曲子龙:造假门后续,从红芯隐盾谈谈SDP

最新推荐文章于 2024-04-26 17:34:52 发布
最新推荐文章于 2024-04-26 17:34:52 发布
阅读量166 收藏
点赞数
文章标签: 运维 操作系统 网络
原文链接:http://blog.51cto.com/13645886/2289544
版权

一直以来都觉得搞软件的特NB,为什么这样讲呢?因为搞软件的可以定义安全、定义存储、定义网络、定义……

感觉和技术有关,软件什么都能定义亦或者还要重新定义,而今天我们要讲的SDP也被软件定义了,定义的是边界。

什么是SDP?

SDP的全称是Software Defined Perimeter,软件定义边界,它是由云安全联盟(CSA)提出的一个概念。

不喜欢说那么多高深莫测的话,抛开“专业术语”来看,其实可以把SDP比作一个软件做出来的网关来理解,就是用可控的逻辑组件替代物理设备,通过软件对访问者进行设备认证及身份认证,通过认证后授信的访问者才可以对于应用基础设施的访问。

SDP主要分成两部分:即主机和控制器(Controller)。

主机有两个任务,即创建或者接受链接,创建连接的主机叫(IH)、接受连接的主机命名(AH)。

控制器的任务则是对主机进行认证和下发策略,主机和控制器之间通过一个安全的控制信道进行交互。

红芯隐盾的SDP?

我上篇文章提过,红芯面对的客户是政府和事业单位,比如医疗系统、公安系统、政务办公系统、敏感数据比较多的体系,这些体系的内部系统,大部分都是自有的“小机房”私有化部署的。

前些年也没有什么特定的标准化,各级单位或企业虽然按照一个需求标准,但是都是通过从当地寻找“服务商”来做,除了技术参差不齐以外,运维、安全这些也是很难跟的上的。

虽然是私有化部署,但是很多都存在远程访问的需求,所以大部分网站的链接方式,是客户端与服务端直连的模式,以IP或者域名直接访问的,因为这样的需求,导致服务端实际还是暴露在公网中。

由于技术的参差不齐,运维、安全跟不上,再加上使用者的安全意识薄弱,因漏洞、或因用户使用弱口令密码被黑的事件确实也屡见不鲜。

而SDP正是在解决这个痛点,关于红芯隐盾的工作原理,我让产品×××手绘了一个逻辑图:

曲子龙:造假门后续,从红芯隐盾谈谈SDP

首先红芯浏览器会通过“多因子认证”的方式对客户端进行认证,通过认证后请求私有DNS获取到访问IP,再向网关发起请求,网关授信确认用户身份后,再放行对OA、Mail以及其它操作系统的访问。

所以我在上篇文章提到,红芯隐盾的逻辑简单来说其实就是把浏览器作为一个入口点,控制台负责下发访问规则,设定黑白名,建立私有DNS划分出私有网络,外部设备没有连接DNS就没有办法访问数据,以此划分边界。

SDP的优势?

之前提了劣势,存在即合理嘛,所以今天还是一本正经的说说优势。

隐藏敏感系统,减少***面。

这点是不可否认的,SDP确实从某种意义上,将敏感业务系统“藏”了起来,提高了******成本和门槛,所以我说穿条裤衩总比裸奔来的好。

减轻DDoS***

必须授信才可以访问及触达,未授权用户或设备的TCP链接会被控制器和AH拒绝掉,所以从某种意义上可以减轻DDoS***,但是绝对不是彻底防止,***还是可以用其它方式D垮服务器。

访问控制更灵活

相比×××或者跳板机,SDP的策略是基于用户,而不是基于IP地址,在授信访问之前可根据用户属性对用户账户及设备创建访问策略,访问控制要灵活很多。

溯源便捷

基于用户及访问设备进行授信,遇到问题可以通过AH日志和IH的流量进行溯源

相对成本低

没什么可解释的,软件一体化的方案去PK硬件设施方案,无论时间成本还是金钱成本都会低。

红芯该从哪方面改进?

提问题也顺便解决问题吧,是非的事情不想过多理会,抛开“造假事件”来看,红芯浏览器使用Chrome/49 来解决XP的兼容,一方面是耍了个小聪明想去解决一些问题,另外一方面也反衬出团队技术比较弱或者预算不足的问题,当然这是一件很不负责任的行为。

兼容最好的办法还是学学国内主流浏览器以Trident+Webkit或Trident+Blink双内核的方式来解决问题。

从Chrome/49 到今天的Chrome/ 68,各种高中低危漏洞算下来不下200个,组合利用起来***可以通过几百种姿势通过对业务进行***,漏洞利用的***成本低到我诱导某用户访问我发给他的指定的一个页面,即可获取到他相关敏感的信息。

从目前来看,如果不去解决这个问题,SDP机制虽好,但帮客户关上门的同时,也帮助***打开了一扇窗啊。

再加上我上一篇文章提及过的,统一控制台(www.redcore.cn)暴露在互联网上,如果不做好措施,那么其它所有的努力都是为***提供了便利和工具。

就像嘶吼小伙伴公众号里写的那样:

管理员真的是带着包含200多个Chrome漏洞的浏览器裸奔在互联网上!!

写在后面

不因为一些问题一棒子打死,再次声明SDP对我列举的这些自部署私有敏感系统的客户来讲,确实是一个低成本的解决方案,这套方案也并不是红芯的国内首创,其实国内很多包括绿盟在内的安全公司,也都在提供相应的解决方案。

创业不易,我这有什么就毫不避讳说什么的性格,可能是某些人眼界中比较蠢的那种,但是如果把这臭毛病改了,我还是我吗?

这是个哲学问题。

转载于:https://blog.51cto.com/13645886/2289544

weixin_33804990
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
曲子:我从冈本谈安全!
爱尖刀科技媒体 - 曲子龙
12-06 1376
2013年一晃就要这样过去了,回顾这一年显然又是一个安全问题的泛滥年,酒店信息泄漏2000W、QQ群泄漏7000W、快递单号泄漏、Struts 2重灾、斯诺登还有前段时间DNS劫持泛滥事件…… 不禁想问正在读文章的你,这么多的事件爆发后你有没有开始重视信息安全? 前段时间和某公司一做产品经理的哥们聊天,无意中就牵扯了关于产品体验和安全同时摆在面前你会选哪个的话题,哥们当时特别坦然的告诉我,他
新浪微博新动作 以网络安全之名联合安全联盟
爱尖刀科技媒体 - 曲子龙
12-10 709
爱尖刀讯 12月9日消息,近日,新浪微博官方宣布与安全联盟正式合作,安全联盟恶意网址黑名单数据库已正式应用到新浪微博平台。 安全联旨在促成一个中立、公正、可控的第三方组织,团结有实力的安全类相关公司进行资源共享,建立被行业公认的互联网安全标准,优化中国互联网使用环境,促成互联网用户对于联盟及参与者的信赖。目前已经与百度、腾讯、招商银行等近800家机构、企业等官方网站达成合作。 安全联盟旗下的“
了解零信任-SDP关系
skydust1979的博客
11-08 2058
对于零信任,你需要了解的第一件事情是,对于一个强大的概念来说,这个名称并不是很好。这里的重点不是:没有什么可信任。相反,重点是:没有假定的信任。所有信任关系都需要明确说明。 也许最好将零信任表述为零隐式信任—基于隐式信任的所有方面,这包括: 没有人拥有访问网络的隐式权利-只有显式权利,可通过网络访问特定系统; 没有人拥有保留在网络上的隐式权利-只有使用网络的显式权利,前提是他们没有表现不好并且系统保持良好状态 软件定义的边界(SDP)概念源自美国国防信息系统局(DISA),在过去十年中该概念得到云安全
什么是SDP
weixin_52272797的博客
07-02 3183
软件定义边界(Software-Defined Perimeter,SDP)是由云安全联盟(CSA)于2013年提出的一种以身份为中心实施对资源访问控制的安全框架,是零信任模型的一种实现方式。
【kettle001】访问国产达梦数据库并处理数据至execl文件
kngines
04-22 426
一直以来想写下基于kettle的系列文章,作为较火的数据ETL工具,也是日常项目开发中常用的一款工具,最近刚好挤时间梳理、总结下这块儿的知识体系。熟悉、梳理、总结下达梦(DM)关系型数据库相关知识体系。
Git & TortoiseGit 详细安装使用教程
m0_37383484的博客
04-20 1101
Git 工具详细安装教程,TortoiseGit 工具详细安装使用教程。
Linux网络DNS域名解析服务
weixin_62922268的博客
04-25 942
1)缓存域名服务器2)主域名服务器3)从域名服务器客户端会先将DNS解析请求发送给本地缓存域名服务器,如果本地缓存域名服务器有相关记录则直接返回给客户端,否则会将DNS解析请求发送给根域名服务器进行解析,根域名服务器会根据域名的顶级域再将DNS解析请求委派给相对应的顶级域名服务器进行解析,顶级域名服务器也会根据域名的二级域或子域再将DNS解析请求委派给相对应的二级域名或子域名服务器进行解析,最后子域名服务器会根据域名的主机名解析出相对应的IP地址,再返回给本地缓存域名服务器和客户端。
Docker和虚拟机的区别
小张的博客
04-26 244
Docker和虚拟机(VM)在技术架构、资源利用率、启动速度、应用场景和管理监控等方面存在显著差异。以下是Docker和虚拟机的主要区别:12。
Docker容器化技术:概述与安装
十七拾的博客
04-23 877
本文主要介绍云基础知识、容器基础知识、Docker基础概述与安装等,希望对你有帮助!
【声呐仿真】学习记录0.5-配置ssh远程连接docker、在docker中使用nvidia显卡
头发浓密的萌新的博客
04-20 331
【声呐仿真】学习记录0.5-配置ssh远程连接docker
Linux--忘记root密码解决办法
weixin_65476290的博客
04-24 343
第三步:咱们输入chroot /sysroot切换到原始系统(chroot命令用来切换系统,/sysroot就是原始系统),由于VMware不支持中文,所以我们需要输入LANG=en将当前终端语言设置为英文,然后再用passwd命令来修改root密码。第四步:密码修改完后,输入touch /.autorelabel让SElinux生效,执行完touch命令后,同时按住CTRL+D退出当前终端(也可以输入命令exit退出终端),然后再输入reboot命令回车重启,咱们密码修改完成了。
ssh-key关于authorized_keys电脑与linux互相认证
更多内容查看博客描述。
04-20 466
将公钥考到对方机器的用户目录下,并将其复制到~/.ssh/authorized_keys中(操作命令:#cat id_dsa.pub >> ~/.ssh/authorized_keys)。2、ssh-keygen -t [rsa|dsa],将会生成密钥文件和私钥文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub。3、将 .pub 文件复制到B机器的 .ssh 目录, 并 cat id_dsa.pub >> ~/.ssh/authorized_keys。然后全部回车,采用默认值.
Docker 网络与资源控制
最新发布
fhjtg的博客
04-26 790
直接使用bridge模式,是无法支持指定IP运行docker的,例如执行以下命令就会报错#可以先自定义网络,再使用指定IP运行dockerdocker1为执行 ifconfig -a 命令时,显示的网卡名,如果不使用 --opt 参数指定此名称,那你在使用 ifconfig -a 命令查看网络信息时,看到的是类似 br-110eb56a0b22 这样的名字,这显然不怎么好记。mynet 为执行 docker network list 命令时,显示的bridge网络模式名称。
传统行业生产型企业虚拟化存储典型应用
smart1998的博客
04-26 105
承载财务、调度、采供等业务应用系统,将数据保存在Infortrend GSe系列存储上,单台容量可达1.5 PB,有效缓解数据空间需求。虚拟机集中使用FC SAN,为业务应用提供高效读写性能,600K IOPS,带宽性能8GB/s的读、5.8GB/s的写,实现企业运作效率的提升。在 SAN 的环境下提供丰富的通道接口,包括16Gb/s FC、32Gb/s FC、1Gb/s iSCSI、10Gb/s iSCSI、25 Gb/s iSCSI、12Gb/s SAS,在网络环境中保证高速稳定的数据分享与传输质量。
zabbix监控内容
sea_bunch的博客
04-23 179
一、自定义监控内容 1.1在客户端自定义key 1.1.1查看当前用户 1.1.2创建zabbix监控项配置文件,启动服务 1.1.3服务端验证测试 1.2在Web界面创建自定义监控模板 1.2.1创建模板 1.2.2创建应用集(用于管理监控项) 1.2.3创建监控项 1.2.4创建触发器 1.2.5创建图形
【Ansible】04
3s不会的博客
04-22 528
【代码】【Ansible】04。
远程访问及控制
2401_83786744的博客
04-26 216
SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。SSH协议通过加密技术确保通信的安全性,包括数据的机密性、完整性和认证。成功登录后,你可以在远程主机上执行命令或管理文件,就像在本地计算机上一样。SSH客户端<--------------------------------------->SSH服务端。使用SSH客户端可以让你安全地连接到远程主机并执行命令,管理文件等。输入正确的密码后,按下回车键。SSH是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。
【Nginx】centos和Ubuntu操作系统下载Nginx配置文件并启动Nginx服务详解
朝花夕拾
04-23 1350
这篇博文介绍了如何下载和启动Nginx服务的配置文件。首先,作者指导读者如何从官方网站或其他可靠来源获取Nginx的配置文件。接着,文章详细说明了如何在本地安装和配置Nginx,并给出了一些常见的配置示例。最后,作者提供了启动Nginx服务的步骤,包括检查配置文件的语法错误并启动Nginx进程。这篇文章对于想要快速上手使用Nginx的读者来说是一个有用的指南。
Docker容器:镜像与容器管理命令
十七拾的博客
04-23 981
本文主要介绍docker容器的镜像管理命令和容器管理命令的用法,希望对你有帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值