По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Представьте себе, что рядом с вами в организации есть сетевая розетка и все, что туда подключается, автоматически получает туда доступ. Любые устройства - даже если они являются "шпионскими" или не авторизованными.
Вы конечно скажете - но есть же простой, как тапок, протокол под названием Port Security!
Верно, но как он работает? Вы либо указываете MAC-адрес, который может подключиться к порту и получить доступ в сеть, либо указываете какое-то количество таких MAC адресов, которые будут динамически опознаны коммутатором или смешиваете два этих способа.
Но что если вы находитесь в публичной зоне, например там, куда вы приглашаете клиентов, или, к примеру вы находитесь на некой веранде, откуда зачастую можно работать. Там внедрён Port Security, все нормально.
Но вдруг ваш ноутбук кто-то умудрился ловко спереть и что тогда? У кого-то постороннего появится доступ в вашу сеть, так как доступ по его MAC-адресу разрешен. Тут-то и вступает в дело 802.1X - он позволяет проводить аутентификацию не устройства, но пользователя. Таким образом, если устройство будет украдено, злоумышленники все равно не получат доступ в сеть.
Логичным вопросом будет "Как же я обеспечу гостей доступом в сеть без предоставления им полного доступа"? Ответ - легко, и вариантов десятки: гостевая учетка и гостевой VLAN, специальный портал саморегистрации для гостей и так далее и тому подобное.
Также некоторые скажут - ну конечно, у меня в компании доступ к беспроводной сети так и организован, через синхронизацию с AD и по учетным записям пользователей. Но как это работает в случае проводного доступа? Сразу отвечу, что 802.1X используется как в беспроводной сети, так и в проводной. Подробнее о принципе действия, его компонентах я расскажу ниже.
Из чего состоит 802.1X
У 802.1X есть три основных компонента - суппликант, аутентификатор и сервер аутентификации. Суппликант - это ваше оконечное устройство и пользователь с определенным ПО (здесь нет смысла углубляться в различные виды суппликантов).
Аутентификатор - это коммутатор или точка доступа (первое сетевое устройство уровня доступа, на который пришел трафик с суппликанта.
И, наконец, сервером аутентификации является специальное ПО или устройство, принадлежащее к классу NAC - Network Access Control, или средствам контроля сетевого доступа. Конкретный класс решений для реализации 802.1X называется RADIUS-сервером.
Итак, порядок подключения следующий: вы пытаетесь получить доступ в сеть и аутентификатор говорит - предъявите, пожалуйста документы. Ваше устройство (суппликант) предоставляет нужную информацию - логин и пароль, сертификат, обе этих сущности вместе и прочие. Далее аутентификатор отправляет полученную информацию на сервер аутентификации и ждёт ответа. Далее, в базовом варианте, сервер аутентификации отправит обратно на аутентификатор разрешение и после этого аутентификатор разрешение суппликанту. До этого момента почти никакой трафик разрешен не будет!
Важно понимать, что в сторону аутентификатора уходит фрейм с определенным регистром (для этого и нужен суппликант), а аутентификатор энкапсулирует отправляет полученную информацию от суппликанта в сторону сервера аутентификации как IP – пакет (чтобы его можно было маршрутизировать).
Протоколы в технологии 802.1X
Давайте теперь подробнее поговорим о протоколах в этой технологии – так как 802.1X являет собой неикий собирательный термин. Основных протоколов 2 – EAPoL (Extensible Authentication Protocol over LAN) и RADIUS (Remote Authentication Dial-In User Service).
Есть очень простые и не очень безопасные формы EAP и очень надежные, но крайне сложные в настройке. В простейшем виде будет необходим только логин и пароль. В более сложных – сертификат, токен и прочее. Есть правило – чем проще настроить EAP – тем он менее взломостойкий и наоборот :)
В наше время одним из популярных и очень умных RADIUS – серверов является Cisco ISE. Он позволяет авторизовывать пользователей в зависимости от их контекста: Что за устройство? Кто? Где? Когда? Было ли устройство скомпрометировано ранее? и автоматически профилировать каждое подключенное устройство для того, чтобы понимать какие устройства есть у вас в сети и в каком состоянии они находятся – многие даже не подозревают о том, как много у них в организации подключено неизвестных устройств (при количестве пользователей более 1000).
Ниже на диаграмме можно увидеть весь процесс установления соединения при использовании 802.1X:
Если Вы наконец поняли, что повсюду окружены контейнерами и обнаружили, что они решают массу проблем и имеют много преимуществ:
Контейнеры вездесущи - ОС, версии библиотек, конфигурации, папки и приложения помещаются в контейнер. Вы гарантируете, что та же самая задача, которая была протестирована в QA, достигнет производственной среды с таким же поведением.
Контейнеры упрощены - объем памяти контейнера невелик. Вместо сотен или тысяч мегабайт контейнер будет выделять память только для основного процесса.
Контейнеры быстрые - Вы можете запустить контейнер для начала работы так же быстро, как типичный процесс Linux. Вместо минут можно запустить новый контейнер за несколько секунд.
Тем не менее, многие пользователи по-прежнему относятся к контейнерам так же, как к типичным виртуальным машинам, и забывают про важную характеристику: они одноразовые.
Мантра о контейнерах: “Контейнеры эфемерны”.
Эта характеристика заставляет пользователей поменять свое мышление относительно того, как они должны обращаться с контейнерами и управлять ими; и я объясню, чего НЕ следует делать, чтобы продолжать извлекать наилучшие преимущества контейнеров.
10 вещей, которых следует избегать в Docker контейнерах
Не хранить данные в контейнерах - контейнер может быть остановлен, удален или заменен. Приложение версии 1.0, работающее в контейнере, может быть легко заменено версией 1.1 без какого-либо неблагоприятного воздействия или потери данных. Поэтому, если нужно сохранить данные, сделайте это на диске. В этом случае следует также позаботиться о том, чтобы два контейнера записывали данные на один и тот же диск, что может привести к повреждению. Убедитесь, что приложения могут записывать данные в хранилище объектов.
Не разделять свое приложение на две части - так как некоторые люди видят контейнеры в роли виртуальной машин и поэтому большинство из них склонны думать, что они должны применять свое приложение только в существующих работающих контейнерах. Это может быть справедливо на этапе разработки, на котором Вам необходимо непрерывно разрабатывать и налаживать процесс; но для непрерывной доставки (CD) в QA и производства, Ваше приложение должно быть частью образа. Помните: Контейнеры нельзя изменить.
Не создавать большие образы - большой образ будет труднее распространить. Убедитесь в наличии только необходимых файлов и библиотек для запуска приложения/процесса. Не устанавливайте ненужные пакеты и не запускайте обновления (yum update), которые загружают много файлов на новый слой образы.
Не использовать однослойный образ - чтобы эффективно пользоваться многоуровневой файловой системой, всегда создавайте собственный базовый слой образы для операционной системы, а также другой слой для определения имени пользователя, слой для установки во время выполнения, слой для конфигурации и, наконец, слой для приложения. Будет проще воссоздать образ, управлять им и использовать его.
Не создавать образы из запущенных контейнеров - другими словами, не используйте слово docker commit для создания образа. Этот способ не приносит пользы, и его следует полностью избегать. Всегда используйте полностью воспроизводимый Dockerfile или любой другой S2I (от источника к изображению) подход, и Вы можете отследить изменения в Dockerfile, если сохранить его в хранилище системы управления версиями (git).
Не использовать latest (последний) тег – он подобен SNAPSHOT для пользователей Maven. Метки подключаются из-за слоистой файловой природы контейнеров. Вы ведь не хотите иметь сюрпризы при построении образа несколько месяцев, а потом выяснить, что приложение не может быть запущено, так как родительский слой (из-за Dockerfile) был заменен новой версией, которая не является обратно совместимой, или из кэша сборки была получена неправильная "последняя" версия. Тега latest также следует избегать при применении контейнеров в производстве, так как невозможно отследить, какая версия образа выполняется.
Не выполнять более одного процесса в одном контейнере - контейнеры идеально подходят для выполнения лишь одного процесса (HTTP, сервер приложений, база данных), но если имеется более одного процесса, могут возникнуть дополнительные проблемы с управлением, извлечением журналов и обновлением их по отдельности.
Не хранить учетные данные в виде образов. Используйте переменные среды, ведь для этого не требуется жестко кодировать имя пользователя/пароль в образе. Используйте переменные среды для получения этой информации вне контейнера. Отличный пример этого принципа - образ Постгреса.
Не запускать процессы от имени пользователя root - "По умолчанию docker контейнеры выполняются от имени пользователя root. По мере «взросления» docker контейнеров могут стать доступны секретные по умолчанию параметры. На данный момент требуемый root опасен для других и может быть доступен не во всех средах. Ваш образ должен использовать инструкцию USER, чтобы указать пользователя, не являющегося root, для контейнеров, которые будут запускаться".
Не полагайтесь на IP-адреса - каждый контейнер имеет свой собственный внутренний IP-адрес, и он может измениться, если вы запустите и остановите контейнер. Если приложению или микросервису требуется связь с другим контейнером, используйте переменные среды для передачи соответствующего имени хоста и порта из одного контейнера в другой.
Файл cookie HTTP сохраняет информацию в веб-браузере пользователя. Веб-серверы генерируют файлы cookie и отправляют их в браузеры, которые затем включают их в будущие HTTP-запросы.
Что из себя представляют файлы cookie на веб-сайтах?
Файлы cookie – это небольшие информационные файлы, которые веб-браузер генерирует и отправляет в веб-браузер. Веб-браузеры хранят файлы cookie, которые они получают, в течение заранее определенного периода времени или в течение сеанса пользователя на веб-сайте. Они добавляют соответствующие файлы cookie к любым будущим запросам, которые пользователь делает на веб-сервере.
Файлы cookie помогают информировать веб-сайты о пользователе, позволяя персонализировать взаимодействие с ним. Например, интернет-магазины используют файлы cookie для того, чтобы узнать, какие товары пользователи кладут в свои корзины. Кроме того, некоторый файлы cookie необходимы в целях безопасности, например, файлы cookie аутентификации.
Файлы cookie, которые используют в Интернете также называются «файлами cookie HTTP». Как и большинство, что связано с Интернетом, файлы cookie отправляются с использованием протокола HTTP.
Где хранятся файлы cookie?
Веб-браузеры хранят файлы cookie в специальном файле на устройствах пользователей. Например, веб-браузер Google Chrome хранит все файлы cookie в файле под названием «Cookies». Пользователи Chrome могут просмотреть файлы cookie, хранящиеся в браузере, открыв Средства разработчика, щелкнув вкладку «Приложение» и «Файлы cookie» в меню слева.
Для чего используются файлы cookie?
Сеансы пользователей: файлы cookie помогают связать действия веб-сайта с конкретным пользователем. Сеансовый файл cookie содержит уникальную строку (комбинацию букв и цифр), которая соответствует сеансу пользователя с соответствующими данными и содержимым для этого пользователя.
Предположим, у Алисы есть учетная запись в интернет-магазине. Она заходит в свою учетную запись с главной страницы сайта. Когда она входит в систему, сервер веб-сайта создает файл cookie сеанса и отправляет файл cookie в браузер Алисы. Этот файл cookie указывает веб-сайту загрузить содержимое учетной записи Алисы, чтобы на главной странице теперь было написано «Добро пожаловать, Алиса».
Затем Алиса переходит на страницу товара с джинсами. Когда веб-браузер Алисы отправляет HTTP-запрос для этой страницы, он включает файл cookie сеанса Алисы с запросом. Поскольку на веб-сайте есть этот файл cookie, то он распознает пользователя как Алису, и ей не нужно снова входить в систему при загрузке новой страницы.
Персонализация: файлы cookie помогают веб-сайту «запоминать» действия или предпочтения пользователя, позволяя тем самым веб-сайту настраивать взаимодействие с пользователем.
Если Алиса выходит из интернет-магазина, ее имя пользователя может быть сохранено в файле cookie и отправлено в ее веб-браузер. В следующий раз, когда она будет загружать этот веб-сайт, веб-браузер отправит этот файл cookie на веб-сервер, который затем предложит Алисе войти в систему с именем пользователя, которое она использовала в прошлый раз.
Отслеживание: некоторые файлы cookie записывают, какие веб-сайты посещают пользователи. Эта информация отправляется на сервер, который создал файл cookie, тогда, когда браузеру необходимо будет снова загрузить содержимое с этого сервера. Со сторонними отслеживающими файлами cookie этот процесс происходит каждый раз, когда браузер загружает веб-сайт, использующий эту службу отслеживания.
Если Алиса ранее посещала веб-сайт, который отправил ее браузеру файл cookie для отслеживания, то этот файл cookie может записать, что Алиса сейчас просматривает страницу товара с джинсами. В следующий раз, когда Алиса загрузит веб-сайт, который использует эту службу отслеживания, она может увидеть рекламу джинсов.
Реклама – не единственное применение файлов cookie для отслеживания. Многие службы аналитики также используют отслеживающие файлы cookie для анонимной регистрации действий пользователей.
Какие существуют типа файлов cookie?
Ниже представлены некоторые из самых важных типов файлов cookie, которые следует знать:
Сеансовые файлы cookie
Сеансовый файл cookie помогает веб-сайту отслеживать сеанс пользователя. Сеансовые файлы cookie удаляются после завершения сеанса пользователя – после того, как он выходит из своей учетной записи на веб-сайте или покидает веб-сайт. Сеансовые файлы cookie не имеют срока действия, а для браузера это значит, что они должны быть удалены после завершения сеанса.
Постоянные файлы cookie
В отличие от сеансовых файлов cookie, постоянные файлы cookie остаются в браузере пользователя в течение заранее определенного периода времени (это может быть день, неделя, несколько месяцев или даже лет). Постоянные файлы cookie всегда имеют срок действия.
Файлы cookie аутентификации
Файлы cookie аутентификации помогают управлять сеансами пользователей. Они генерируются, когда пользователь входит в учетную запись через свой браузер. Они гарантируют, что конфиденциальная информация доставляется в правильные сеансы пользователя, связывая информацию об учетной записи пользователя со строкой идентификатора файлы cookie.
Отслеживающие файлы cookie
Отслеживающие файлы cookie генерируются службами отслеживания. Они записывают активность пользователя, и браузеры отправляют эту запись в соответствующую службу отслеживания при следующей загрузке веб-сайта, использующего это службу отслеживания.
Зомби-cookies
Подобно «зомби» из популярной фантастики, зомби-cookies восстанавливаются после удаления. Зомби-cookies создают свои резервные копии за пределами обычного места хранения файлов cookie браузера. Они используют эти резервные копии для того, чтобы снова появиться в браузере после их удаления. Такие зомби-cookies иногда используют недобросовестные рекламные сети и даже злоумышленники.
Что такое сторонний файл cookie?
Сторонний файл cookie – это файл cookie, который принадлежит домену, отличного от того, который отображается в браузере. Сторонние файлы cookie чаще всего используются для целей отслеживания. Они отличаются от основных файлов cookie, которые принадлежат тому же домену, который отображается в браузере пользователя.
Когда Алиса делает покупки на сайте jeans.example.com, сервер-источник jeans.example.com использует сеансовый файл cookie для того, чтобы запомнить, что она вошла в свою учетную запись. Это пример основного файла cookie. Однако Алиса может не знать, что файл cookie с сайта example.ad-network.com также хранится в ее браузере отслеживает ее действия на сайте jeans.example.com, даже если в данный момент она не заходит на сайт example.ad-network.com. Это пример стороннего файла cookie.
Как файлы cookie отражаются на конфиденциальности пользователей?
Как упоминалось ранее, файлы cookie могут использоваться для записи активности в Интернете, в том числе и в рекламных целях. Однако многие пользователи против того, чтобы их действия в сети отслеживались. Пользователям также не хватает видимости и контроля над тем, что службы отслеживания делают с данными, которые они собирают.
Даже если отслеживание на основе файлов cookie не привязано к конкретному имени пользователя или устройству, при некоторых типах отслеживания все еще можно связать запись и действия пользователя с Интернете с его реальной личностью. Эта информация может использоваться любыми способами, от нежелательной рекламы до наблюдения, навязчивого преследования и травли пользователей (Это относится не ко всем файлам cookie.)
Некоторые законы о конфиденциальности (о неприкосновенности личной жизни), такие как Директива ЕС о защите электронных данных, касаются и регулируют использование файлов cookie. В соответствии с этой директивой пользователи должны предоставить «информированное согласие» - они должны быть уведомлены о том, как веб-сайт использует файлы cookie, и дать согласие на их использование – до того, как веб-сайт начнет использовать файлы cookie. (Исключением являются файлы cookie, которые «строго необходимы» для работы веб-сайта.) Общий регламент ЕС по защите данных рассматривает идентификаторы файлов cookie как персональные данные, поэтому его правила распространяются и на использование файлов cookie в ЕС. Помимо этого, любые личные данные, собранные с помощью файлов cookie, попадают под юрисдикцию общего регламента по защите данных.
Во многом из-за этих законов многие веб-сайты теперь отображают баннеры файлов cookie, которые позволяют пользователям просматривать и контролировать файлы cookie, которые используют эти веб-сайты.