“深度防御”是指由多个独立的安全控制层组成的安全策略,即使其中一层出现故障或遭到破坏,其他控制层仍可继续运行。深度防御通常包括不同类型的安全控制,例如人员、技术和运维。在数据处理过程中,对这些控制进行分层有助于确保在某一处未被缓解的攻击能够被同一系统中的另一控制层拦截。

实现深度防御策略的方法有很多。就技术组件而言,我们建议从以下三项开始:

  1. 拒绝服务 (DoS) 防护 —— 部署 DoS 防护以阻止 DoS 攻击,避免其造成应用过载,从而确保更加出色、更可预测的客户体验。DoS 防护最适合在边界全局部署,可确保保护所有应用、API 和 service 及其他流量管理和安全工具。为了实现最佳防护效果,DoS 解决方案还能够阻止分布式拒绝服务 (DDoS) 攻击,该攻击利用大量 Bot 或被挟持的系统将大量流量定向到特定的 Web 资产、应用,或者一个或多个 IP 地址。
  2. Web 应用防火墙 (WAF) —— 在 DoS 防护层和负载均衡器或 Ingress controller 之间部署 WAF。WAF 可抵御复杂的七层攻击,例如 OWASP 十大安全漏洞。WAF 必须支持您为特定用例定义的自定义配置,同时还需为可能在安全实践方面不够老练的开发人员提供强大的开箱即用的默认保护措施。
  3. 身份验证和授权 —— 确保流量管理工具(例如负载均衡器、API 网关和 Ingress Controller)均进行了正确配置,以便对访问应用和基础架构的所有请求进行身份验证和授权。这在 Kubernetes 和面向微服务的环境中尤为重要,在这些环境中,service 是松散耦合的并通过可从外部访问的 API 进行通信。创建稳固的持续身份验证流程(包括证书颁发机构以及在人为暴露时的多因素身份验证 (MFA)),可确保任何连接的有效性均持续受到质询和验证,从而减少攻击面。

F5 NGINX 如何助一臂之力?

automate-security-reduce-breach-cost_attack-types

您可在深度防御实现的三个层面都部署 NGINX 解决方案:

  • 如要抵御 DoS 和七层攻击,请部署 F5 NGINX App Protect DoS 和 WAF 模块。 NGINX App Protect 采用 F5 市场领先的安全技术并可原生集成其他 NGINX 工具,支持模块化方法,有助于实现部署方案的灵活性和资源的最佳利用:
    • NGINX App Protect DoS —— DoS 行为检测和防护,横跨各种云环境和各种架构,提供具有一致性的自适应保护。
    • NGINX App Protect WAF —— 一种功能强大的轻量级 WAF,可抵御各种七层攻击(包括 OWASP 十大安全漏洞),并确保 PCI DDS 合规性。
  • 如要在负载均衡器、API 网关或 Ingress Controller 上进行集中身份验证和授权,请部署 F5 NGINX Plus 和 F5 NGINX Ingress Controller:
    • NGINX Plus —— 集负载均衡器、反向代理、内容缓存和 API 网关于一体。
    • NGINX Ingress Controller —— 面向 Kubernetes 的 NGINX Plus 版 Ingress Controller,支持高级流量控制和整形、监控和可视化、身份验证和单点登录,并可充当 API 网关。

完美的应用交付

世界上最具创新精神的公司和最大的企业都在使用 NGINX。

了解更多