هسته امنیت صفر اعتماد

انفجار در کار از راه دور که به دنبال همه گیری COVID-19 انجام شد ، مدل های شرکت را از مرکز اصلی شعبه دفتر به دفاتر کمی کارمند و کارمندان بسیار گسترده تبدیل کرده است. این به نوبه خود تمرکز خود را از شبکه ها و فناوری های توزیع شده مانند SD-WAN به لبه شبکه منتقل کرده است و به فناوری هایی مانند امنیت اعتماد صفر و تقسیم بندی خرد منجر شده است.

نرم افزار- امنیت تعریف شده با ریز تقسیم بندی

ریز تقسیم بندی از فناوری مجازی سازی برای ایجاد مناطق امن به طور فزاینده دانه در شبکه ها استفاده می کند. با استفاده از سیاست های امنیتی ریز ریز ، تقسیم خرد ، امنیت را از شبکه ها و آدرس های IP دور می کند و امنیت را بر اساس هویت کاربر و برنامه های کاربردی قرار می دهد – کاربران فقط از دسترسی لازم برخوردار می شوند و از ایجاد ترافیک جانبی در شبکه جلوگیری می کنند. این یک فن آوری اصلی برای اعتماد صفر است ، این ایده است که به هیچ کس نباید اعتماد کرد یا بیش از آنچه نیاز است دسترسی داشت.

مزایای ریز تقسیم بندی

ریز تقسیم بندی چندین مزیت را به سازمان ها ارائه می دهد:

  • سطح حمله کاهش یافته: [19659013] تقسیم خرد توانایی مهاجم را در حرکت جانبی از طریق شبکه محدود می کند و در نهایت سطح حمله بالقوه را کاهش می دهد. . اما ریز تقسیم بندی می تواند زمان تهدید و پاسخ تهدید را به شدت بهبود بخشد. هنگامی که تخلفات خط مشی شناسایی می شود ، ابزارهای ریز تقسیم بندی می توانند هشدارهایی در زمان واقعی ایجاد کرده و حتی فعالیت های غیر مجاز را مسدود کنند. ایجاد بخشهایی که به طور خاص داده های تنظیم شده را ذخیره می کنند. سپس می توان سیاست های متمرکز بر انطباق را برای این بخشها ایجاد کرد. این امر همچنین فرآیند حسابرسی را بسیار ساده می کند.

مشکل با تکنیک های امنیتی سنتی

ابزارهای امنیتی سنتی ، مانند دیوارهای آتش ، VPN ها و کنترل دسترسی شبکه ( NAC) محدودیت های خود را دارند زیرا آنها در درجه اول بر امنیت محیط شبکه تمرکز می کنند. تیم های امنیتی از نظر تاریخی بزرگترین تهدیدها حمله از خارج از شبکه بودند. اما این رویکرد تهدیدات داخلی را نادیده گرفت – و خسارتی که ممکن است هکرها در نهایت وارد شبکه شوند.

پیچیده شدن تصویر امنیتی شبکه ، افزایش فعالیت در لبه شبکه است ، که همچنین نیاز به رویکردهای جدید در زمینه امنیت است. ، به طور کلی تحت اصطلاح edge edge با هم جمع می شوند. همه این تحولات در شبکه نیاز به رویکردهای جدیدی در زمینه امنیت دارد و مفهوم بنیادی آن اعتماد صفر است.

تأیید اعتبار کاربران و دستگاه های دارای امنیت اعتماد صفر

چارچوب اعتماد صفر به فلسفه "اعتماد به هیچ چیز و تأیید همه چیز" متکی است " این بدان معناست که سازمانها باید قبل از اجازه دسترسی به هرگونه برنامه یا داده ذخیره شده ، به تک کاربر و دستگاهی که از طریق داخلی یا خارجی به شبکه متصل هستند احراز هویت و مجوز دهند. این روش دسترسی به حداقل امتیاز تشخیص می دهد که اعتماد آسیب پذیر است.

اگر یک بازیگر مخرب به شبکه دسترسی پیدا کند ، ابزارهای امنیتی متمرکز بر محیط نمی توانند مانع از حرکت جانبی آنها از طریق شبکه شوند و به آنها امکان دسترسی به برنامه ها و داده ها را می دهند. . اعتماد صفر دسترسی به همه برنامه ها و محیط های شبکه را تضمین می کند.

بنابراین چگونه تیم های امنیتی می توانند تعداد زیادی از کاربران و دستگاه هایی را که در سراسر شبکه سفر می کنند ، احراز هویت کنند؟ یکی از کلیدها ایجاد بخشهای تعریف شده توسط نرم افزار و تعریف سیاستهای امنیتی برای آنها در سطح دانه ای با استفاده از ریز تقسیم بندی است.

جداسازی شبکه ها و بارهای کاری با تقسیم بندی خرد

از نظر تاریخی ، سازمان ها از تقسیم بندی شبکه برای امنیت استفاده می کردند که این یک روش برای ایجاد زیر -در یک محیط مبتنی بر سخت افزار شبکه می شود. این بخشهای شبکه با استفاده از ابزارهای سنتی و متمرکز بر پارامترها ، مانند VPN یا فایروال ها ، برای تأمین امنیت شمال به جنوب ساخته شده اند.

تقسیم بندی خرد ، از ترافیک شرق به غرب ، یا جانبی محافظت می کند. این شامل اتصالات سرور به سرور ، برنامه به سرور و وب به سرور در داخل شبکه است. با ایجاد بخشهای امنیتی برای بارهای فردی با کنترلهای سیاست دانه بندی ، خردبخشی کنترل کاملی بر میزان ترافیک درون و بین بخشهای تعریف شده توسط نرم افزار فراهم می کند. به عنوان دیوارها و خندق های اطراف قلعه شبکه شما. ریز تقسیم بندی به عنوان محافظانی محافظت می کند که از هر در و مسیر داخل دیوارهای قلعه محافظت می کند.

مشکلات تقسیم شبکه

تئوری تقسیم بندی شبکه کاملاً با اعتماد صفر در تضاد است ، زیرا فقط مربوط به اجازه دسترسی اولیه به شبکه. این بدان معناست که به محض دسترسی اتصال ، می توان به راحتی در سراسر شبکه رفت و آمد کرد. نشان داده شده است که این اعتماد منجر به نقض امنیت می شود که می تواند بخشهای جانبی را آلوده کند. برای دستیابی به برخی از محافظت های جانبی از ترافیک ، بخشهای تعریف شده توسط نرم افزار در شبکههای ترکیبی و ابری مدرن به هزاران سیاست درشت برای هر بخش نیاز دارند. این امر به مراتب بیش از آن است که بتوان مدیریت جدیدی کرد زیرا منابع جدید و کاربران به طور مداوم به شبکه اضافه می شوند.

عدم وجود سیاست های جامع و دقیق برای محافظت از ترافیک جانبی ، مسئله ویژه ای در مورد تهدیدهای مداوم پیشرفته است (APT ها) . در این موارد ، مهاجمان از اعتبار سرقتی برای دسترسی به شبکه استفاده می کنند. بدون وجود یک چارچوب اعتماد صفر ، مهاجمان می توانند برای مدت زمان طولانی در یک شبکه شناسایی نشده پیمایش کنند ، از سیستم سازمان نقشه برداری کرده و بدافزار بسیار سفارشی را برای برداشت داده های حساس ایجاد کنند. اعتماد صفر و تقسیم خرد کلیدی برای جلوگیری از سفر آشکار APT ها در سراسر شبکه است.

کاهش سطح حمله با اعتماد صفر و تقسیم خرد با محدود کردن حرکت از یک بار کاری که به طور بالقوه به خطر بیفتد ، از یک شبکه استفاده کند. پس از تقسیم بندی ، می توان سیاست های امنیتی ریز ریز را برای بارهای کاری اعمال کرد ، تا جایی که به ماشین های تک یا برنامه های کاربردی محدود می شود. این سیاست ها را می توان با توجه به ساختارهای دنیای واقعی ، مانند گروه های کاربر ، گروه های دسترسی و گروه های شبکه تعریف کرد و می توان آن را در چندین برنامه یا دستگاه اعمال کرد.

نحوه اختصاص سیاست ها

در سطح دستگاه ، سیاست ها می توانند برای اختصاص محدودیت های خاص به دستگاهها بر اساس عملکرد آنها مورد استفاده قرار می گیرد ، بنابراین فقط دستگاههایی که نیاز به دسترسی به برنامه ها و منابع حیاتی دارند مجاز هستند. این دستگاه ها همچنین می توانند از یکدیگر جدا شوند بنابراین نمی توانند ارتباط برقرار کنند مگر اینکه مجاز به این کار باشند.

سیاست ها همچنین می توانند براساس هویت منبع باشند ، ریز تقسیم بندی مزیت دیگری نسبت به روش های قبلی تقسیم بندی دارد. تقسیم بندی شبکه فقط می تواند به شما بگوید که چه اطلاعاتی بین بخش ها برقرار می شود ، در حالی که ریز تقسیم بندی می تواند هویت منبع درخواست کننده برای برقراری ارتباط را مشخص کند ، خواه یک سرور ، برنامه ، میزبان یا کاربر باشد. این امر تقسیم بندی دانه ای بسیار بیشتری را فراهم می کند ، فقط امکان برقراری ارتباط بین منابعی را فراهم می کند که به هویت آنها مجوزهای مناسب داده شده است.

با وجود این راه حل جامع ، دسترسی به هر ارتباطی که با پارامترهای سیاست تأیید نشود مسدود است. ریز تقسیم بندی نه تنها از حرکت جانبی محافظت می کند ، بلکه برای همه ترافیک شبکه نیز دارای دید بالا و زمینه است. این به تیم ها این امکان را می دهد تا رفتارهای مخرب و تخلفات را به سرعت شناسایی کنند ، و پاسخ حوادث را بهبود بخشند.

انتخاب اعتماد صفر و ابزار تقسیم خرد

اگرچه چارچوب اعتماد صفر مفهوم کاملا جدیدی نیست ، اما اخیراً به عنوان یک شرکت مورد توجه قرار گرفته است. ابزار امنیتی بنابراین ، همه پیشنهادات محصول با اعتماد صفر بر ریز تقسیم بندی متمرکز نیستند. هنگام خرید برای یافتن راه حل ، اطمینان حاصل کنید که این روش بر اساس ریز تقسیم بندی استوار است بنابراین از چارچوب اعتماد صفر خود بیشترین بهره را می گیرید. در اینجا چند فروشنده محبوب ریز تقسیم بندی برای شروع جستجوی شما وجود دارد:

  • Amazon Web Services (AWS)
  • Microsoft
  • VMware [19659014] Cisco
  • Fortinet

اگر نگران اجرای اعتماد صفر در شبکه خود هستید ، خوشبختانه ، این نیازی به بازآفرینی کامل زیرساخت ها ندارد. بدون نیاز به جایگزینی سرمایه گذاری های امنیتی موجود ، موثرترین راه حل ها باید بر روی محیط شما قرار بگیرند. اگر می خواهید درک بهتری از گزینه های موجود برای شما بدست آورید ، لیست بهترین راه حل های امنیتی اعتماد صفر را بررسی کنید.

.

مجموعه پچ v1 WireGuard در حال حاضر ارسال شده دو هسته لینوکس خون بازی

بزرگ تبریک به جیسون و همه دیگران که مشغول به کار سخت بر این. امیدوارم پس از افزایش سرعت برخی از ما در حال حاضر در نهایت WireGuard جزو پیش فرض هسته لینوکس (خون بازی) از جعبه را ببینید. هیچ ماژول DKMS بیشتر و در نهایت در آزادی کامل!

[Submission post] (https://marc.info/?l=linux-netdev&m=153306429108040&w=2)

خرید فیلترشکن

منتشر شده در هسته SigaVPN در باطن.

امیدوارم این کسی که برای راه اندازی سرویس شبکه اختصاصی مجازی مانند ما الهام بخش است.

مرده ساده و منطقی امن است.

شما آن برای خودتان [here] (https://sigavpn.com) امتحان کنید.

شما نیاز به درخواست ratelimiter دو ‘ژنراتور. پی اچ پی’. آن را با استفاده از بسیاری از منابع برای پی اچ پی اسکریپت و هدف سیل HTTP می تواند.

اگر شما یک مشکل امنیتی با آن، لطفا PM من و یا ایمیل [email protected].

https://github.com/sigavpn/SigaVPN-Backend

خرید فیلترشکن

“هسته انزوا” و “صداقت حافظه” در 10 ویندوز چیست؟

ویندوز 10 ‘s 2018 آوریل بروز رسانی به ارمغان می آورد “هسته انزوا” و “حافظه تمامیت” ویژگی های امنیتی برای همه. استفاده از این امنیت مبتنی بر مجازی سازی برای محافظت از فرآیندهای سیستم عامل هسته از دستکاری اما حفاظت حافظه کردن پیش فرض برای کسانی که ارتقاء است.

جداسازی هسته چیست؟

در نسخه اصلی ویندوز 10 ویژگی های مجازی سازی و امنیت (VBS) تنها در نسخه تصدی 10 Windows به عنوان بخشی از “دستگاه گارد.” شد با 2018 آوریل بروز رسانی، هسته انزوا به ارمغان می آورد برخی از ویژگی های امنیتی مبتنی بر مجازی سازی برای تمامی نسخه های ویندوز 10.

برخی از ویژگی های عایق اصلی پیش فرض در ویندوز 10 رایانه های شخصی که با سخت افزار خاصی فعال شده اند و فریمور مورد نیاز از جمله داشتن پردازنده 64 بیتی و TPM تراشه 2.0. همچنین نیاز به کامپیوتر شما پشتیبانی از تکنولوژی مجازی سازی VT-x اینتل یا AMD-V و که آن را در کامپیوتر شما UEFI تنظیمات فعال است.

وقتی این ویژگی های فعال ویندوز ویژگی های مجازی سخت افزار را برای ایجاد منطقه امن از حافظه سیستم است که جدا شده است از سیستم عامل طبیعی استفاده می کند. Windows نمی تواند فرآیندهای سیستم و نرم افزار امنیت را در این منطقه امن اجرا می تواند. این فرآیندهای سیستم عامل مهم از هر چیزی در حال اجرا خارج از منطقه امن دستکاری شدن محافظت می کند.

حتی اگر مخرب بر روی کامپیوتر شما در حال اجرا است و می داند بهره برداری است که آن را به این فرآیند ویندوز باید اجازه می دهد، مجازی سازی مبتنی بر امنیت لایه اضافی از حفاظت است که آنها را از حمله منزوی است.

مرتبط با: همه چیز جدید در 10 ‘s آوریل سال 2018 بروز رسانی ویندوز، در حال حاضر در دسترس

یکپارچگی حافظه چیست؟

ویژگی های شناخته شده به عنوان “حافظه صداقت” در رابط کاربری ویندوز 10 نیز به عنوان شناخته شده “Hypervisor کد یکپارچگی (HVCI) در اسناد مایکروسافت حفاظت شده”.

یکپارچگی حافظه غیر فعال شده است پیش فرض در رایانه های شخصی که به آوریل سال 2018 به روز رسانی به روز رسانی، اما شما آن می توانید فعال کنید. این پیش فرض بر روی نصبهای جدید ویندوز 10 رفتن به جلو فعال خواهد شد.

این ویژگی زیر مجموعه ای از هسته جدا است. ویندوز به طور معمول نیاز به امضای دیجیتالی برای درایورهای دستگاه و دیگر کد است که در سطح پایین حالت هسته ویندوز اجرا می شود. این تضمین می کند آنها را پناهگاه ‘ تی شده با دستکاری توسط نرم افزارهای مخرب. در صورت فعال بودن “حافظه تمامیت” “کد یکپارچگی خدمات” در ویندوز داخل ظرف حفاظت شده hypervisor ایجاد شده توسط جداسازی هسته اجرا می شود. این تقریبا غیر ممکن برای نرم افزارهای مخرب به رشوه دادن با چک یکپارچگی کد و به دست آوردن دسترسی به هسته ویندوز باید آن را.

مشکلات ماشین مجازی

به عنوان حافظه یکپارچگی با استفاده از سخت افزار سیستم مجازی سازی، آن را با برنامه های ماشین مجازی مثل VMware یا مجازی. فقط یک نرم افزار این سخت افزار را در یک زمان استفاده کنید.

اگر شما نصب برنامه ماشین مجازی بر روی یک سیستم با صداقت حافظه فعال شما ممکن است یک پیام گفت VT-X اینتل یا AMD-V فعال کنید و یا در دسترس نیست را مشاهده کنید. در VirtualBox، شما ممکن است خطای پیام “حالت خام حسن بیش از حد-V در دسترس نیست” را ببینید در حالی که حفاظت از حافظه فعال است.

اگر شما روبرو می شوند مشکلی در نرم افزار ماشین مجازی خود را در هر صورت شما حافظه تمامیت استفاده از آن را غیر فعال کردن باید.

چرا پیش فرض غیرفعال شده است؟

ویژگی های عایق هسته اصلی نباید هیچ مشکلی شود. آن را در تمام ویندوز عدد 10 است که می تواند پشتیبانی فعال و بدون رابط برای غیرفعال کردن آن وجود دارد.

با این حال، حفاظت از یکپارچگی حافظه با برخی از درایور های دستگاه و یا دیگر برنامه های سطح پایین ویندوز، به همین دلیل است که به طور پیش فرض در ارتقاء غیرفعال شده است می تواند باعث مشکلات. مایکروسافت هنوز هم توسعه دهندگان و سازندگان دستگاه به درایور و نرم افزار خود را سازگار, به همین دلیل است که آن را به طور پیش فرض در رایانه های شخصی جدید و نصب جدید ویندوز 10 فعال تحت فشار است.

اگر یکی از درایور های کامپیوتر شما نیاز به بوت با حفاظت از حافظه، ویندوز 10 سکوت حفاظت از حافظه کامپیوتر شما می توانید بوت و آن را به درستی کار خاموش خواهد شد. اگر شما سعی می کنید آن و راه اندازی مجدد فقط برای پیدا کردن هنوز هم غیرفعال شده است بنابراین، همین دلیل است.

اگر مشکلات با دستگاه های دیگر و یا نرم افزار پس از فعال کردن محافظ حافظه خطاب برخورد کردید مایکروسافت توصیه به بررسی به روزرسانی ها با نرم افزار خاص یا درایور. اگر هیچ نسخه به روزی موجود خاموش کردن محافظ حافظه.

یکپارچگی حافظه نیز با برخی از برنامه های کاربردی که نیاز به دسترسی منحصر به فرد برای سخت افزار مجازی سازی سیستم، مانند برنامه های ماشین مجازی باشد همانطور که در بالا ذکر شد. ابزار های دیگر، از جمله برخی از ریشهٔ نیز نیاز به دسترسی منحصر به فرد برای این سخت افزار و با صداقت حافظه فعال کار نخواهد کرد.

چگونه به فعال کردن هسته انزوا یکپارچگی حافظه

که آیا کامپیوتر شما ویژگی های عایق اصلی فعال و ضامن حفاظت از حافظه روشن و خاموش کردن از برنامه مرکز امنیت ویندوز مدافع است می بینید. (این ابزار نام تغییر “ویندوز امنیت به عنوان بخشی از بروز رسانی Redstone 5 که در راه اندازی سقوط 2018.)

برای گشودن آن جستجو برای “مرکز امنیت مدافع Windows” در منوی شروع و یا سر به تنظیمات > به روز رسانی امنیتی ویندوز امنیت & >> باز ویندوز مرکز امنیت مدافع.

با کلیک بر روی آیکون “دستگاه امنیتی” در مرکز امنیت.

اگر هسته انزوا در سخت افزار کامپیوتر شما فعال می شود، پیام “امنیت مبتنی بر مجازی سازی برای محافظت از قطعات اصلی دستگاه شما اجرا می شود” اینجا می بینید.

برای فعال کردن (یا غیر فعال کردن) حفاظت از حافظه، پیوند “هسته انزوا جزئیات” را کلیک کنید.

این صفحه نمایش به شما نشان میدهد که آیا یکپارچگی حافظه فعال شده است یا نه. این گزینه تنها در حال حاضر است.

برای فعال کردن حافظه یکپارچگی تلنگر سوئیچ به “در”. اگر شما برنامه یا دستگاه مشکلات و نیاز به غیر فعال کردن حافظه صداقت برخورد، اینجا بازگشت و تلنگر سوئیچ به “خاموش”.

شما را وادار به راه اندازی مجدد کامپیوتر شما، و هنگامی که شما تغییر فقط اعمال خواهد شد.

بیشتر انزوا مدافع بهره برداری گارد ویژگی های ویندوز

هسته و حافظه یکپارچگی از بسیاری از امکانات امنیتی جدید مایکروسافت اضافه شده است به عنوان بخشی از ویندوز مدافع گارد بهره برداری است. این مجموعه از ویژگی های طراحی شده برای ویندوز برابر حمله است.

بهره برداری حفاظت است که محافظت از سیستم عامل و برنامه های کاربردی از انواع سوء استفاده، به طور پیش فرض فعال است. این جایگزین مایکروسافت EMET ابزار قدیمی است و شامل ویژگی های بهره برداری ضد ما قبلا نصب نرم افزارهای مخرب ضد بهره برداری برای توصیه. همه کاربران ویندوز 10 در حال حاضر حفاظت از بهره برداری است.

کنترل دسترسی به پوشه, که محافظت از فایل های خود را از ransomware وجود دارد. زیرا برخی از تنظیمات نیاز آن به طور پیش فرض فعال نشده است. فعال سازی این قابلیت شما باید دسترسی برنامه های کاربردی اجازه می دهد تا قبل از آنها می توانید دسترسی به پرونده ها در پوشه ها فایل های شخصی خود را.

مرتبط با: “چگونه کار می کند مدافع Windows جدید بهره برداری حفاظت (و چگونه آن را پیکربندی کنید)


رفتن به جلو، حافظه یکپارچگی پیش فرض بر روی تمام رایانه های جدید ارائه حفاظت اضافی در برابر حملات فعال. تنها کاربران که استفاده از ماشین مجازی نرم افزار و ابزارهای دیگر که نیاز به دسترسی به سخت افزار سیستم مجازی سازی باید در غیر فعال کردن آن دارد.