Valimail工程师作为一家电子邮件认证公司,我们保持最高的安全标准,而维护防弹基础设施是极其重要的。我们最重要的需求之一是多因素身份验证(multiple factor authentication,MFA)。在许多其他需求中,我们的MFA实现帮助我们的安全、多云的AWS基础设施实现了FedRAMP授权状态和SOC2类型2认证。由于我们有一个庞大且不断增长的工程团队,许多技术人员在管理我们的安全环境方面扮演着重要角色,这就带来了一个特殊的挑战。我们设计了Valimail的基础设施,使其具有弹性和安全性,并可由我们工程团队的每个成员进行管理。但是,我们使用多个AWS帐户,这在一定程度上使添加或删除用户所涉及的问题复杂化。美国焊接学会(AWS)中常用的MFA方法与我们的要求不符。在使用AWS中的服务的同时支持我们的需求是很有趣的,我们认为在实现这一点的过程中,我们会分享一些我们学到的东西。我们的环境我们遵循软件和基础设施设计方面的最佳实践,将我们的系统置于安全且可审核的堡垒主机之后,由一小群受控用户访问这些机器进行维护活动,并在需要时调试生产问题。我们通过遵循Cloudonaut描述的模式(称为"堡垒帐户")来管理工程师对这些系统的访问,其中:一个AWS帐户管理用户和角色,以及我们在单独的帐户中创建和管理实际的EC2(和其他)资源。使用此模式的优点如下:更方便的用户管理清晰、可审核的系统访问我们的机器上没有存储令牌来启用用户访问我们可以使用IAM在任何时候启用或禁用对任何环境的访问,上海大数据,无需卷展或更新。遵循AWS的最佳实践,我们还要求用户在使用AWS服务之前设置MFA。然而,AWS服务中的MFA不足以支持我们想要创建的安全态势。例如,我们设计了安全要求,以确保符合FedRAMP的标准。仅为AWS服务使用MFA是不够的。我们对MFA的要求AWS中的多因素身份验证仅涵盖控制台访问和API访问等内容。我们的要求指定MFA作为登录到特定系统的先决条件,物联网的,我们需要对多个帐户进行审计跟踪。我们需要一个解决方案,使我们能够以一种安全的方式管理越来越多的工程师、devops和其他用户的访问,并对整个主机基础架构中的用户身份验证流的所有方面进行全面审核,而这些都可以随时更换。AWS不提供任何我们可以使用的服务。当我们研究这个主题时,我们只发现了一个使用AWS MFA服务来验证系统访问的实例,而这需要一个我们不习惯依赖的黑客攻击。关于安全要求的内部讨论导致我们不再使用第三方供应商来保护对我们系统的访问。其他研究让我们看到了AWS初创公司的一篇博客文章,他们描述了如何建立googleauthenticator(GA)。乍一看,这似乎是一个解决办法。但是,在浏览了用户和系统管理方面之后,我们发现它不适合我们。我们管理着一群随时准备更换的机器。建议的安装googleauthenticator的方法将导致每次更换主机时都重新发出MFA令牌。所描述的生成和存储这些令牌的方法也不符合我们期望的安全态势。我们如何实施MFA我们需要一种在bastion帐户设置中工作的方法,即在一个帐户中为IAM中的用户提供服务,并通过IAM角色授予他们访问其他帐户中资源的权限。我们还希望能够轻松地安全地管理googleauthenticator生成的MFA令牌,而不必在我们的所有基础设施中分发它。我们实现的解决方案是在awssm参数存储中管理GA令牌。使用参数存储为每个用户提供了一个存储加密机密的单一位置。它很适合我们现有的IAM权限和角色设置,并且没有增加用户管理负担。我们还可以在现有的审计系统中看到对这些令牌的访问请求。这是一个主机的正常登录顺序。注意第二行,googleauthenticator请求检查MFA代码。然后,我们转向如何使用Linux可插拔认证模块(PAM)检索和验证MFA令牌。googleauthenticator提供了一个PAM模块,用于对用户令牌进行身份验证。我们创建了一个脚本,该脚本安全地从参数存储中检索令牌,并将其提供给GA进行验证。这个脚本由pam运行_执行副总裁,在成功验证用户的SSH密钥之后。一旦令牌被传递给GA,淘客群,数据分析和大数据,它就会从主机中移除,不管用户是否被授予访问权限。此解决方案通过以下方式满足了我们的安全性和法规遵从性要求:安全地存储MFA和SSH的用户访问令牌在我们的基础设施中为所有用户实施MFA在所有客户中一致地管理用户为所有用户访问我们的基础设施提供可审核的记录我们不必在我们的网络中分发任何密钥或令牌,也不必在更改用户访问权限时清理它们。所有访问尝试的日志记录都是在cloudtrail和Linux系统日志中完成的,这为我们提供了一个可验证的审计跟踪,大数据信息,以满足我们的安全需求。最后但并非最不重要的是,这个计划不需要我们建立和维护复杂的基础设施来支持我们的增长。我们使用多种方法来构建和维护Valimail的安全基础设施。通过这种保护系统访问的方法,我们能够非常迅速地满足获得SOC2类型2和FedRAMP认证所需的要求。这只是我们在系统设计的各个方面如何考虑安全性的一个例子。上图:马克·格雷戈里/弗利克拍摄的渔夫堡垒观景塔?关于大卫·斯威夫特:大卫·斯威夫特成功逃脱了作为会计、制造业和抵押贷款银行系统开发人员的生活。这次越狱导致了QA和操作的生活,形成了一个独特的背景。大卫在湾区的创业公司工作了20年,为金融服务公司、广告技术公司、移动游戏、数据库研究和其他有趣的公司工作。不上班的时候,他轮流养家和在海湾游泳。返回博客发布日期:2018年9月13日美国焊接学会valimail的工程师文学硕士多重身份验证作者:David Swift,前Valimail工程师大卫·斯威夫特成功地逃脱了作为一名开发人员在会计、制造业和抵押贷款银行系统工作的生活。这次越狱导致了QA和操作的生活,形成了一个独特的背景。大卫在湾区的创业公司工作了20年,为金融服务公司、广告技术公司、移动游戏、数据库研究和其他有趣的公司工作。不上班的时候,他轮流养家和在海湾游泳。

  • <strong>cc攻击防御_高防vps_免费测试</strong> cc攻击防御_高防vps_免费测试

    德克萨斯州奥斯汀市——德克萨斯州奥斯汀市IT安全公司CynergisTek首席执行官兼HIMSS隐私与安全政策工作组主席麦克·麦克米兰对当今医疗保健领域的隐私保护有一些强烈的看法。简短的...

  • <strong>国内高防cdn_服务器防御100g什么意思_打不</strong> 国内高防cdn_服务器防御100g什么意思_打不

    麦克米伦,HIMSS隐私和安全政策特别小组的国家主席和CynergisTek的首席执行官,将在2011年HIMSS路易斯安那州分会秋季会议上担任教员。会议将于2011年11月3日至4日在洛杉矶肯纳的庞查特...

  • <strong>服务器防护_香港女星高_精准</strong> 服务器防护_香港女星高_精准

    Mac McMillan是HIMSS隐私和安全政策工作组的国家主席,也是CynergisTek公司的首席执行官,他将在2011年11月2日于圣路易斯大学举行的秋季会议上向中西部门户网站HIMSS提交关于"医疗IT安全状...

  • <strong>cc防御_服务器防ddos攻击软件_免费试用</strong> cc防御_服务器防ddos攻击软件_免费试用

    Mac McMillan是HIMSS隐私和安全政策工作组的国家主席,也是CynergisTek公司的首席执行官,他将在2011年南达科他州电子健康峰会上担任教职员工,为有意义的使用指明方向。会议将于2011年...

  • <strong>香港高防服务器_高防ip原理_快速接入</strong> 香港高防服务器_高防ip原理_快速接入

    来自Becker's Hospital Review的Sabrina Rodak采访了我们自己的Mac McMillan,就最近报告的医疗保健数据泄露的惊人上升趋势以及哪些组织可以做得更好发表评论。这篇文章直截了当,直截了当,...

  • <strong>cdn防护_免费ddos防火墙_限时优惠</strong> cdn防护_免费ddos防火墙_限时优惠

    联邦卫生信息技术计划:利弊分析2011年9月26日——霍华德·安德森,执行主编althcareInfoSecurity.com网站一些观察家说,联邦政府在联邦卫生信息技术战略计划的最终版本中增加了隐私和...

  • <strong>国内高防cdn_云防护黑名单_超高防御</strong> 国内高防cdn_云防护黑名单_超高防御

    健康信息专家的进步提出了这个问题,我们自己的麦克米兰寻求他的见解。麦克用他自己的话回答了这个问题:我将用我认为正确的答案来回答这个问题:是的,医疗保健行业能够成...

  • <strong>海外高防ip_游戏盾牌图片_新用户优惠</strong> 海外高防ip_游戏盾牌图片_新用户优惠

    当今医疗保健信息安全现状保护患者信息:调查显示未完成的业务医疗保健组织在保护患者信息方面做得好吗?为了找出答案,他althcareinfosecurity.com网站进行了首次"今日医疗保健信息...

  • <strong>cdn防护_苹果x高防手机_零元试用</strong> cdn防护_苹果x高防手机_零元试用

    现在是研究和调查医疗保健领域"IT安全状况"的季节。今天我有机会参加了一个网络研讨会,其中一位主持人引用了今年9月发布的普华永道(PriceWaterhouseCoopers)的研究——旧数据学习...