企业安全
文章平均质量分 92
本专栏会涉及以下内容:安全治理与安全管理、安全运营、基础设施安全、应用安全、业务安全、数据安全、云安全、行业安全等。
「已注销」
这个作者很懒,什么都没留下…
展开
-
Nginx透过代理获取真实客户端IP
本系列中的故事纯属虚构,如有雷同实属巧合小B是’柒’公司的安全攻城狮,为了完成任务小B开始做起了调研(欲知背景如何,且听下回分说)。首先小B弄明白了’柒’公司的应用系统架构是:Client --> CDN --> SLB --> Server。发现在应用服务器上Nginx日志中采集的关于定位用户身份信息的IP维度数据不准确。不准确的原因是:因为在应用服务器中Nginx使用XFF与remote_addr字段采集客户IP,XFF字段很好被攻击者伪造,而remote_addr字段一般采集都原创 2021-11-04 11:23:13 · 3473 阅读 · 0 评论 -
白帽子转型甲方杂绪
1.企业安全建设涵盖的内容安全是一门含义很广的学科,信息安全、网络安全、网络空间安全等都是安全中的一个分支,有交集却也有不同。对于甲方企业安全来说,通常又分为:安全体系(等保、合规、审计)、基础设施安全(主机、网络、终端)、应用安全(Web、移动)、业务安全(账户、交易、内容、活动)、安全运营(应急响应、安全培训)、数据安全(加密、脱敏、存储)等等,不同企业在不同的发展阶段所侧重的安全点也不一致。在上述的每一个类型中有很多子类,每个子类都有一个循序渐进的路线,比如:安全测试工作安全测试一般分为定期的原创 2021-05-08 15:51:50 · 311 阅读 · 1 评论 -
云安全(一) - 浅谈基于IaaS公有云的中小型企业基础安全建设
背景互联网数据中心(IDC)属于互联网基础设施范畴的一个细分领域。为企业、金融机构等提供一个存放服务器的空间场所,随着科技技术的发展,IDC也经历了一个又一个的里程碑,如下图是:摘自《美国数据中心建设发展历程分析情况》从图中我们可以看到IDC发展由传统的自建IDC机房、租用或托管服务器的方式向虚拟化云IDC转型。过去的几年里,选择云IDC的中小型企业数不胜数,小B也曾经在几家企业中参与相关的安全建设。提到云IDC那么不得不提的就是现在云计算模式的不同带来的云IDC类型不同:云计算平台本身提供三种类原创 2020-12-04 18:16:25 · 3047 阅读 · 0 评论 -
混合云架构下的安全风险分析和安全解决方案建议
原文链接:https://mp.weixin.qq.com/s/ulgudZWyuw2Leg3g8ypwHQ01.混合云架构下的安全风险分析1. 混合云架构下的安全风险分析企业混合云环境,一般包括一个或多个公有云厂商以及自建的私有云平台,从信息安全风险管理角度来看,实施混合云涉及到IT基础架构和应用架构的重大变更,因此需要重新进行风险评估。混合云环境下需要考虑到的安全风险包括:公有云厂商及其安全服务的选择私有云安全防护能力建设混合云环境下的服务器、容器、无服务器应用安全混合云环境下的数据安全转载 2020-12-02 16:23:08 · 6610 阅读 · 1 评论 -
玩转容器安全二 - 容器安全概述
容器安全概述根据我自己的理解,将容器安全划分成了6个方向,各个方面还存在二级分支方向,本文就这6个方向及其二级分支展开我对容器安全的理解。话不多说,开篇一幅图,后面全靠编。承载容器或容器集群的宿主机的安全性首先就是容器宿主机的安全,在一个企业内部,如果划分了基础运维团队与容器团队(CaaS, Container as a Service 容器即服务),那么容器宿主机的安全性由基础运维团队负责,通常与传统基础设施安全保持一致。这块就是一些老生常谈的话题,如:主机身份鉴别与访问控制:主要是操作系统的原创 2020-11-29 16:43:10 · 13077 阅读 · 6 评论