По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Девятая часть тут.
Ни одна среда передачи данных не может считаться совершенной. Если среда передачи является общей, как радиочастота (RF), существует возможность возникновения помех или даже столкновений дейтаграмм. Это когда несколько отправителей пытаются передать информацию одновременно. Результатом является искаженное сообщение, которое не может быть понято предполагаемым получателем. Даже специализированная среда, такая как подводный оптический кабель типа point-to-point (световолновой), может испытывать ошибки из—за деградации кабеля или точечных событий-даже, казалось бы, безумных событий, таких как солнечные вспышки, вызывающие излучение, которое, в свою очередь, мешает передаче данных по медному кабелю.
Существует два ключевых вопроса, на которые сетевой транспорт должен ответить в области ошибок:
Как можно обнаружить ошибки при передаче данных?
Что должна делать сеть с ошибками при передаче данных?
Далее рассматриваются некоторые из возможных ответов на эти вопросы.
Обнаружение ошибок
Первый шаг в работе с ошибками, независимо от того, вызваны ли они отказом носителя передачи, повреждением памяти в коммутационном устройстве вдоль пути или любой другой причиной, заключается в обнаружении ошибки. Проблема, конечно, в том, что когда получатель изучает данные, которые он получает, нет ничего, с чем можно было бы сравнить эти данные, чтобы обнаружить ошибку.
Проверка четности — это самый простой механизм обнаружения. Существуют два взаимодополняющих алгоритма проверки четности. При четной проверке четности к каждому блоку данных добавляется один дополнительный бит. Если сумма битов в блоке данных четная—то есть если в блоке данных имеется четное число битов 1, то дополнительный бит устанавливается равным 0. Это сохраняет четное состояние четности блока. Если сумма битов нечетна, то дополнительный бит устанавливается равным 1, что переводит весь блок в состояние четной четности. Нечетная четность использует ту же самую дополнительную битную стратегию, но она требует, чтобы блок имел нечетную четность (нечетное число 1 бит). В качестве примера вычислите четную и нечетную четность для этих четырех октетов данных:
00110011 00111000 00110101 00110001
Простой подсчет цифр показывает, что в этих данных есть 14 «1» и 18 «0». Чтобы обеспечить обнаружение ошибок с помощью проверки четности, вы добавляете один бит к данным, либо делая общее число «1» в недавно увеличенном наборе битов четным для четной четности, либо нечетным для нечетной четности. Например, если вы хотите добавить четный бит четности в этом случае, дополнительный бит должен быть установлен в «0». Это происходит потому, что число «1» уже является четным числом. Установка дополнительного бита четности на «0» не добавит еще один «1» и, следовательно, не изменит, является ли общее число «1» четным или нечетным. Таким образом, для четной четности конечный набор битов равен:
00110011 00111000 00110101 00110001 0
С другой стороны, если вы хотите добавить один бит нечетной четности к этому набору битов, вам нужно будет сделать дополнительный бит четности «1», так что теперь есть 15 «1», а не 14. Для нечетной четности конечный набор битов равен:
00110011 00111000 00110101 00110001 1
Чтобы проверить, были ли данные повреждены или изменены при передаче, получатель может просто отметить, используется ли четная или нечетная четность, добавить число «1» и отбросить бит четности. Если число «1» не соответствует используемому виду четности (четное или нечетное), данные повреждены; в противном случае данные кажутся такими же, как и первоначально переданные.
Этот новый бит, конечно, передается вместе с оригинальными битами. Что произойдет, если сам бит четности каким-то образом поврежден? Это на самом деле нормально - предположим, что даже проверка четности на месте, и передатчик посылает
00110011 00111000 00110101 00110001 0
Приемник, однако, получает
00110011 00111000 00110101 00110001 1
Сам бит четности был изменен с 0 на 1. Приемник будет считать «1», определяя, что их 15. Поскольку даже проверка четности используется, полученные данные будут помечены как имеющие ошибку, даже если это не так. Проверка на четность потенциально слишком чувствительна к сбоям, но в случае обнаружения ошибок лучше ошибиться в начале.
Есть одна проблема с проверкой четности: она может обнаружить только один бит в передаваемом сигнале. Например, если даже четность используется, и передатчик отправляет
00110011 00111000 00110101 00110001 0
Приемник, однако, получает
00110010 00111000 00110101 00110000 0
Приемник подсчитает число «1» и обнаружит, что оно равно 12. Поскольку система использует четную четность, приемник будет считать данные правильными и обработает их в обычном режиме. Однако оба бита, выделенные жирным шрифтом, были повреждены. Если изменяется четное число битов в любой комбинации, проверка четности не может обнаружить изменение; только когда изменение включает нечетное число битов, проверка четности может обнаружить изменение данных.
Циклическая проверка избыточности (Cyclic Redundancy Check - CRC) может обнаруживать более широкий диапазон изменений в передаваемых данных, используя деление (а не сложение) в циклах по всему набору данных, по одной небольшой части за раз. Работа с примером - лучший способ понять, как рассчитывается CRC. Расчет CRC начинается с полинома, как показано на рисунке 1.
На рис. 1 трехчленный многочлен x3 + x2 + 1 расширен, чтобы включить все члены, включая члены, предшествующие 0 (и, следовательно, не влияют на результат вычисления независимо от значения x). Затем эти четыре коэффициента используются в качестве двоичного калькулятора, который будет использоваться для вычисления CRC.
Чтобы выполнить CRC, начните с исходного двоичного набора данных и добавьте три дополнительных бита (поскольку исходный полином без коэффициентов имеет три члена; следовательно, это называется трехбитной проверкой CRC), как показано здесь:
10110011 00111001 (оригинальные данные)
10110011 00111001 000 (с добавленными битами CRC)
Эти три бита необходимы для обеспечения того, чтобы все биты в исходных данных были включены в CRC; поскольку CRC перемещается слева направо по исходным данным, последние биты в исходных данных будут включены только в том случае, если эти заполняющие биты включены. Теперь начните с четырех битов слева (потому что четыре коэффициента представлены в виде четырех битов). Используйте операцию Exclusive OR (XOR) для сравнения крайних левых битов с битами CRC и сохраните результат, как показано здесь:
10110011 00111001 000 (дополненные данные)
1101 (Контрольные биты CRC)
----
01100011 00111001 000 (результат XOR)
XOR'инг двух двоичных цифр приводит к 0, если эти две цифры совпадают, и 1, если они не совпадают. Контрольные биты, называемые делителем, перемещаются на один бит вправо (некоторые шаги здесь можно пропустить), и операция повторяется до тех пор, пока не будет достигнут конец числа:
10110011 00111001 000
1101
01100011 00111001 000
1101
00001011 00111001 000
1101
00000110 00111001 000
110 1
00000000 10111001 000
1101
00000000 01101001 000
1101
00000000 00000001 000
1 101
00000000 00000000 101
CRC находится в последних трех битах, которые были первоначально добавлены в качестве заполнения; это "остаток" процесса разделения перемещения по исходным данным плюс исходное заполнение. Получателю несложно определить, были ли данные изменены, оставив биты CRC на месте (в данном случае 101) и используя исходный делитель поперек данных, как показано здесь:
10110011 00111001 101
1101
01100011 00111001 101
1101
00001011 00111001 101
1101
00000110 00111001 101
110 1
00000000 10111001 101
1101
00000000 01101001 101
1101
00000000 00000001 101
1 101
00000000 00000000 000
Если данные не были изменены, то результат этой операции всегда должен быть равен 0. Если бит был изменен, результат не будет равен 0, как показано здесь:
10110011 00111000 000
1101
01100011 00111000 000
1101
00001011 00111000 000
1101
00000110 00111000 000
110 1
00000000 10111000 000
1101
00000000 01101000 000
1101
00000000 00000000 000
1 101
00000000 00000001 000
CRC может показаться сложной операцией, но она играет на сильных сторонах компьютера—бинарных операциях конечной длины. Если длина CRC задается такой же, как у стандартного небольшого регистра в обычных процессорах, скажем, восемь бит, вычисление CRC-это довольно простой и быстрый процесс. Проверка CRC имеет то преимущество, что она устойчива к многобитовым изменениям, в отличие от проверки четности, описанной ранее.
Исправление ошибок
Однако обнаружение ошибки — это только половина проблемы. Как только ошибка обнаружена, что должна делать транспортная система? Есть, по существу, три варианта.
Транспортная система может просто выбросить данные. В этом случае транспорт фактически переносит ответственность за ошибки на протоколы более высокого уровня или, возможно, само приложение. Поскольку некоторым приложениям может потребоваться полный набор данных без ошибок (например, система передачи файлов или финансовая транзакция), у них, вероятно, будет какой-то способ обнаружить любые пропущенные данные и повторно передать их. Приложения, которые не заботятся о небольших объемах отсутствующих данных (например, о голосовом потоке), могут просто игнорировать отсутствующие данные, восстанавливая информацию в приемнике, насколько это возможно, с учетом отсутствующей информации.
Транспортная система может подать сигнал передатчику, что произошла ошибка, и позволить передатчику решить, что делать с этой информацией (как правило, данные при ошибке будут повторно переданы).
Транспортная система может выйти за рамки отбрасывания данных, включив достаточное количество информации в исходную передачу, определить, где находится ошибка, и попытаться исправить ее. Это называется Прямой коррекцией ошибок (Forward Error Correction - FEC). Коды Хэмминга, один из первых разработанных механизмов FEC, также является одним из самых простых для объяснения.
Код Хэмминга лучше всего объяснить на примере - для иллюстрации будет использована таблица 1.
В Таблице № 1:
Каждый бит в 12-битном пространстве, представляющий собой степень двух (1, 2, 4, 6, 8 и т. д.) и первый бит, устанавливается в качестве битов четности.
8-битное число, которое должно быть защищено с помощью FEC, 10110011, распределено по оставшимся битам в 12-битном пространстве.
Каждый бит четности устанавливается равным 0, а затем четность вычисляется для каждого бита четности путем добавления числа «1» в позиции, где двоичный бит имеет тот же бит, что и бит четности. В частности:
P1 имеет набор крайних правых битов в своем битовом номере; другие биты в числовом пространстве, которые также имеют набор крайних правых битов, включены в расчет четности (см. вторую строку таблицы, чтобы найти все позиции битов в номере с набором крайних правых битов). Они указаны в таблице с X в строке P1. Общее число «1»-нечетное число, 3, поэтому бит P1 устанавливается равным 1 (в этом примере используется четная четность).
P2 имеет второй бит из правого набора; другие биты в числовом пространстве, которые имеют второй из правого набора битов, включены в расчет четности, как указано с помощью X в строке P2 таблицы. Общее число «1»-четное число, 4, поэтому бит P2 установлен в 0.
P4 имеет третий бит из правого набора, поэтому другие биты, которые имеют третий бит из правого набора, имеют свои номера позиций, как указано с помощью X в строке P3. В отмеченных столбцах есть нечетное число «1», поэтому бит четности P4 установлен на 1.
Чтобы определить, изменилась ли какая-либо информация, получатель может проверить биты четности таким же образом, как их вычислял отправитель; общее число 1s в любом наборе должно быть четным числом, включая бит четности. Если один из битов данных был перевернут, приемник никогда не должен найти ни одной ошибки четности, потому что каждая из битовых позиций в данных покрыта несколькими битами четности. Чтобы определить, какой бит данных является неправильным, приемник добавляет позиции битов четности, которые находятся в ошибке; результатом является положение бита, которое было перевернуто. Например, если бит в позиции 9, который является пятым битом данных, перевернут, то биты четности P1 и P8 будут ошибочными. В этом случае 8 + 1 = 9, так что бит в позиции 9 находится в ошибке, и его переворачивание исправит данные. Если один бит четности находится в ошибке—например, P1 или P8—то это тот бит четности, который был перевернут, и сами данные верны.
В то время как код Хэмминга гениален, есть много битовых шаблонов-перевертышей, которые он не может обнаружить. Более современный код, такой как Reed-Solomon, может обнаруживать и исправлять более широкий диапазон условий ошибки, добавляя меньше дополнительной информации в поток данных.
Существует большое количество различных видов CRC и кодов исправления ошибок, используемых во всем мире связи. Проверки CRC классифицируются по количеству битов, используемых в проверке (количество битов заполнения или, точнее, длины полинома), а в некоторых случаях - по конкретному применению. Например, универсальная последовательная шина использует 5-битный CRC (CRC-5-USB); Глобальная система мобильной связи (GSM), широко используемый стандарт сотовой связи, использует CRC-3-GSM; Мультидоступ с кодовым разделением каналов (CDMA), другой широко используемый стандарт сотовой связи, использует CRC-6-CDMA2000A, CRC-6-CDMA2000B и CRC-30; и некоторые автомобильные сети (CAN), используемые для соединения различных компонентов в автомобиле, используют CRC-17-CAN и CRC-21-CAN. Некоторые из этих различных функций CRC являются не единственной функцией, а скорее классом или семейством функций со многими различными кодами и опциями внутри них.
Облачная инфраструктура обладает такими преимуществами, как гибкость, масштабируемость, высокая производительность и доступность. После подписки на такую услугу, как Google Cloud Platform (GCP), вам не придется беспокоиться о высоких капитальных затратах и затратах на обслуживание эквивалентного собственного центра обработки данных и связанной с ним инфраструктуры. Однако традиционные методы обеспечения безопасности физической инфраструктуры не обеспечивают достаточной и оперативной безопасности для виртуальных сред.
В отличие от собственного центра обработки данных, в котором защита периметра обеспечивает защиту всей установки и ресурсов, природа облачной среды с различными технологиями и местоположениями требует иного подхода. Обычно децентрализованный и динамический характер облачной среды приводит к увеличению поверхности атаки.
В частности, неправильные настройки на облачных платформах и компонентах открывают доступ к ресурсам, увеличивая скрытые риски безопасности. Иногда разработчики могут открыть хранилище данных при разработке программного обеспечения, но затем оставить его открытым при выпуске приложения на рынок.
Таким образом, в дополнение к передовым практикам в области безопасности необходимо обеспечить правильную конфигурацию, а также возможность обеспечения непрерывного мониторинга, видимости и соответствия нормативным требованиям.
Именно для таких целей существует несколько инструментов, помогающих повысить безопасность за счет обнаружения и предотвращения неправильных настроек, обеспечения видимости состояния безопасности GCP, а также выявления и устранения других уязвимостей.
1. Google Cloud SCC
Google Cloud SCC - это интегрированная система анализа рисков и инструментальной панели, которая позволяет клиентам GCP мониторить состояние безопасности своей инфрастурктуры и предпринять корректирующие действия для защиты облачных ресурсов и активов из единого окна.
Cloud SCC (Security Command Center) обеспечивает видимость ресурсов, работающих в облачной среде Google, а также неправильных настроек представляющих риск взлома, что позволяет командам снизить угроз. Кроме того, комплексный инструмент управления безопасностью и рисками данных помогает клиентам GCP применять передовые практики безопасности.
Базовый командный центр состоит из нескольких средств безопасности от Google. Однако это гибкая платформа, которая интегрируется с широким спектром сторонних инструментов для повышения безопасности и расширения охвата с точки зрения компонентов, рисков и практик.
Основные возможности Google Cloud SCC
Обнаружение и устранение неправильно настроенных, таких как брандмауэры, правила IAM и т.д.
Обнаружение, реагирование и предотвращение угроз и проблем соответствия нормативным требованиям
Выявление большинства уязвимостей вроде смешанного содержимого, флэш-инъекции и многих других, позволяя при этом легко исследовать результаты.
Определение общедоступных ресурсов, таких как виртуальные машины, экземпляры SQL, сегменты, наборы данных и т.д.
Обнаружение и инвентаризация активов, выявление уязвимостей, конфиденциальных данных и аномалий,
Интегрируется со сторонними инструментами для улучшения идентификации и адресации скомпрометированных конечных точек, сетевых атак, DDoS, нарушений политик и нормативно-правового соответствия, уязвимостей и угроз.
Как правило, центр управления безопасностью представляет собой гибкое решение, отвечающее потребностям каждой организации. Инструмент интегрируется с различными инструментами безопасности Google, такими как Cloud Data Loss Prevention, Web Security Scanner, а также с решениями сторонних производителей, такими как McAfee, Qualys, CloudGuard и другими.
2. Forseti
Forseti - это решение с открытым исходным кодом, который помогает получить представление о вашей среде GCP, устранить уязвимости, а также отслеживать и понимать политики и соответствие нормативным требованиям. Он состоит из различных базовых модулей, которые можно легко включать, настраивать и выполнять независимо.
Существует также несколько дополнительных модулей для расширения возможностей и настройки Forseti.
Основные возможности Forseti
Отслеживает ресурсы GCP, на наличие правильно настроенных функций безопасности, вроде контроля доступа и защищает их от несанкционированных изменений.
Выполняет инвентаризацию ресурсов и отслеживает среду GCP.
Разработка и применение политик и правил безопасности и межсетевого экрана
Оценка параметров на соответствие требованиям и отсутствие утечек и лишних доступов к ресурсам GCP.
Исследование политик Cloud Identity and Access Management (Cloud IAM), а также уровня доступов пользователей к ресурсам.
Имеет визуализатор, который помогает понять структуру безопасности GCP, а также выявить несоблюдение политик и нарушения.
3. Cloud Guard
CloudGuard - это облачное безагентное решение для обеспечения безопасности, которое оценивает и визуализирует состояние безопасности платформы GPC, тем самым позволяя группам защитить свои облачные ресурсы и среду. Решение анализирует различные ресурсы, включая вычислительный механизм, базы данных, виртуальные машины и другие службы, а также сетевые брандмауэры и многое другое.
Основные возможности Cloud Guard
Непрерывный мониторинг политик и событий безопасности, обнаружение изменений и проверку соответствия требованиям.
Выявление и устранение неправильных настроек, а также уязвимостей и связанных с ними угроз безопасности.
Укрепление безопасности и обеспечение соответствия нормативам и передовым практикам.
Мощная визуализация и безопасность сетевых ресурсов GCP
Легко интегрируется с GCP, а также с другими общедоступными облаками, такими как веб-службы Amazon и Microsoft Azure.
Применение политик управления, которые удовлетворяют уникальные потребности организации в безопасности.
4. Cloudsploit
Cloudsploit - это мощное решение, которое проверяет и автоматически обнаруживает проблемы конфигурации безопасности в Google Cloud Platform, а также в других общедоступных облачных сервисах, таких как Azure, AWS, Github и Oracle.
Решение безопасности подключается к проектам GCP, где обеспечивает мониторинг различных компонентов. Оно обеспечивает обнаружение неправильных настроек безопасности, вредоносных действий, незащищенных активов и других уязвимостей.
Особенности Cloudsploit
Простое развертывание и использование решения для мониторинга конфигурации безопасности с функцией оповещения
Быстрое и надежное сканирование точек и создание отчетов
Дает представление о состоянии безопасности и нормативно-правовом соответствии
Проверяет системы при анализе привилегий, ролей, сетей, сертификатов, тенденций использования, аутентификации и различных конфигураций.
Предоставляет обзоры уровня счета, которые позволяют просматривать и легко определять тенденции и относительные уровни риска с течением времени.
Конструкция на основе API, которая упрощает интеграцию инструмента с различными панелями мониторинга CISO и другими системами отчетности.
5. Prisma Cloud
Prisma cloud - интегрированное облачное решение, обеспечивающее надлежащее внедрение и поддержку безопасности и соответствия требованиям GCP-среды, приложений и ресурсов.
Комплексный инструмент имеет API-интерфейсы, которые легко интегрируются со службой GCP, обеспечивая непрерывную аналитику, защиту и отчетность в дополнение к обеспечению соответствия нормативным требованиям.
Особенности Prisma Cloud
Комплексное масштабируемое решение для обеспечения безопасности на основе API, обеспечивающее анализ, непрерывный мониторинг, обнаружение угроз и быстрое реагирование.
Полная видимость, позволяющая выявлять и устранять неправильные конфигурации, уязвимости рабочей нагрузки, сетевые угрозы, утечку данных, небезопасные действия пользователей и многое другое
Защищает рабочие нагрузки, контейнеры и приложения, работающие на облачной платформе Google.
Настраиваемое применение политик безопасности на основе приложений, пользователей или устройств.
Простое применение политик управления и соблюдение широкого спектра стандартов, включая, в частности, NIST, CIS (Центр интернет-безопасности), GDPR, HIPAA и PCI.
6. Cloud Custodian
Cloud custodian - это система правил с открытым исходным кодом, гибкая и легкая система управления облачной безопасностью и доступами. Решение позволяет безопасно управлять учетными записями и ресурсами GCP. В дополнение к безопасности интегрированное решение помогает оптимизировать затраты, управляя использованием ресурсов, что позволяет экономить средства.
Особенности Cloud Custodian
Обеспечение соблюдения политик безопасности и соответствия нормативным требованиям в реальном времени в таких областях, как управление доступом, правила межсетевого экрана, шифрование, теги, сбор мусора, автоматизированное управление ресурсами в нерабочее время и т.д.
Предоставляет унифицированные метрики и отчеты
Легко интегрируется с функциями Google Cloud Platform
Автоматическое предоставление GCP AuditLog и других функций без сервера.
7. McAfee MVISION
McAfee MVISION - это решение для обеспечения безопасности, которое интегрируется с Google Cloud SCC и позволяет командам получать информацию о состоянии безопасности ресурсов GCP, обнаруживать и устранять уязвимости и угрозы.
Кроме того, "облачное" решение обеспечивает аудит конфигурации, который позволяет группам безопасности выявлять скрытые риски и устранять их. Данный продукт имеет механизмы облачной политики, которые улучшают запросы GCP, что позволяет находить широкий спектр неправильных настроек безопасности в различных службах GCP.
Особенности McAfee MVISION
Предоставляет информацию, которая помогает группам выявлять и устранять проблемы безопасности и несоответствия нормативным требованиям.
Повышает эффективность и охват аудита конфигураций для обнаружения скрытых уязвимостей, что позволяет командам применять передовые практики.
Обеспечивает видимость, чтобы предоставить командам возможность расследовать инциденты, аномалии, нарушения и угрозы безопасности, что позволяет быстро выполнять действия по устранению неполадок в командном центре облачной безопасности.
Уведомления об угрозах безопасности или нарушениях политики.
Визуализация уязвимостей и угроз на панелях мониторинга Google Cloud SCC.
8. Netskope
Netskope позволяет быстро выявлять и устранять проблемы безопасности, угрозы и неправильные настройки, которые подвергают цифровые ресурсы угрозам атак.
В дополнение к GSCC в защите вычислительных экземпляров, объектного хранилища, баз данных и других ресурсов, Netskope углубляется и расширяется, чтобы получить представление о неправильных конфигурациях, расширенных угрозах и рисках.
Особенности Netskope
Предоставляет информацию об угрозах, уязвимостях, неправильных конфигурациях и нормативно-правовом несоответствии на облачной платформе Google в режиме реального времени.
Выявление и устранение любых уязвимостей, неправильных настроек, несоответствий нормативным требованиям и угроз безопасности.
Постоянно отслеживает настройки безопасности и проверяет их на соответствие передовым практикам. Выявляет проблемы и обеспечивает соблюдения стандартов на основе передовых практики и контрольных показателей CIS.
Отчетность по соответствию нормативным требованиям - выполняет инвентаризацию ресурсов GCP для определения и сообщения о неправильных конфигурациях и аномалиях.
9. Tripwire
Tripwire Cloud Cybersecurity - это комплексное решение, которое позволяет организациям внедрять эффективные конфигурации безопасности и средства управления, предотвращая тем самым раскрытие своих цифровых ресурсов. Она сочетает в себе функции управления конфигурациями, оценки управления облаком (CMA) и мониторинга целостности файлов для определения общедоступных ресурсов и данных в GCP.
Ключевые функции Tripwire
Обнаружение и обращение к общедоступным хранилищам GCP или экземплярам для обеспечения надлежащей конфигурации и безопасности данных.
Собирает, анализирует, а затем оценивает данные конфигурации GCP, что позволяет выявлять и устранять неправильные конфигурации.
Мониторинг изменений конфигурации, которые ставят под угрозу облако GCP или открывают ресурсы
Оценщик управления облаком Tripwire отслеживает работу облачной платформы Google Cloud Platform на предмет неправильных настроек, при которых она предупреждает группы безопасности о необходимости исправления.
10. Scout Suite
Scout Suite - инструмент аудита безопасности с открытым исходным кодом для GCP и других общедоступных облаков. Она позволяет группам безопасности оценивать состояние безопасности в средах GCP, выявлять неправильную конфигурацию и другие уязвимости.
Инструмент проверки конфигурации Scout Suite легко взаимодействует с API, которые предоставляет Google, для сбора и анализа данных о состоянии безопасности. Затем она выделяет все обнаруженные уязвимости.
11. Aqua Security
Aqua Security - это платформа, которая предоставляет организациям визуальное представление о GCP и других AWS, Oracle Cloud, Azure. Она упрощает обеспечение соответствия политикам и нормативам.
Aqua интегрируется с Cloud Security Command Center компании Google, другими решениями сторонних производителей, а также инструментами анализа и мониторинга. Это обеспечивает возможность просмотра и управления безопасностью, политиками и соответствием нормативным требованиям буквально через один центр.
Особенности Aqua Security
Сканирование образов, выявление и устранение неправильных настроек, вредоносных программ и уязвимостей
Обеспечение целостности образов в течение всего жизненного цикла приложения
Определение и обеспечение соблюдения привилегий и стандартов соответствия, таких как PCI, GDPR, HIPAA и т.д.
Обеспечивает расширенные меры по обнаружению угроз и их устранению для рабочих нагрузок контейнеров GCP.
Создание и применение политик безопасности на образы для предотвращения запуска скомпрометированных, уязвимых или неправильно настроенных образов в среде Google Kubernetes Engine
Платформа логирует все действия создавая аудиторскую траекторию для криминалистики.
Он обеспечивает непрерывное сканирование параметров для поиска уязвимостей и аномалий.
12. GCPBucketBrute
GCPBucketBrute - это настраиваемое и эффективное решение защиты с открытым исходным кодом для обнаружения открытых или неправильно настроенных сегментов Google Storage. Как правило, это сценарий, который перечисляет сегменты хранилища Google, чтобы установить наличие небезопасной конфигурации и эскалации привилегий.
Особенности GCPBucketBrute
Обнаруживает открытые сегменты GCP, а также опасные эскалации привилегий на запущенных экземплярах на платформе.
Проверяет привилегии в каждом обнаруженном сегменте и определяет, если ли риск несанкционированного повышения привилегий.
Подходит для тестирования на проникновение облачной инфраструктуры Google, участия красной команды и многого другого.
13. Cloud Security Suit
Security FTW Cloud Security Suite является еще одним открытым источником для аудита состояния безопасности инфраструктуры GCP. Решении "все в одном" позволяет проверять конфигурации и безопасность учетных записей GCP и выявлять широкий спектр уязвимостей.
Заключение
Облачная платформа Google предоставляет гибкую и масштабируемую ИТ-инфраструктуру. Однако, как и в других облачных средах, они могут иметь уязвимости, если не настроены должным образом, и злоумышленники могут использовать их для компрометации систем, кражи данных, заражения вредоносными программами или совершения других кибератак.
К счастью, компании могут защитить свои среды GCP, следуя передовым практикам обеспечения безопасности и используя надежные инструменты для непрерывной защиты, мониторинга и обеспечения видимости конфигураций и общего состояния безопасности.
Зачастую можно столкнуться с задачами, когда необходимо обеспечить доступ к внутренним корпоративным (или домашним) ресурсам из Интернета. В этом случае, нужно выполнить, так называемый "проброс портов". Что это такое, зачем это нужно и как настраивать на примере роутера Mikrotik 951Ui-2HnD – расскажем в данной статье.
/p>
Как это работает?
Давайте представим себе следующую ситуацию – у нас есть корпоративная сеть, в которой пока ещё локально разворачивается сервер IP-телефонии на базе Asterisk, управляется он при помощи графической оболочки FreePBX. Задача состоит в том, чтобы предоставить возможность администратору сервера управлять им из Интернета.
Итак, имеем следующую схему:
Для начала остановимся на понятии “проброс порта”. Проброс порта – это функционал маршрутизаторов, поддерживающих NAT, который позволяет получить доступ к ресурсам локальной сети, из Интернета по средствам перенаправления трафика определенных портов с внешнего адреса маршрутизатора на внутренний адрес хоста в локальной сети.
Иными словами, мы должны настроить на роутере правило, в котором при поступлении TCP запроса на внешний адрес, в данном случае 35.135.235.15 и определенный порт, например 23535, открывался бы доступ к интерфейсу FreePBX, который в данным момент доступен только в локальной сети по адресу 192.168.1.100 и, соответственно на порту 80 (HTTP).
Настройка
Перейдём к настройке. Заходим на адрес нашего роутера Mikrotik 951Ui-2HnD, видим следующее окно:
Скачиваем приложение WinBox. Вводим учётные данные и подключаемся. По умолчанию логин - admin, пароль - пустой. Если у вас уже настроены логин и пароль, то укажите их.
Далее необходимо создать NAT – правило. Для этого переходим по следующему пути – на панели управления слева выбираем IP → Firewall → NAT
Открывается следующее окно:
Нажимаем на +, открывается страница добавления нового NAT- правила.
Задаём следующие параметры:
Chain → dstnat - направление запроса из внешней сети во внутреннюю.
Protocol → tcp, поскольку в нашем случае нужно предоставить доступ к HTTP страничке.
Dst.Port → 23535 - это тот самый порт назначения, на который будет отправлять запрос из вне на получение доступа к FreePBX.
In.Interface → all ethernet - входной интерфейс. Это интерфейс, которым роутер смотрит в Интернет и на котором он будет прослушивать указанный выше порт.
Должно получиться вот так:
На вкладках Advanced и Extra настраиваются расширенные опции, такие как лимит по битрейту, политика IPsec, время, в течение которого правило будет активно и так далее.
Переходим на вкладку Action и объясняем роутеру, какие действия он должен выполнить при поступлении запроса на указанный порт. Выбираем Action → netmap, то есть трансляция с одного адреса на другой. To Addresses → 192.168.1.100, то есть адрес нашёго FreePBX. И последнее - To Ports → 80, то есть запрос на HTTP порт.
Должно получиться так:
Далее нажимаем OK и правило готово. Теперь если вбить в адресной строке браузера сокет 35.135.235.15:23535 то мы попадем на страницу авторизации FreePBX.