阿里云高防ip_高防秒解服务器_快速解决-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防CDN > 阿里云高防ip_高防秒解服务器_快速解决

阿里云高防ip_高防秒解服务器_快速解决

小墨安全管家 2021-06-08 15:40 高防CDN 89 ℃
DDoS防御

阿里云高防ip_高防秒解服务器_快速解决

返回2018年7月12日分享罗伯特·布罗克尔曼Iya网络安全解决方案总经理我的媒体标语讲我在API治理、集成和身份的交叉点上工作。上个星期,我在Identiverse,一具在身份领域工作的人的聚会。于是,我当时在场。Identiverse将自个儿描述为:"人们、应用程序和设备都在向一具数字世界靠拢,在那个世界里,他们都能相互识别并相互交流。那个数字世界是建立在身份安全的基础上的,由一具具有共同愿景的人设计,从技术专家和实践者到思想首领和最后来用户。这算是身份证明。" 通常事情下,我有机遇结识了很多朋友、客户和往常的同事,德里克、凯伦、安德鲁、泰勒、汤姆,见到你们大伙儿真是太好了。我承认,DDoS防御CC防御,我花了特别多时刻在API和微服务方面,我是一具习惯的产物。最近,我有机遇为Ping Identity[Elastic Beam]博客写几篇博文。为此,我试着把我在Identiverse上看到的普通主题编成一具简短的叙述,链接到我曾发表过的其他一些帖子媒体以及其他地点。固然,2018年Identiverse公布的大新闻是Ping Identity对弹性梁的战略收购。这次收购结合了弹性梁(如今是Ping Intelligence)的API威胁检测能力和Ping identity提供的行业率先的身份堆栈。技术堆栈的结合是故意义的,有味的情况将有大概发生。2018年的主题是: OAuth2和OpenID Connect(OIDC)正在接管(假如还没有的话)。OAuth2并不完美,但它是从早期的身份协议向前迈进的一步。我们正在走向一具无密码的世界(这是由基于公钥密码(PKC)的解决方案主导的)。FIDO2标准是通向无密码世界的道路。身份认证中的一具突出咨询题是怎么以基于标准并与现有IdP范式无缝集成的方式实现集中式细粒度授权策略决策点(pdp)和分散式策略执行点(pep)。使用基于标准的安全想法这是我个人十年来的最爱之一。 只要有大概,我都提供了演示期间使用的幻灯片组的链接。2017年的幻灯片未上载到幻灯片共享.net直到会议结束后不大会儿。我会看到他们更新一次。一些作者把幻灯片上传到了不同的网站 - 感谢。 NIST的身份和访咨询治理我参加的第一次会议是凯文·斯廷的"NIST的身份和访咨询治理"。本文概述了NIST最近在身份标准领域所做的一些工作。它停留在高处,真的进入了杂草中。总的来讲,会议在我自个儿的文章中强调了标准的重要性,并使用基于标准的想法来建立应用程序安全模型。NIST公布了很多与身份相关的标准 - 数字身份指南。这其中包括SP 800–63–3,它在2016年让所有人激动不已,因为它不赞成将短信作为一种可答应的双因素身份验证(2FA)形式,NIST在那个地点对此作了进一步解释。它还包括SP 800–63b,它为密码和安全密码的构成提供了新的指导原则 - - 这些新准则的摘要能够在那个地点找到。 在Youtube上观察会话或在Slideshare上查看幻灯片。 超出API授权接下来,防DDoS,我参加了Jared Hansen介绍的"超越API授权"会议。Jared正在探究怎么将现有的OAuth2和OpenID Connect规范系列应用于细粒度授权(FGA)。他的例子集中于googledocs之类的东西的使用,以及怎么使用jsonweb令牌(JWT)中充当OAuth2访咨询令牌的访咨询群体和范围字段来在资源服务器上实现细粒度的访咨询操纵决策。这是一具必须解决的复杂咨询题。Jared专注于怎么将FGA决策转移到授权服务器。我咨询了一些对于他打算怎么捕获需要评估的授权策略的咨询题;非常是,我询咨询了XACML和ALFA。他的谈话要紧集中在界定咨询题,而不是解决办法,这是公平的。我不得不在多个部署了API网关的客户端站点处理那个咨询题。在一具点上定义、治理、评估和执行所有授权策略有些干净优雅;然而,这大概需要在请求及其运行时环境中将所有可用的信息提供给IdP,以供潜在的每个API调用使用。这大概会特别快变得低效,而且还需要向授权服务器提供比预期更多的(潜在的敏感)信息。在某种程度上,特定于应用程序的知识变得很丰富,所以将FGA逻辑放在资源服务器(API网关或API提供者)中比将其放在授权服务器中更故意义。那个地点有一具灰色区域。实际上,我接触过的大多数客户机都在令牌公布时(在授权服务器上)做出了某种类型的粗粒度授权(CGA)决策,在资源服务器上做出了额外的CGA决策和FGA决策。 在幻灯片共享上查看幻灯片。 微服务安全格局接下来,我去了Prabath Siriwardena的"微服务安全景观"。本课程探讨了爱护微服务的挑战。它覆盖了特别多地区。我写下了一些有味的观点:安全服务改变了安全状况。API网关解决了多入口点咨询题,但在安全空间中还能够做更多的工作。假设使用自包含令牌作为OAuth2访咨询令牌。此外,假设JWT是OAuth2访咨询令牌(我参加的大多数演示文稿基本上如此假设的)。使用OAuth2令牌交换来猎取下一跳所需的下游令牌。在每个微服务容器中为访咨询操纵策略使用嵌入式pdp。这些政策仍然能够集中治理。为了方便不可变的容器,但仍然可以动态更新授权策略,请将这些策略存储在内存中。使用sidecar模式实现常见的安全特性,如PDP/PEP。使用服务网格模式将所有与安全相关的组件(包括内省服务、PDP/PEP、UserInfo)与微服务一起部署在单个pod中。呼吁将JWT用于OAuth2访咨询令牌需要创建令牌撤销机制。JWT(而不是MASSL)在爱护服务器到服务器通信方面的好处是可以设置自定义声明。 在Youtube上观察会话或在Slideshare上查看幻灯片。 微服务体系结构与安全。如何做?接下来,我去了"微服务架构与安全"。如何做?"会议由Bertrand Carlier介绍。我们回忆了爱护服务(身份验证和授权)的几个选项—思量到后端服务的API网关或后端服务的前端服务。其中包括在HTTP令牌中传递信息、端到端地传输同一令牌、使用OAuth作用域以及使用令牌交换。第三个和第四个选项开始看起来像我向来在写的东西,并在最近的API相关项目中使用过。每种想法的优点和缺点都会被提出。固然,还有很多其他爱护api的想法,然而所有选项都存在同样的艰难:密钥治理来验证服务/签名令牌以及定义/维护/集中细粒度访咨询策略。报告的其余部分描述了来自Wavestone客户的几个案例研究。最终,DDoS防御,提出了一些平衡API安全设计的准则:不同的上下文将导致不同的体系结构(安全需求、自动化能力、网关与代理对微网关)。令牌传输和范围治理将满脚大多数安全需求(对大多数事情来讲脚够安全,相对容易实现)。思量其他选项来满脚附加的安全需求(服务到服务的身份验证、令牌交换或嵌套的自公布jwt)。有很多安全构建块。最要紧的艰难是没有错误地建筑它。重用组织中的现有组件。这大概具有挑战性;这不是一具技术咨询题。依照我的经验,这是一种领导的失败。 本文中描述的最终一具概念是使用嵌套的自公布jwt来描述请求为了审计目的而遍历的组件标识。我没有在博客中探究过,也没有在客户网站上使用过。我们将在将来的文章中讨论那个咨询题。 在Youtube上观察会话或在Slideshare上查看幻灯片。 威胁容忍IAM微服务体系结构接下来,我看了Rakesh Radhakrishnan介绍的"威胁容忍IAM微服务架构"。本次会议描述了毕马威去年发表的一篇论文,将IAM描述为微服务。他们看到所有要紧的IdP供应商都朝着这种模式进展。我们能够依照毕马威的POC将身份堆栈分成12到20个不同的微服务。这是模型驱动架构、领域驱动架构和IAM微服务的融合。威胁中心IA


DDoS防御

当前位置:主页 > 高防CDN > 阿里云高防ip_高防秒解服务器_快速解决

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119