云安全博客阅读(二)
2024-05-30 Cloudflare acquires BastionZero to extend Zero Trust access to IT infrastructure
IT 基础设施的零信任
- 不同于应用安全,基础设置的安全的防护紧急程度更高,基础设施的安全防护没有统一的方案
- IT基础设施安全的场景多样,如sever服务器安全,k8s集群机器安全等;以往通常根据用户认证、资源隔离、网段隔离等信息进行防护;
- 不同基础设施的安全防护方案不同,如Linux机器中用SSH进行安全通信(本地-主机密钥加解密验证),windows主机远程通信使用RDP协议(账户密码认证),k8s认证安全则使用多种方式如用户权限管理、认证密钥等;
零信任基础设施安全防护,通过 VPN 在所有基础设施上进行网络隔离,并集成原生的主要的设施访问协议(SSH、RDP、K8s);
隔离出来后,使得目标资源配置为接受特定用户的访问,而不是依赖网络级的访问;管理员可以从用户与资源的层级上考虑问题,而不是手动管理IP和端口,在此基础上再配置用户认证策略,如使用 OpenID Connect (OIDC) 将身份绑定到密钥。
总的来说,零信任平台将基础设施管理员从管理(人员-IP&Port&Schema)的工作中解放出来,只是管理(人员-权限)即可;
Protecting APIs from abuse using sequence learning and variable order Markov chains
在web应用中,通常会有带有session的序列请求行为,即最终的任务或攻击是一序列请求完成的,如 认证 -> 余额 -> 转账;在客户应用防护过程中,识别这些 API 链并给出防护建议,能够对重点资产进行规则设定、限流等;
同时,这些 API 调用链可能存在循环、自调用等;
因此,将客户流量的 API 调用数据存到数据库,并使用马尔可夫链算法,识别出置信度较高的 API 链,给出建议:
