大家好,我是腾讯云防火墙的产品经理jojen,又见面了,今天在这里和大家聊一聊防火墙上的零信任防护和VPC间防火墙。
随着科技的发展,传统的边界防护展现出局限性,从内外网边界到主机边界、再到容器之间,网络边界的概念逐渐模糊;另一方面,疫情居家办公也给企业带来了新风险:员工使用私人设备连接企业资源和网络,可能成为边界防御的突破口,也带来了事故溯源难等问题。
一、防火墙上的零信任防护
面对以上问题,我们认为可以把零信任的灵活安全能力和传统边界防护能力结合,从对用户而提供更优质的安全能力。在3.1版本我们推出了零信任防护模块, 通过云防火墙接入云上的SSH、RDP、DB以及Web OA类业务,支持基于微信身份认证的零信任访问控制。
- 在3.1版本中零信任防护模块, 新增Web服务管理功能,无需暴露端口,基于微信认证进行访问控制,避免爆破等威胁。
- 如果说Web服务管理功能是从Web角度看哪些用户可以访问服务,微信身份管理是从身份的角度看用户有哪些Web服务的权限
- 3.1版本在日志服务中新增了零信任防护日志,在这里查看Web服务访问的登录情况,包括访问时间、访问用户、用户访问地、访问状态和访问详情。
二、VPC间防火墙
漏洞执行后,攻击者往往通过横向扩散感染更多主机使利益最大化,新形势对东西向流量的管控产生进一步需求。以8220挖矿木马为例,8220团伙的此次攻击利用了Confluence远程代码执行漏洞(CVE-2019-3396)、Weblogic反序列化漏洞(CVE-2017-10271)、Weblogic反序列化漏洞(CVE-2019-2725)入侵,攻击得手后会继续通过SSH弱口令、Redis未授权访问漏洞、ActiveMQ未授权访问漏洞横向移动,以尽可能入侵控制更多主机,组建僵尸网络挖矿。
在3.1版本的VPC间防火墙支持IPS入侵防御,增加横向移动检测防线,进一步强化内网安全性,通过以下三种模式管理东西向流量:
- 观察模式:基础防御、虚拟补丁均为检测模式,针对发现的恶意访问或网络攻击行为,只告警,不自动阻断连接
- 拦截模式:自动拦截高置信度规则检出的网络攻击/恶意访问
- 严格模式:基础防御、虚拟补丁均为全局拦截模式,针对任何检测到的告警,自动阻断连接,可能产生误报,适用于重保/攻防场景.
三、访问控制优化
- 为了优化用户的操作体验提升管理效率,1版本支持在描述字段中插入标签在输入描述时可以通过#唤起标签,对策略进行精确的设置与管理;
- 访问控制还新增了批量操作功能等体验优化。
四、告警中心优化
- 当主机失陷后,需要进行及时的隔离防止影响进一步扩大,1版本告警中心支持针对失陷类告警,批量选择操作对象一键隔离失陷资产;
- 各类扫描、探测类告警处置会占用安全人员大量时间,引发告警疲劳;因此在1版本中,告警中心支持忽略不重要的告警事件。
以上就是云防火墙3.1版本的全部内容,欢迎大家在评论区与我们互动or提问。云上威胁变幻无常,安全技术日新月异,但我们守护美好的使命一直不变,下个版本再见!