По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В предыдущей статье мы рассмотрели необходимость перераспределения маршрутов, а также рассмотрели некоторые примеры конфигурации. Эта статья основана на предыдущей конфигурации и рассматривает возможность фильтрации маршрутов с помощью карт маршрутов.
В частности, в предыдущем примере показано взаимное перераспределение маршрутов между EIGRP и OSPF, где все маршруты были перераспределены между двумя автономными системами. Однако некоторые сценарии проектирования могут потребовать, чтобы мы предотвратили перераспределение каждого отдельного маршрута. Один из способов сделать эту фильтрацию - использовать карту маршрутов.
Для справки, вот топология, с которой мы работаем:
Кроме того, с нашей текущей конфигурацией перераспределения маршрутов таблица IP-маршрутизации на роутере OFF1 выглядит следующим образом:
Скажем, по какой-то причине мы не хотим, чтобы сеть 192.168.2.0 /24 была перераспределена из EIGRP в OSPF. Один из способов сделать эту фильтрацию - использовать карту маршрутов, которая ссылается на список управления доступом (ACL).
Во-первых, давайте перейдем к роутеру CENTR и создадим ACL, который соответствует сети, которую мы хотим отфильтровать.
CENTR # conf term
Enter configuration commands, one per line. End with CNTL/Z.
CENTR (config) access-list 1 permit 192.168.2.0 0.0.0.255
Обратите внимание на использование ключевого слова permit в ACL. В этом контексте слово permit одно из ключевых среди match, notallow. Далее мы будем ссылаться на этот ACL в карте маршрутов, и это карта маршрутов, расскажет, что мы хотим запретить этой сети быть перераспределенной. Вот как мы можем создать эту карту маршрута:
CENTR (config)# route-map LAB deny 10
CENTR (config-route-map) # match ip address 1
CENTR (config-route-map) #exit
CENTR (config)# route-map LAB permit 20
CENTR (config-route-map) exit
CENTR (config)#
Обратите внимание, что у нас есть два оператора route-map с порядковыми номерами 10 и 20. Как и в ACL, route-map обрабатываются сверху вниз. В этом примере мы хотим запретить сеть 192.168.2.0 / 24 с порядковым номером 10. Затем, чтобы разрешить перераспределение всего остального трафика, мы создаем инструкцию route-map с порядковым номером 20. Обратите внимание, что в отличие от предыдущего оператора route-map (который содержал ключевое слово deny), этот оператор route-map содержит ключевое слово permit. В результате, без необходимости указывать условие соответствия, мы сопоставляем (и разрешаем) все остальные маршруты.
Далее, давайте применим нашу карту маршрута к команде redistribute в нашем процессе маршрутизации OSPF на роутере CENTR. В настоящее время команда redistribute для процесса маршрутизации OSPF выглядит следующим образом: edistribute eigrp 1 metric-type 1 subnets
То, что мы хотим сделать - это переписать эту команду, добавив ссылку на нашу недавно созданную карту маршрутов.
CENTR (config)# router ospf 1
CENTR (config-router)# redistribute eigrp 1 metric-type 1 subnets route-map LAB
CENTR (config-router)#end
CENTR#
Теперь давайте вернемся к роутеру OFF1 и посмотрим, исчезла ли сеть 192.168.2.0/24 из таблицы IP-маршрутизации.
Все отлично! Маршрут 192.168.2.0/24 был успешно отфильтрован. В следующей статье мы рассмотрим, как можно устранить неполадки с перераспределением маршрутов.
В октябре прошлого годы мы опубликовывали статью с обзором Windows Admin Center. На тот момент это была версия 2009 сборки 1.2.2009.21002. На текущий момент в нем обновились некоторые расширения.
С появлением предварительной версии Windows Server 2022 Preview, компания Microsoft выпускает новый Windows Admin Center Preview Build 2012 показывая этим, что продукт развивается и управление Windows системами будет происходить с помощью этого инструмента. Скачать его можно с сайта предварительной оценки Windows. Рассмотрим новые возможности версии Admin Center Preview.
Загрузка Windows Admin Center Preview 2012
Для получения возможности скачать Admin Center, нужно быть участником программы предварительной оценки Windows. На странице загрузки генерируется ссылка, по которой в течении ограниченного времени вы можете скачать данный продукт.
Новые возможности Windows Admin Center Preview 2012
В списке ниже указаны некоторые основные обновления функциональности:
Значительное улучшение производительности
Обновленная платформа
Обновленные компоненты Windows Admin Center
Новые возможности графического процессора
Добавлены функции безопасности
Обновленная работа с кластерами
Решения по обновлению
Secret feature …
Улучшена производительность
В этом выпуске Microsoft обновила Windows Admin Center для использования HTTP/2. Графический интерфейс WAC стал более отзывчивым. Переход между компонентами также стал выполняться гораздо быстрее.
Обновленная платформа
Обновлена платформа, Microsoft отмечает, что в этом выпуске процесс входа в Azure значительно улучшился.
Обновленные компоненты Windows Admin Center
В этой версии многие компоненты и расширения были улучшены и обновлены.
Список компонентов, которые претерпели изменения:
Azure File Sync – более надежная работа
Files and File sharing – исправлены ошибки при копировании/вставки в панели инструментов
Cluster Manager – возможность зарегистрировать кластер в облаке Azure и изменять параметры
Storage Migration – обновление пользовательского интерфейса. Добавлены новые функции
Storage Migration Service - общее обновление компонента
Storage Replica – просмотр статуса репликации. Исправлены общие ошибки
Virtual Machines – появился режим изоляции сети при создании виртуальной машины, исправлены ошибки и улучшена производительность
Windows Update – исправлены ошибки, связанные с запуском по расписанию
Новые возможности графического процессора
В этом выпуске WAC 2012 появился инструмент, связанный с графическим процессором. Это возможность назначать графический процессор конкретным виртуальным машинам. Этот новый инструмент находится в предварительной версии и должен быть включен в Insider Preview в Windows Admin Center. Даже если вы установите новый инструмент, вы не увидите расширение.
Новые функции безопасности
В Windows Admin Center Preview 2012 появилась новая функция безопасности, которая в настоящее время находится в предварительной версии. Добавляется новый раздел о безопасности операционной системы. В нем перечисляется ряд возможностей, связанных с безопасностью. На данный момент расширение обеспечивает защиту от вирусов и других угроз.
Stretched Cluster
С помощью Stretched Cluster Azure предоставляет решение для аварийного восстановления, которое обеспечивает автоматическое переключение при отказе. Инструмент создания кластера теперь называется GA и предоставляет возможность выбора развертывания на одном сайте или на нескольких сайтах в «растянутом» кластере. Он может автоматически подготавливать сайты на основе сайтов и служб Active Directory.
Решения по обновлению
Ответ Microsoft на продукт vSphere Lifecycle Manager от компании VMware. Возможность выполнять обновления драйверов и микропрограмм напрямую от производителей оборудования. Это позволит и минимизировать время простоя в результате обновления программного обеспечения.
Secret Feature
Microsoft добавила в Windows Admin Center Preview 2012 возможность открывать окна инструментов WAC в новом окне. Для этого сначала нужно включить эту функцию в параметрах разработчика, добавив так называемый «Ключ для экспериментов» - msft.sme.shell.popouts. После добавления нажать кнопку «Сохранить и перезагрузить». Затем при наведении указателя мыши на имя компонента вы увидите новую всплывающую кнопку.
Добавление расширений
Имеется возможность добавить расширения из версии Windows Admin Center «Insider Preview». Чтобы их включить нужно добавить следующий адрес https://aka.ms/wac-insiders-feed в поле «Неопубликованные расширения» и нажать кнопку «Сохранить и перезагрузить».
Заключение
В этой статье рассмотрели новые функции Windows Admin Center Preview 2012, которые появились в этой предварительной версии. Имеются явные улучшения, обновления, особенно в области общей производительности, обновления функций. Появление нового функционала показывает то, что компания Microsoft планирует улучшать и развивать данный продукт.
Контейнеры Docker и Kubernetes - движущая сила современного жизненного цикла разработки программного обеспечения. Хотя Docker - более безопасный вариант, чем работа непосредственно на главном компьютере, при работе с контейнерами может возникнуть множество потенциальных проблем безопасности.
В эту статью включены десять рекомендаций по безопасности контейнеров, которые помогут предотвратить атаки и нарушения безопасности.
1. Регулярно обновляйте Docker и хост
Убедитесь, что ваш хост и Docker обновлены. Используйте последнюю версию ОС и программное обеспечение для контейнеризации, чтобы предотвратить уязвимости системы безопасности. Каждое обновление включает критические исправления безопасности, необходимые для защиты хоста и данных.
Обновление Docker не ограничивается самой платформой. Запущенные контейнеры не обновляются автоматически. Вы также должны обновить контейнеры и образы, на которых они основаны.
2. Настройте квоты ресурсов.
Чтобы избежать взлома контейнеров, которые чрезмерно потребляют ресурсы, установите ограничения на использование памяти и ЦП Docker.
Не настраивая квоты ресурсов, вы предоставляете контейнеру доступ ко всем ресурсам ОЗУ и ЦП хоста. Поскольку это настройка по умолчанию, рекомендуется ограничить количество ресурсов, которые может использовать контейнер, чтобы это не нарушило работу других служб.
Это не только предотвращает использование контейнером всех ресурсов, но также помогает поддерживать эффективность среды Docker. Квоты ресурсов обеспечивают работу контейнеров с ожидаемой скоростью и повышают безопасность.
3. Используйте пользователей без полномочий root
Docker позволяет запускать контейнер в привилегированном режиме. Хотя это может быть более быстрый способ обойти некоторые протоколы безопасности, вы всегда должны воздерживаться от использования этой практики.
Опасность запуска привилегированного контейнера заключается в том, что он открывает дверь для потенциальной вредоносной активности. Привилегированный пользователь Docker имеет те же привилегии, что и root. Это означает, что у него есть доступ к функциям ядра и другим устройствам на хосте. Злоумышленник может войти в вашу хост-систему через контейнер и подвергнуть опасности все, что находится на ней.
Придерживаться исключительно пользователей без полномочий root просто, так как это настройки Docker по умолчанию. Чтобы изменить конфигурацию по умолчанию, вам нужно будет добавить флаг --privileged в команду docker run. Однако это серьезная угроза безопасности и не должна использоваться.
4. Ограничьте возможности
Контейнеры имеют ограниченный набор возможностей Linux. Например, они могут позволить пользователю запускать контейнер с эффективностью root, но без полных привилегий root.
Ограниченные возможности Docker являются настройками безопасности по умолчанию, и они одинаковы для каждого контейнера. Поэтому рекомендуется изменить возможности, чтобы включить только то, что необходимо. Администратор управляет ими с помощью параметров --cap-add и --cap-drop.
Самый безопасный способ настроить возможности контейнера - удалить все (используя параметр --cap-drop = ALL), а затем добавить необходимые.
5. Запретить новые привилегии
Как видно из приведенного выше примера, Docker позволяет изменять возможности и привилегии контейнеров после их запуска. Чтобы предотвратить атаки повышения привилегий, рекомендуется определить привилегии контейнера.
Чтобы запретить процессам-контейнерам получать новые привилегии, используйте флаг --security-opt со значением no-new-privileges: true. Добавление флага в команду docker run перезаписывает все правила, которые вы установили с помощью параметров --cap-add и --cap-drop.
Кроме того, вы можете удалить или отключить двоичные файлы setuid и setgid в образах. Это гарантирует, что функция не будет использоваться для обхода/инъекции пути, переполнения буфера и атак с повышением привилегий.
6. Используйте надежные образы
При извлечении образа из онлайн-реестров убедитесь, что оно из безопасного и надежного источника. Самый безопасный вариант - использовать официальный центр Docker. Избегайте общедоступных сторонних реестров, в которых отсутствуют политики контроля.
При использовании онлайн-библиотек всегда просматривайте содержимое внутри образа. Кроме того, используйте инструменты сканирования образов для поиска уязвимостей перед загрузкой чего-либо в хост-систему.
Лучше всего зайти в Docker Hub и посмотреть, сможете ли вы найти там нужный образ. Это крупнейшая в мире библиотека и сообщество Docker с более чем 100 000 образов контейнеров.
7. Держите образы и контейнеры легковесными
Сведите к минимуму поверхность атаки контейнеров Docker, используя минимальный базовый образ и уменьшив количество компонентов контейнера. Сохранение небольшого размера образа помогает предотвратить нарушения безопасности и ускоряет работу контейнера.
8. Безопасные реестры
Реестр Docker - это система доставки контента, используемая для хранения и предоставления образов для ваших контейнеров. Вы можете использовать официальный онлайн-реестр Docker или настроить частный реестр на своем хосте.
Для решения для хранения образов корпоративного уровня следует использовать доверенный реестр Docker (DTR - Docker Trusted Registry ). Вы можете установить реестр за брандмауэром, чтобы предотвратить возможные нарушения.
9. Не открывайте сокет демона Docker
Docker взаимодействует с сокетом домена UNIX, который называется /var/run/docker.sock. Это основная точка входа для Docker API. Любой, у кого есть доступ к сокету демона Docker, также имеет неограниченный root-доступ.
Разрешение пользователю писать в /var/run/docker.sock или открывать сокет контейнеру - это серьезная угроза безопасности для остальной системы. По сути, это дает ему привилегии root.
Установка сокета Docker внутри контейнера не ограничивает его привилегированным доступом внутри контейнера. Это позволяет контейнеру полностью контролировать хост и все другие контейнеры. Следовательно, это не рекомендуемая практика.
10. Отслеживайте API и сетевую активность.
API и сети играют решающую роль в безопасности Docker. Контейнеры Docker обмениваются данными через API и сети. Следовательно, чтобы избежать вторжения, архитектура должна быть настроена безопасно.
Администраторы безопасности недавно обнаружили новый тип атаки, использующий неправильно настроенные API-интерфейсы Docker. Хакеры используют плохо настроенные API-интерфейсы и сетевую безопасность, используют их для развертывания образа и запуска вредоносного контейнера в хост-системе.
Помимо безопасной настройки сетей и API, вам также необходимо отслеживать действия для выявления потенциальных аномалий.