前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >【版本升级】腾讯云防火墙2.3.0版本正式发布!

【版本升级】腾讯云防火墙2.3.0版本正式发布!

原创
作者头像
zoeding
修改2021-07-08 14:57:09
1K0
修改2021-07-08 14:57:09
举报
文章被收录于专栏:云防火墙

大家好,我是腾讯云防火墙的产品经理jojen,过去几个月在实战中我们发现,就业务系统的脆弱性而言,漏洞、弱口令以及影子资产是最大的三个因素。作为安全产品团队,我们借此机会复盘分析了云上业务所面临的安全风险。

一、从实战中来,到实战中去

我们抽样统计分析了近半年云上服务器失陷案例,并逐一溯源攻击手法,可以看到:

  1. 约56%的攻击成功案例都源自于SSH登录与暴力破解成功;
  2. 约27%攻击成功案例来源于服务器漏洞的利用。

基于上述结论,我们希望警醒每一个腾讯云用户,业务上云时请务必做好远程运维管控与漏洞防护!你可以通过安全组 / 防火墙设备来对22、3389端口进行权限管控,也可以通过主机安全等EDR产品来修复服务器漏洞。同时我们在腾讯云防火墙最新的版本2.3.0中做了一个重要的决定:将以上两种能力融合到IPS版本中,最低只需每日30元一杯STARBUCKS,便可以一站式防护公有云的暴破攻击与远程漏洞利用

二、THINK DIFFERENT:微信扫码登录服务器

过去几年,网络安全解决方案都在不断地从“面向IP的静态策略”到“面向ID的动态策略”升级,我们都知道IP协议的发展和应用使得“因特网”几乎成为了“互联网”的代名词,但是随着网络规模的不断发展,IP地址也会导致以下几个网络安全领域的痛点问题:

1、出口IP无法封禁:IPv4地址资源面临枯竭,为了提升地址使用效率,网络先驱们发明了NAT地址转换技术,但也使得出口IP地址成为多数网络黑客藏匿的屏障,面对出口IP 发起的网络攻击,防守者只能寄希望于入侵检测规则足够准确;

2、IP地址是会变的:IP地址不等于设备,更不等于人,面向IP的安全策略永远是静态的,被动的,攻击者只需更换一个IP地址,也许就可以继续为所欲为;而基于IP地址配置白名单策略,也无法应对正常用户IP地址变化的问题。

目前市面上基于身份的安全产品和管理工具如同雨后春笋一般涌现,但是我个人认为面向ID的产品需要解决一个本质问题:是否需要强迫用户创建一个新的身份ID,否则会导致每个用户都需要同时维护多套设施的账号和密码,好比旧时代的居名服务,日用水、家用电、燃气都需要不同的账号...直到后来,微信的出现,通过城市服务打通了几乎所有日常会用到的账号系统,进而微信也成为了每个人都会有的一种【身份ID】:我有码,你呢?

那是否可以通过微信来登录服务器呢?

这一天阿鑫来到公司上班,看到写字楼下电梯又排起了长龙,于是决定去旁边的汉京中心SOMA商场先吃个早餐,来到星巴克咖啡,点了一杯冰美式坐下,优雅的拿出2021款16寸的Macbook pro,带上第二代AirPods Pro,熟练的打开终端敲出登录命令,随后神奇的一幕出现了,Xshell客户端上赫然出现了一个二维码,这一现象惊呆了店内其他气氛组成员,阿鑫对于这种关注的目光早就习以为常甚至有一些不以为然,忍俊不禁但仍然举止镇定的掏出了刚还了两期的iPhone 12 pro max并呼出绿色小软件 ,只听‘滴’的一声,他登录成功了!!!

那么这个过程大概是下面这个样子的:

#腾讯云防火墙 #微信远程运维 40s教你微信扫码登录云服务器

既不需要用户注册新的身份,也可以免去企业管理员部署系统的工作量,做到了“不加ID,零部署、免代理、无客户端”的改变游戏规则的体验。早在今年的2月份我们变发布了这个功能,由于用户还不够多,并且在最新的2.3.0版本中有了新的突破:

  1. 支持通过NAT边界防火墙直接运维管理内网资产:一码在手,天下我有;
  2. 支持自定义登录端口:阿鑫喜欢自己的幸运数字 49,他坚持要用这个端口登录;
  3. 支持企业管理员托管密码/密钥:阿鑫甚至不知道登录密码;
  4. 支持RDP和远程桌面:是的,阿鑫换成windows也是可以的;
  5. 支持根据时间管理登录权限:如果阿鑫只是个访客,那么他只能在有限的时间内登录。

面对暴力破解攻击,要么针对性检测,要么实时拦截,但是我们认为最好的办法,是不提供非法用户尝试登录的机会。故事中的阿鑫不是别人,正是我们腾讯云防火墙的首席架构师 / 技术专家 dihin,他实现了自己的理想(加入星巴克气氛组),他做到了

三、JUST DO IT:不用停机的漏洞补丁

“如果破洞裤是时尚,那么奶奶会让你在外面套一层秋裤”

阿荃出门遇到了自己的奶奶,奶奶看见心爱的孙子的裤子上居然有好几个破洞,于是当场掏出针线想给阿荃缝补,但是阿荃是个靓仔,他不想在外面脱下裤子,僵持之下街边卖秋裤的阿辉看到了商机:“不用脱不用脱,穿上这个就看不到洞了,just do it”...于是阿辉赚到了钱,奶奶不再担心,阿荃也成了时下最时尚的高街风靓仔,同时也很好的预防了关节炎和风湿的危害,避免了破洞造成的走光风险。

在上面这个故事中,我想说很多时候破洞并不是时尚,而是很多企业的现状和痛点,系统和组件漏洞无法避免,但是业务上线后,很难找到机会停机去修复漏洞,更何况还会有修复漏洞后无法启动的风险,因此实际上,很多客户对于漏洞暴露束手无策。

那是否有一种“网络安全秋裤”,既时尚又能堵住漏洞呢?

虚拟补丁技术其实在业界早已不是新鲜事物,在用户的后端业务存在漏洞暴露且无法及时修复的情况下,我们也可以在网络流量侧,针对漏洞利用的行为和攻击进行检测和拦截。这样一来,企业便可以正常对外运行业务,只要找到一个合适的机会修复漏洞即可。

在云防火墙的IPS版本中就已经具备了虚拟补丁的功能,能够对常见的、高危的、以及最新的漏洞的利用与攻击行为进行实时检测和拦截,我罗列一下腾讯云防火墙虚拟补丁功能的几大优势:

1、资产风险与漏洞梳理:结合漏洞扫描能力,探测云上业务对外暴露的组件与漏洞,帮助用户梳理风险暴露面。你知道你的裤子有几个洞吗?

2、无需停机/重启业务:随时随地,即开即用的热补丁功能,穿脱自如

3、0-day漏洞敏捷响应:专属安全运营团队小时级别响应新增漏洞,快速研制检测规则,并自动更新发布,无需任何切换。今天扭秧歌不小心咧开了新的洞也不带怕

4、无需配置的拦截模式:极简操作,一键开启拦截模式,针对高置信度规则直接拦截检测到的漏洞利用与漏洞攻击行为。‘皇帝的新裤’?

即便破洞裤出门,也能防止其他人看到,进而从源头避免不法分子利用破洞‘摸一把’的行为。阿辉是我们腾讯云防火墙的产品专家 / 首席文案法师,你是阿荃吗?

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、从实战中来,到实战中去
  • 二、THINK DIFFERENT:微信扫码登录服务器
  • 三、JUST DO IT:不用停机的漏洞补丁
相关产品与服务
云防火墙
腾讯云防火墙(Cloud Firewall,CFW)是一款基于公有云环境下的 SaaS 化防火墙,主要为用户提供互联网边界的防护,解决云上访问控制的统一管理与日志审计的安全与管理需求。云防火墙不仅具备传统防火墙功能,同时也支持云上多租户、弹性扩容功能,是用户业务上云的第一个网络安全基础设施。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档