推特用什么加速器免费(免费上推特的加速器)
文章目录[隐藏]
- 由于疫情的全球蔓延,国外科技巨头开始远程办公。
- 工程师激烈吐槽:企业VPN烂透了。
- 如何保证VPN的安全性?
- 零信任
- 1.改进自OpenSSH内核
- 2.没有网络桥接。
- 3.网络访问范围和随机IP
- 企业端口敲门
- 简单易行的工具
- 零信任
- 婕妤
由于疫情的全球蔓延,国外科技巨头开始远程办公。
随着新冠肺炎开始在全球肆虐,欧洲和亚洲的企业和组织开始效仿中国,采用远程办公的方式来防止新冠肺炎病毒的传播。在一些高风险地区,每天有数百万人在家工作,网络压力比以往任何时候都大。此外,有迹象表明,随着新冠肺炎感染人数的增加,大多数受影响地区将在未来几天或几周内在家工作和远程办公。
谷歌已经要求其都柏林欧洲总部的大约8000名员工在家工作,因为一些员工报告了流感症状。谷歌发言人表示,将继续采取预防措施,保护员工的健康和安全。推特周一还表示,该公司“强烈鼓励”全球近5000名员工在家工作,因为担心新冠肺炎疫情蔓延。Twitter此前表示,公司将暂停所有非重要的商务旅行活动,优化内部会议、员工会议等重要任务,确保远程办公人员的参与。
一些公司已经有内部的Slack和Zoom系统,员工可以选择哪种工作方式。然而,一组与新冠肺炎相关的最新数据显示,很少有公司拥有这样的远程办公系统,大多数公司都是首次使用远程办公系统。
这些远程办公软件的实际使用率是多少?谷歌给了我们一些提示:
从搜索引擎反映的数据中,我们可以看到Zoom、Slack和Microsoft Teams的关键词搜索数量正在以惊人的速度增长。
Zoom 的搜索量在韩国增加了 525%,在日本增加了 150%,在意大利增加了 104%;Slack 的搜索量在韩国增长了 17%,在日本保持平稳,在意大利增长了 19%;Microsoft Teams 搜索量在韩国增长了 186%,在日本下降了 17%,在意大利增长了 108%;
疫情期间,远程办公软件正经历(或即将经历)销售、试用和新用户增长的繁荣期。虽然额外流量基本免费,营销效率快速提升,但一些软件服务团队却被庞大的用户量压垮了。由于疫情期间用户激增,市场上很多流行的远程办公工具都存在停机、延迟或技术bug的问题,也有员工抱怨远程办公工具真的太难用了!
工程师激烈吐槽:企业VPN烂透了。
当企业纷纷开始远程办公模式时,为了接入内网,很多公司为员工提供企业VPN。但从部分员工在社交网络上的反馈来看,企业VPN并不是很好用:一方面是因为流量突然巨大,经常导致员工被卡断;另一方面,企业VPN的安全性有待提高。
技术专家Matthew Sullivan在博客上专门写了一篇关于企业VPN安全的文章。当然,更重要的是,他提出了一些可行的方案和建设方案。
首先,他的观点是:
尽量不要使用VPN。
为什么呢?因为:
所有虚拟专用网都是垃圾。
他认为,VPN也需要仔细配置,否则黑客就能找到机会。更重要的是,这种精心的配置只存在于理论层面,真正的用户几乎不会关注!
在99.95%的情况下,VPN设置都是通过以下方式:
桥接一台网络设备——例如笔记本电脑甚至是另一台服务器接入更庞大的服务器网络——例如云端或者内部环境跨越互联网——利用额外的加密层进行保护
在马修看来,这显然不是一个好主意。如果我的笔记本电脑上有恶意软件,并且它通过VPN连接到生产网络,我该怎么办?恶意软件将因此获得对生产基础设施的本地网络的访问,其后果显然相当严重。
此外,黑客还可以通过VPN设备或软件漏洞入侵VPN本体,从而避开安全检查,直接访问目标网络。这种情况并非前所未有。之前影响很大的心流血漏洞,可以用来劫持VPN访问。
关于VPN安全漏洞的新闻层出不穷,世界各地的攻击者都在迅速利用这些漏洞访问目标网络。更糟糕的是,这些系统直接对互联网开放,没有配备任何保护机制。而且修复程序不能自动执行,需要操作人员在专有操作系统上运行专有软件管理方案中的专有更新机制。
接下来的问题是,在网上找公司VPN设备有多难?马修说,在写这篇文章之前,他不是很确定,所以他花了大约30分钟在Shodan.io上了解这个问题。我们来看看相关的结论:
Thomson Reuters ——一家价值 410 亿美元、拥有 26000 名员工的企业,其半数收入来自金融服务SAP Concur ——入侵活动与开支管理服务,有大量个人身份信息与付款信息Progressive Insurance ——个人身份信息与个人健康信息,也包括一部分付款信息Chevron Phillips Chemical ——这是一家知名化工企业,其他的应该不用多谈了
简单翻翻,我们发现这么多公司的VPN直接暴露在互联网上。问题真的很严重。那么,有可靠的解决方案吗?
如何保证VPN的安全性?
零信任
马修的第一个解决方案是“零信任”。
零信任的基本概念是独立授权所有连接操作,即尽可能避免对网络中的任何事物做出任何可信的假设。
为了轻松实现对生产服务器的零信任登录,他给出了选择相应解决方案的三个理由:
1.改进自OpenSSH内核
从底层来看,最好的解决方案平台是一个管理配置良好的Openssh(计算机上的ssh命令)部署方案。OpenSSH经过了严格的测试,是一个相当安全的远程管理解决方案。自2003年以来,由于默认配置中的漏洞,OpenSSH从未遇到过未经授权的远程访问。
网络入口点本身相当于一个基于亚马逊Linux 2的单功能EC2实例,结构简单意味着其攻击面非常有限。请注意:VPN设备的一个主要问题是需要匹配专有软件/操作系统配置——这种配置是阻碍自动修复程序的罪魁祸首。只要网络入口点等基础设施能够自动修复,我们就能在这场安全对抗中占得先机。
2.没有网络桥接。
如前所述,大多数虚拟专用网在配置上将网络设备(如笔记本电脑)桥接到互联网上更大的服务器网络。关于VPN,马修说他个人最不能接受的是它劫持了所有用户的网络流量。虽然部分流量可以按配置划分,但客户和安全控制条款(如NIST 800-53 SC-7(7))通常要求这种全流量转发方式。
可以看出,这里的安全控制思路已经远远落后于行业的实际情况。在过去,VPN可能是唯一的流量加密解决方案。审计人员经常认为,如果没有VPN的保护,用户可能会通过未加密的渠道发布机密信息。另一方面,这也意味着终端用户的普通Slack流量也将通过生产VPC交付。
好在有更合理的办法。在OASA(可行的解决方案)模式下,用户和服务器之间的连接有独立的代理。比如提交“我想加入EC2实例i-028d62efa6f0b36b5”的请求,会让系统先跳转到网络入口点,然后再跳转到目标服务器。在单一登录提供商完成身份验证后,OASA还将验证请求的发送者是否在受信任的内部设备上进行了预注册和批准。最后,OASA会颁发客户端凭据,并在接下来的10分钟内持续保护这些跃点。
这使得访问后的活动空非常有限。管理员可以登录到网络入口点,然后根据需要将端口转移到另一个目的地-但是在建立任何连接时,操作员都需要明确请求,默认情况下,系统会拒绝所有请求。最重要的是,因为这个系统与VPN无关,所以没有必要通过产生VPC来路由所有必要和不必要的网络流量。
3.网络访问范围和随机IP
这些网络入口点基于每个VPC进行部署(例如,一个VPC用于生产,一个用于细分,一个用于开发,等等。).此外,主机保护解决方案将密切监控每个应用程序,记录应用程序的所有活动并执行流量过滤。这样,即使攻击者成功入侵网络入口点的位置,实际上也没有后续空的可用空间。无论如何,这种安全模式不允许游客仅仅因为进入了VPC就自由访问所有受保护的资源。
企业端口敲门
在实际的应用场景中,几乎没有人会用端口来敲门,但是设置起来却非常有趣。简而言之,端口敲门是为每个封闭的网络端口建立一个命中序列。只有按照正确的顺序操作,才能为您的IP打开“真正”的端口。听起来不错,但在实际应用中缺乏可行性。
但是敲击港口的基本原理启发了马修开始思考如何迭代这个概念。他称这种解决方案为“企业端口敲门”。
马修说,他想创建一种机制,确保网络入口点始终与互联网防火墙隔离,直到用户发起访问。该机制必须易于使用、可靠,并且能够通过现有身份提供者执行身份验证。
于是他拟定了这个机制的基础架构,然后将结果提交给工程技术团队。几周后,该解决方案被投入生产环境。
这项服务非常简单。通过AWS API Gateway可以访问AWS Lambda功能(无服务器架构),整体体验简单可靠。让我们看看这个机制的基本原理:
用户通过单点登录成功完成身份验证应用遍历已经配置完成的 AWS 账户,找到带有特定标签的安全组(安全组,即 AWS 中的防火墙规则)应用对安全组进行更新,批准访问者的 IP 地址。安全组规则拥有一个包含创建时间的标签。清除 cron 定期运行,在可配置时间后删除之前的 IP 授权清单。
在这项服务的支持下,Matthew团队建立了远程访问解决方案。该方案与互联网完全隔离,在打开防火墙端口进行双因素认证之前,命中可以通过的用户目录。
简单易行的工具
虽然听起来有点复杂,但整个登录过程其实很简单:
单点登录(如果尚未登录)在 SSO 门户中点击企业端口敲门连接器在终端内,使用 SSH 命令并将目的地声明为所需的 EC2 实例 ID。OASA 非常聪明,只需要指定要使用的网络入口点,其余流程都能自动完成!
对于基础架构经理来说,这一新方案极大地改善了合规计划和客户安全。用户非常享受这种轻松的服务器访问体验,不需要进行两次身份验证,也不需要记住需要使用哪个VPN。
婕妤
疫情阴霾下,自由呼吸、安全出入的生活工作环境弥足珍贵,但如今,疫情影响仍在继续,全球科技企业的影响力也在不断扩大。远程办公可能会解决一些问题,但毕竟不是长久之计。希望在全世界医学科研人员的共同努力下,疫情能够得到及时控制。
最新评论