当前位置：首页 > news >正文

云安全博客阅读（二）

news 2025/11/15 0:10:26

IT 基础设施的零信任

不同于应用安全，基础设置的安全的防护紧急程度更高，基础设施的安全防护没有统一的方案
IT基础设施安全的场景多样，如sever服务器安全，k8s集群机器安全等；以往通常根据用户认证、资源隔离、网段隔离等信息进行防护；
不同基础设施的安全防护方案不同，如Linux机器中用SSH进行安全通信（本地-主机密钥加解密验证），windows主机远程通信使用RDP协议（账户密码认证），k8s认证安全则使用多种方式如用户权限管理、认证密钥等；

零信任基础设施安全防护，通过 VPN 在所有基础设施上进行网络隔离，并集成原生的主要的设施访问协议（SSH、RDP、K8s）；

隔离出来后，使得目标资源配置为接受特定用户的访问，而不是依赖网络级的访问；管理员可以从用户与资源的层级上考虑问题，而不是手动管理IP和端口，在此基础上再配置用户认证策略，如使用 OpenID Connect (OIDC) 将身份绑定到密钥。

总的来说，零信任平台将基础设施管理员从管理（人员-IP&Port&Schema）的工作中解放出来，只是管理（人员-权限）即可；

在web应用中，通常会有带有session的序列请求行为，即最终的任务或攻击是一序列请求完成的，如认证 -> 余额 -> 转账；在客户应用防护过程中，识别这些 API 链并给出防护建议，能够对重点资产进行规则设定、限流等；

同时，这些 API 调用链可能存在循环、自调用等；

因此，将客户流量的 API 调用数据存到数据库，并使用马尔可夫链算法，识别出置信度较高的 API 链，给出建议：

SpringCloud系列教程：微服务的未来（六）docker教程快速入门、常用命令