![](https://img-blog.csdnimg.cn/20201014180756919.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
网络安全
文章平均质量分 95
于顾而言
深信服高级安全研发工程师
SASE/ZTNA 领域5Years+
云原生,网络,IPS, KV,Url Filter,Threat Info,DPDK,零信任都懂一点
展开
-
【笔记】结合CTF理解Web安全
这三者关系是互补的,当SDL出现差错时,可以通过周期性的扫描,安全评估等工作将问题及时解决,而入侵检测(suricata),WAF(ModSecurity)等系统,则可以在安全事件发生后的第一时间进行响应,并有助于时候定损,如果三者只剩其一,都可能使得公司的安全体系出现短板,给攻击者带来可乘之机。原创 2024-05-31 10:59:44 · 675 阅读 · 1 评论 -
【All In One】一文详解IPsec隧道
IPsec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,用于在不安全的网络上(一般是互联网),建立安全的网络通信,一个很常见的场景就是,我们可以通过IPsec隧道将分公司和总部的内网连接起来,使分支的员工安全的访问总部的资源,按照传统的做法,公司需要租用运营商的专线,专门拉一条网线将总部和分公司组网,虽然更安全,体验更好,但这个价格也灰常的恐怖。当没有感兴趣的流量时,那么隧道最终被会被拆除,只有下次系统检测到感兴趣的流量来临时,隧道才会重新建立。原创 2024-04-29 16:24:53 · 762 阅读 · 0 评论 -
【翻译】零信任架构准则(五)Don‘t trust any network
知道连接的一方的身份。身份的特定的、细粒度的本质是零信任和零信任交换的基石——不仅对人,也对设备、可连接的东西和工作负载。这些实体必须提供一个有效的身份来区分自己,以便通过正确的控件集访问允许的资源,并应阻止所有其他访问权限。身份给了零信任一个谁在联系,他们的角色和责任的想法,但缺乏围绕联系的上下文。身份最初被认为是基于是否经过身份验证的初始实体提供“是”或“否”的二进制输出的能力。现在,我们必须将谁正在连接的细节与该连接的上下文联系起来,这允许对最小特权零信任的额外控制。原创 2024-03-07 14:33:49 · 752 阅读 · 0 评论 -
【翻译】零信任架构准则(四)Authenticate and Authorise everywhere
其次,为了增加可用性,防止因误报而阻止了合法的用户请求,我们应该在首次定义策略时,采取短时间内记录而不是直接拒绝访问,在一段评估期间,我们定期审核日志,持续衡量策略的有效性(灰度),在此过渡期间我们可以采用传统的安全来阻止恶意请求。最后,配置策略时,我们需要做一些用户限制,不能随意让普通用户配置重要策略,为了方便溯源和审计,我们也需要记录用户的操作日志,当然如果确信某些服务的用户是真实可靠的,那么也可与基于身份构建一个白名单以授权服务之间的连接。翻译:zhihu于顾而言。原创 2024-03-07 14:32:50 · 892 阅读 · 0 评论 -
【翻译】零信任架构准则(三)Assess user behaviour
在寻求建立系统安全性的信任值时,用户行为,服务或设备的健康状况是非常重要的指标,我们应该持续监控来自用户和设备的身份和健康信息,并把这些动态信息也输入到策略引擎中,让其动态的做出访问决策。例如,我们想知道我们的用户试图从哪里访问我们的服务,然后这些行为(用户访问时间或频次或关注点)或访问的位置信息都可以作为signal帮助策略引擎做出访问决策。原创 2024-03-07 14:31:59 · 599 阅读 · 0 评论 -
【翻译】零信任架构准则(二)Know your architecture
第二步,了解你的业务设备的一些信息,包括它们的位置,存储了哪些数据,数据的敏感性是怎样的。接入服务后,服务不应该有能力代表用户采取任何对系统中任何服务或数据高特权的访问,为服务提供适当访问权限的更好方法是将每个访问操作都绑定到一个存在访问范围和时间限制的令牌上,并于用户的身份相关联。服务或更准确地说,提供服务的软件,应该有自己独特的标识,通过维护允许连接列表,将服务之间的网络通信限制在所需的最小数量。事实上,权限通常都源自用户在其组织中的工作职能,当需要管理用户账户和权限是,我们的。原创 2024-03-07 14:31:20 · 849 阅读 · 0 评论 -
【翻译】零信任架构准则(一)Introduction to Zero Trust
零信任架构是一种移除内网信任的一种系统设计方法,它假定访问网络的用户都是有敌意的,因此,每个访问请求都需要基于访问防护策略去验证。零信任架构对用户请求的可信度是通过持续构建用户行为上下文来实现,而上下文又依赖于强大的身份验证,授权,设备运行状况和所访问的数据资产的价值。如果你不确定零信任是否是你需要的网络架构,或者你是零信任的初学者,那么我们的网络架构指南会是一个很好的阅读切入点。原创 2024-03-07 14:29:32 · 1080 阅读 · 0 评论 -
浅谈DLP数据防泄漏技术
文档属性检测主要是针对文档的类型、文档的大小、文档的名称进行检测,其中文档的类型的检测是基于文件格式进行检测,不是简单的基于后缀名检测,对于修改后缀名的场景,文件类型检测可以准确的检测出被检测文件的类型,并且可以通过自定义特征,去识别特殊的文件类型格式的文档。再通过客户端,将分级分类策略和文档加密等结合,应用到终端数据的日常流转和存储中。支持向量机是建立在统计学习理论的VC维理论和结构风险最小化原理基础上的,利用有限的样本所提供的信息对模型的复杂性和学习能力两者进行了寻求最佳的折中,以获得最好的泛化能力。原创 2024-03-07 14:23:06 · 787 阅读 · 0 评论 -
安全圈术语全景图
意在提供一个安全厂商产品清单的概况,来开阔安全圈知识广度,文中提到的知识简介和技术框架,仅针对入门用。原创 2024-03-07 14:20:17 · 1015 阅读 · 0 评论 -
浅谈漏洞扫描技术
漏洞扫描技术是指利用已有的漏洞数据库,使用扫描+匹配的方式对计算机系统进行脆弱性检测,从而实现漏洞发现的一种安全防护手段,漏洞扫描的结果可以用于指导网安的管理人员及时处理系统中的漏洞,防患于攻击之前。原创 2024-03-07 14:04:46 · 1214 阅读 · 0 评论