远程访问资源,安全防护最重要
时间:2022-05-01 04:51:01 | 来源:行业动态
时间:2022-05-01 04:51:01 来源:行业动态
伴随疫情在全球的不断蔓延,网络攻击黑手也逐步伸向世界各国,越来越多的APT组织、黑产团伙等网络犯罪分子正在频繁地利用疫情热点来发起攻击活动,其中不乏以针对中国地区科研教育领域为主的进攻。就在三月,Akamai观察到DDoS的日均攻击量增加20%。而除了这种可以使网站瘫痪的流量型攻击外,互联网上还有相当多的应用层攻击,其中近三分之二为能够窃取数据和篡改网站的SQL注入攻击 。
疫情期间,国内绝大多数学校已采取远程模式以保证正常教学工作的进行。对于走出去的教育机构而言,分散在世界各地的教师和学生需要频繁远程访问学校的内部系统,从而完成资料查阅、作业提交、科学研究、课程选择等必要活动。一般学校和教育机构会采用VPN接入方式进行内部应用系统加密、访客身份验证和控制。从技术角度看,VPN架构是通过控制防火墙把学校的网络系统分为内、外两个部分认定内网为安全域,外网(互联网)为不安全域,从而针对访客的所有安全控制均发生在防火墙和VPN的端口开放位置。认证一经通过,任何人即可访问内网应用和数据。然而,在网络环境苦雨凄风的当下,内部人员访问设备的复杂性以及机构应用环境的复杂性为攻击者带来更多的攻击面,攻击者不仅会轻而易举地利用内部人员的远程访问漏洞,在不经意间把恶意程序注入到内网,最终造成数据泄露等安全威胁,还可对VPN服务器发起DDoS攻击,通过耗尽资源致使服务器崩溃。
针对这种情况,学校等教育机构应使用零信任网络访问模式。该模式也称为软件定义边界,相当于一位信任中间人来调和应用和用户间的连接。它在默认情况下不信任内、外网络的任何访客,而是基于身份以及诸如时间、地理位置和访问设备的属性和环境来动态授予访问权限,并根据访客身份的不同授予不同的内容访问权限,从而达到将应用程序从公众视线中移除、大幅减少攻击面的效果。此外,目前的一些零信任网络访问解决方案还支持多因子验证,诸如短信、邮箱等一次性验证码可以进一步帮助教育机构管理访客身份、记录所有访问活动。
在线咨询
