于一臺(tái)NAS來(lái)說(shuō),只有能夠在外網(wǎng)隨時(shí)隨地進(jìn)行訪(fǎng)問(wèn),才能完全發(fā)揮出其全部功能。一般情況下,我們家中的NAS處于自家路由器下的局域網(wǎng)內(nèi),不經(jīng)任何設(shè)置的話(huà)是無(wú)法從外網(wǎng)直接訪(fǎng)問(wèn)使用的。
前段時(shí)間入手了一臺(tái)愛(ài)速特AS3302T雙盤(pán)位NAS,真的非常精致好用,個(gè)人感覺(jué)是非常適合新手入手的NAS之一了。
AS3302T是愛(ài)速特新發(fā)布的雙盤(pán)位ARM平臺(tái)NAS,配置為RTD1296 4核CPU+2G DDR4內(nèi)存,日常使用過(guò)程中,家用NAS應(yīng)有的文件存儲(chǔ)、照片備份、外網(wǎng)訪(fǎng)問(wèn)、視頻播放等都能輕松實(shí)現(xiàn),實(shí)測(cè)用plex硬解4K hevc電影毫無(wú)壓力。
并且個(gè)人感覺(jué)其搭載的ADM系統(tǒng)特別簡(jiǎn)約精致,非常容易上手,是和群暉、威聯(lián)通截然不同的感覺(jué),對(duì)NAS新手很友好,前段時(shí)間也寫(xiě)了使用報(bào)告,供大家參考:
最適合新手使用的NAS?愛(ài)速特AS3302T使用體驗(yàn)分享
玩了一段時(shí)間后,發(fā)現(xiàn)站內(nèi)介紹愛(ài)速特NAS外網(wǎng)訪(fǎng)問(wèn)方法的文章不多。為了更好的發(fā)揮AS3302T的作用,本次整理了自己用過(guò)的幾種外網(wǎng)訪(fǎng)問(wèn)愛(ài)速特NAS的方法,供大家收藏查閱。
好了,閑話(huà)少敘,接下來(lái)開(kāi)始正式介紹愛(ài)速特NAS的外網(wǎng)訪(fǎng)問(wèn)教程。
幾乎所有的NAS大廠都為自家的產(chǎn)品提供了官方的外網(wǎng)聯(lián)機(jī)功能,用以保障用戶(hù)基礎(chǔ)的外網(wǎng)訪(fǎng)問(wèn)與設(shè)置體驗(yàn),只是這些官方的聯(lián)機(jī)服務(wù)在不同網(wǎng)絡(luò)環(huán)境下連接的速度與延遲表現(xiàn)各不相同。
作為擁有高貴的ASUS血統(tǒng)的NAS大廠,愛(ài)速特的技術(shù)實(shí)力也不容小覷,提供了自家的ezconnect輕松聯(lián)機(jī)功能,對(duì)標(biāo)群暉的quickconnect服務(wù)。
我們只需要注冊(cè)自己的ASUSTOR ID,啟用輕松聯(lián)機(jī)服務(wù)后就能在外網(wǎng)直接訪(fǎng)問(wèn)自己的NAS進(jìn)行管理使用。
在PC端,可以直接訪(fǎng)問(wèn)地址http://你的ID.ezconnect.to,就可以遠(yuǎn)程登入AS3302T。
在APP端,愛(ài)速特自家的AiMaster、AiData、AiFoto 3、AiDownload等都能直接通過(guò)ID+賬戶(hù)名密碼的方式進(jìn)行登錄。
不過(guò)這種外網(wǎng)訪(fǎng)問(wèn)的方式雖然方便,但是貌似還有些小缺陷。
對(duì)于基于Docker的第三方軟件,比如Transmission、Plex等,通過(guò)ezconnect連接的時(shí)候會(huì)有所限制,提示無(wú)法使用。
愛(ài)速特的ezconnect與群暉的QuickConnect類(lèi)似,由于服務(wù)器放置在臺(tái)灣,所以時(shí)不時(shí)的會(huì)出現(xiàn)連接速度較慢、不穩(wěn)定的問(wèn)題。
如果不想用官方的ezconnect的話(huà),愛(ài)速特系統(tǒng)內(nèi)還自帶了手動(dòng)DDNS映射域名的功能,可以支持主流大域名提供商,將自家愛(ài)速特NAS的IPV4公網(wǎng)IP映射為域名,實(shí)現(xiàn)外網(wǎng)訪(fǎng)問(wèn)。
但是自帶的DDNS映射服務(wù)貌似現(xiàn)在只支持對(duì)ipv4公網(wǎng)ip的映射。
DDNS(Dynamic Domain Name Server)是動(dòng)態(tài)域名服務(wù)的縮寫(xiě)。
DDNS是將用戶(hù)的動(dòng)態(tài)IP地址映射到一個(gè)固定的域名解析服務(wù)上,用戶(hù)每次連接網(wǎng)絡(luò)的時(shí)候客戶(hù)端程序就會(huì)通過(guò)信息傳遞把該主機(jī)的動(dòng)態(tài)IP地址傳送給位于服務(wù)商主機(jī)上的服務(wù)器程序,服務(wù)器程序負(fù)責(zé)提供DNS服務(wù)并實(shí)現(xiàn)動(dòng)態(tài)域名解析。
也就是說(shuō)DDNS捕獲用戶(hù)每次變化的IP地址,然后將其與域名相對(duì)應(yīng),這樣其他上網(wǎng)用戶(hù)就可以通過(guò)域名來(lái)進(jìn)行交流。而最終客戶(hù)所要記憶的全部,就是記住動(dòng)態(tài)域名商給予的域名即可,而不用去管他們是如何實(shí)現(xiàn)的。
動(dòng)態(tài)域名服務(wù)的對(duì)象是指IP是動(dòng)態(tài)的,是變動(dòng)的。普通的DNS都是基于靜態(tài)IP的,有可能是一對(duì)多或多對(duì)多,IP都是固定的一個(gè)或多個(gè)。但DDNS的IP是變動(dòng)的、隨機(jī)的。
前段時(shí)間網(wǎng)絡(luò)上有消息,各大寬帶運(yùn)營(yíng)商在明年將要逐步收回普通家庭寬帶的ipv4公網(wǎng)地址了,這種情況下ipv4公網(wǎng)ip的DDNS映射隨時(shí)有失效的風(fēng)險(xiǎn)。
為了未雨綢繆,需要DDNS的同學(xué)建議還是提前用DDNS GO套件實(shí)現(xiàn)IPV6地址的映射,較為保險(xiǎn)。
方法如下:
首先在App Central中安裝DDNS GO套件。
打開(kāi)DDNS GO后,按照?qǐng)D中配置后,保存后會(huì)要求登錄,登陸后右上角就會(huì)刷新消息了,注意,填寫(xiě)的域名需要先在如阿里云、騰訊云之類(lèi)的云服務(wù)提供商上面建一個(gè)對(duì)應(yīng)域名AAAA記錄!
其實(shí)DDNS域名映射的方法非常好用,之前我也專(zhuān)門(mén)寫(xiě)過(guò)文章介紹過(guò)群暉平臺(tái)的映射方案。
不過(guò)我這里實(shí)際遇到的問(wèn)題是,自己和父母家里都是用的移動(dòng)寬帶,只能提供ipv6公網(wǎng)地址,這兩地之間可以通過(guò)DDNS正常訪(fǎng)問(wèn);但是單位的外網(wǎng)H3C路由器并不支持ipv6功能,所以在辦公室我是沒(méi)法通過(guò)這種方式訪(fǎng)問(wèn)家里的NAS的。
之前在群暉平臺(tái)我使用了zerotier one這個(gè)基于SD-WAN原理的異地組網(wǎng)神器來(lái)解決該問(wèn)題,沒(méi)想到愛(ài)速特在App Center也提供了Docker版本的zerotier one這個(gè)老朋友,講道理真的驚喜到了。
zerotier one的具體安裝方式如下:
①首先訪(fǎng)問(wèn)zerotier one官網(wǎng),進(jìn)去之后會(huì)是全英文界面(英文不好的朋友不用害怕,可以用chrome翻譯成中文使用)。點(diǎn)擊右上角的“MY.ZEROTIER.COM”。
②點(diǎn)擊log in to ZeroTier
③如果有賬號(hào)的話(huà)可以直接登錄,新用戶(hù)點(diǎn)擊紅框內(nèi)的“Register”。
④輸入注冊(cè)信息,注意姓、名需要用英文,可以用拼音字母輸入。
填寫(xiě)完成后點(diǎn)擊最底下黃色“Register”
⑤出現(xiàn)這個(gè)頁(yè)面之后暫時(shí)不用管,需要登錄我們剛才填入的郵箱,確認(rèn)注冊(cè)。
⑥登錄郵箱,在收件箱內(nèi)找到這封郵件,直接點(diǎn)擊紅圈框出的超鏈接地址即可。
⑦在郵件內(nèi)點(diǎn)擊超鏈接地址,會(huì)跳轉(zhuǎn)到這個(gè)頁(yè)面。直接點(diǎn)擊紅圈框出的按鈕,創(chuàng)建一個(gè)虛擬網(wǎng)絡(luò)。
⑧繼續(xù)點(diǎn)擊藍(lán)色按鈕,創(chuàng)建網(wǎng)絡(luò)。
⑨進(jìn)入這個(gè)頁(yè)面,紅圈框出的就是我們已經(jīng)建好的虛擬網(wǎng)絡(luò)。點(diǎn)擊可對(duì)這網(wǎng)絡(luò)進(jìn)行管理操作。
⑩進(jìn)入網(wǎng)絡(luò)管理界面,這里可以選擇一個(gè)方便記憶的虛擬網(wǎng)絡(luò)地址池,也可以點(diǎn)擊Advanced按鈕,自行定義。
至此,Zerotier One的注冊(cè)工作已經(jīng)完成。上圖所示的網(wǎng)絡(luò)管理界面先不要關(guān)閉,等下我們還要進(jìn)入其操作。
需要注意的愛(ài)速特平臺(tái)的zerotier one與威聯(lián)通一樣,是無(wú)法直接通過(guò)UI界面來(lái)進(jìn)行添加網(wǎng)絡(luò)等操作的,需要手動(dòng)SSH進(jìn)NAS,然后加入zerotier網(wǎng)絡(luò)。
依次點(diǎn)擊 服務(wù)——終端機(jī),打開(kāi)愛(ài)速特的SSH功能,允許SSH連接:
使用putty這個(gè)軟件,在圖中所示位置輸入NAS的IP地址,然后點(diǎn)擊“OPEN”。
輸入愛(ài)速特NAS的用戶(hù)名和密碼,然后直接回車(chē)即可登陸。
接下來(lái)輸入代碼:
zerotier-cli join 你的zerotier網(wǎng)絡(luò)ID
至此,zerotier one在NAS端已經(jīng)安裝完成。
(7)返回剛才保留的zerotier one的網(wǎng)絡(luò)管理界面,并刷新。
會(huì)發(fā)現(xiàn)出現(xiàn)了一臺(tái)新的設(shè)備。在左側(cè)方框處點(diǎn)一下,打上勾,就可以將這臺(tái)申請(qǐng)入網(wǎng)的NAS加入到虛擬內(nèi)網(wǎng)中了。為了方便對(duì)設(shè)備進(jìn)行區(qū)分和管理,可以在“short name”處自行輸入設(shè)備名進(jìn)行備注。
至此,zerotier one在NAS端已經(jīng)安裝完成。
(1)下載zerotier的PC客戶(hù)端。
安裝zerotier的客戶(hù)端后,會(huì)在右下角出現(xiàn)一個(gè)托盤(pán),右鍵一下看看:
點(diǎn)擊Join Network,填入我們剛才申請(qǐng)的虛擬網(wǎng)絡(luò)ID號(hào),然后點(diǎn)擊“Join”。
返回我們剛才創(chuàng)建的虛擬網(wǎng)絡(luò)管理頁(yè)面,刷新一下,給新加入的這臺(tái)PC打上勾。
此時(shí),這臺(tái)PC已經(jīng)和NAS處于同一虛擬網(wǎng)段中,我們可以直接使用這臺(tái)NAS的虛擬內(nèi)網(wǎng)的IP地址進(jìn)行管理和使用,與在真實(shí)的局域網(wǎng)中的使用方法完全一致,第三方軟件也可以正常使用。
(2)手機(jī)安裝zerotier客戶(hù)端,與PC端的操作類(lèi)似。都需要首先Join虛擬網(wǎng)絡(luò)的ID號(hào),然后返回zerotier網(wǎng)絡(luò)管理界面刷新后打勾,同意設(shè)備接入。
IOS系統(tǒng)可以直接在APP store中下載zerotier;安卓手機(jī)的APP下載地址在官網(wǎng)可以找到。
啟用zerotier one后,可以看到虛擬網(wǎng)絡(luò)是以VPN的形式在手機(jī)上工作的。
在手機(jī)端使用時(shí),同樣可以使用NAS在zerotier虛擬內(nèi)網(wǎng)內(nèi)的IP地址來(lái)使用愛(ài)速特的手機(jī)版APP。
zerotier雖然方便,但是還是有兩個(gè)缺點(diǎn)。
其一是NAS裝上這個(gè)軟件后,軟件本身會(huì)一直運(yùn)行的,阻礙NAS硬盤(pán)休眠。
其二是在手機(jī)等移動(dòng)端啟用時(shí),需要手動(dòng)打開(kāi)軟件開(kāi)啟組網(wǎng),操作麻煩不說(shuō),對(duì)于父母這種年齡較大、使用手機(jī)不熟練的人群來(lái)說(shuō),使用難度有點(diǎn)高。
所以對(duì)于這種情況,可以考慮下國(guó)產(chǎn)的蒲公英路由器,內(nèi)置了與zerotier類(lèi)似的SD-WAN異地組網(wǎng)的功能,通過(guò)簡(jiǎn)單的設(shè)置,可以使路由器下的手機(jī)、電腦、電視盒子等各種設(shè)備之間,都通過(guò)虛擬內(nèi)網(wǎng)ip實(shí)現(xiàn)遠(yuǎn)程互相訪(fǎng)問(wèn)的需求,特別適合父母、親人在異地通過(guò)手機(jī)訪(fǎng)問(wèn)NAS上的照片、視頻,以及異地觀影等使用情景。
為了測(cè)試蒲公英的SD-WAN異地組網(wǎng)功能,前段時(shí)間給自己家買(mǎi)了兩臺(tái)蒲公英路由器,一臺(tái)是X5,一臺(tái)是X4C。
實(shí)測(cè)用起來(lái),異地組網(wǎng)的確方便,具體組網(wǎng)方法如下:
手機(jī)、電視盒子也能異地組網(wǎng)訪(fǎng)問(wèn)NAS:蒲公英路由器X5、X4C體驗(yàn)
這篇文章介紹了愛(ài)速特平臺(tái)中,幾種比較常用的外網(wǎng)訪(fǎng)問(wèn)方式。
對(duì)于NAS重度使用用戶(hù),個(gè)人更推薦蒲公英和zeritoer這兩種SD-WAN異地組網(wǎng)的方式,一次配置終身受益,直接使用虛擬內(nèi)網(wǎng)IP+端口的方式實(shí)現(xiàn)虛擬網(wǎng)內(nèi)設(shè)備互訪(fǎng),大部分操作都與局域網(wǎng)內(nèi)無(wú)異,用起來(lái)很方便。
如果家里的NAS同時(shí)還要和家人一起異地使用的話(huà),zerotier每次在手機(jī)端上都得手動(dòng)開(kāi)啟,操作略顯繁瑣了。用蒲公英的路由器來(lái)異地組網(wǎng)的話(huà)可以在家人無(wú)察覺(jué)的情況下直接訪(fǎng)問(wèn)NAS,易用性更好些。
情期間,猖狂的不止是新冠病毒,還有黑客。
美國(guó)的網(wǎng)絡(luò)安全公司 Proofpoint 的研究人員在2020年2月首先注意到,一封奇怪的電子郵件在2月份發(fā)送給了它的客戶(hù)。上述電郵來(lái)自一位神秘的醫(yī)生。他聲稱(chēng)有一份文件,其中詳細(xì)記載了一種冠狀病毒疫苗。Proofpoint說(shuō),好奇的收件人點(diǎn)擊了文件,就會(huì)被帶到一個(gè)看起來(lái)像一個(gè)正常、值得信賴(lài)的電子簽名頁(yè)面,但它實(shí)際上是一個(gè)罪犯自己建立的網(wǎng)頁(yè),目的是獲取登錄者的細(xì)節(jié)。一旦他們擁有你的帳戶(hù)名稱(chēng)和密碼,你這臺(tái)機(jī)器上的文檔也就變成了他們的文檔。
疫情爆發(fā)初期,黑客就開(kāi)始冒充世界衛(wèi)生組織(WHO)發(fā)送信息。一些黑客創(chuàng)建了部分依托于政府網(wǎng)站內(nèi)容的假網(wǎng)站,模仿政府網(wǎng)站來(lái)發(fā)布有關(guān)新冠病毒的信息,或是向感染該病毒的患者提供建議與幫助。但是,一旦點(diǎn)擊這些按鍵,用戶(hù)的計(jì)算機(jī)就將遭到惡意軟件的入侵,此外,還會(huì)通過(guò)用戶(hù)的賬號(hào)傳播大量與新冠病毒相關(guān)的電子郵件。而隨著這些電子郵件傳播的,還有作為郵件附件的惡意程序。
許多國(guó)家相關(guān)部門(mén)已經(jīng)注意到這類(lèi)情況,德國(guó)聯(lián)邦信息技術(shù)安全辦公室就在去年11月表示,此類(lèi)惡意程序可能屬于加密和勒索型的程序,它們會(huì)對(duì)存儲(chǔ)在計(jì)算機(jī)或網(wǎng)絡(luò)中的所有數(shù)據(jù)進(jìn)行加密,例如一款叫做“ Emotet”的惡意軟件。黑客通常會(huì)勒索用戶(hù),要求其支付贖金以換取對(duì)相關(guān)數(shù)據(jù)的再次解密。
更有甚者還專(zhuān)門(mén)針對(duì)疫苗研發(fā)企業(yè)實(shí)施攻擊。據(jù)路透社11月下旬的報(bào)道,這家英國(guó)與瑞典合作開(kāi)發(fā)新冠疫苗的制藥公司的員工曾收到一份假電子郵件,稱(chēng)可以提供報(bào)酬豐厚的工作機(jī)會(huì)。去年11月中旬,微軟一位高管在公司博客上報(bào)告了來(lái)自加拿大、法國(guó)、印度、韓國(guó)和美國(guó)的共7家知名疫苗制造商遭到黑客攻擊。
醫(yī)院也是黑客攻擊的熱門(mén)目標(biāo)。網(wǎng)絡(luò)安全解決方案提供商Check Point Research 在今年2月24日發(fā)布的《2021 年網(wǎng)絡(luò)安全報(bào)告》稱(chēng),2020 年第四季度,CPR 報(bào)告稱(chēng),全球范圍內(nèi)針對(duì)醫(yī)院的網(wǎng)絡(luò)攻擊(尤其是勒索軟件攻擊)增加了 45%,因?yàn)榉缸锓肿诱J(rèn)為,由于新冠病例激增造成的壓力,醫(yī)院更有可能滿(mǎn)足贖金要求。
疫情加速了全球數(shù)字化進(jìn)程,但在黑客的攻擊之下,也暴露了傳統(tǒng)組織所架設(shè)的VPN之墻的落伍和脆弱。
VPN(虛擬專(zhuān)用網(wǎng))是在公用網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò),通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪(fǎng)問(wèn),在企業(yè)政府機(jī)構(gòu)遠(yuǎn)程辦公中起著舉足輕重的地位。VPN奉行的“內(nèi)部即可信”、“外部即不可信”的安全模式,也就是說(shuō)可信的員工在內(nèi)部,不可信的員工在外部。
過(guò)去,企業(yè)的服務(wù)器和辦公設(shè)備主要運(yùn)行在內(nèi)網(wǎng)環(huán)境中,所有的企業(yè)安全都是圍繞著內(nèi)網(wǎng)的“墻”來(lái)建設(shè)的,在這種情況下,VPN所搭建的防護(hù)墻還算牢靠。但這種模式不再適用于現(xiàn)代商業(yè)環(huán)境。
但是在遠(yuǎn)程辦公、云計(jì)算日益普及的今天,一方面,云計(jì)算、 移動(dòng)互聯(lián)等技術(shù)的采用讓企業(yè)的人和業(yè)務(wù)、數(shù)據(jù)“走”出了企業(yè)的 邊界;另一方面,大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的開(kāi)放協(xié)同需求導(dǎo)致了外部人員、平臺(tái)和服務(wù)“跨”過(guò)了企業(yè)的數(shù)字護(hù)城河。復(fù)雜的現(xiàn)代企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)不存在單一的、易識(shí)別的、明確的安全邊 界,或者說(shuō),企業(yè)的安全邊界正在逐漸瓦解。
因此,VPN的“內(nèi)部即可信”、“外部即不可信”的安全模式成為其致命弱點(diǎn)。企業(yè)不可能把阿里云、騰訊云都裝到自己的防火墻里面,當(dāng)然也不可能把防火墻修到世界每個(gè)角落。
黑客也專(zhuān)挑VPN的漏洞下手。Check Point Research 在今年2月24日發(fā)布的《2021 年網(wǎng)絡(luò)安全報(bào)告》稱(chēng),黑客利用新冠疫情造成的混亂,特別是針對(duì)遠(yuǎn)程辦公的vpn的安全事件快速增長(zhǎng),其中,87% 的組織曾經(jīng)歷利用已知漏洞的網(wǎng)絡(luò)攻擊,46% 的組織至少有一名員工下載了惡意移動(dòng)應(yīng)用。
去年三月,雷鋒網(wǎng)援引外媒消息稱(chēng), 影響 iOS 13.3.1或更高版本的當(dāng)前未匹配的安全漏洞可能會(huì)阻止虛擬專(zhuān)用網(wǎng)絡(luò)(VPN) 對(duì)所有流量進(jìn)行加密。雖然連接到 iOS 設(shè)備上的后 VPN 后進(jìn)行的連接不受此錯(cuò)誤的影響,但所有以前所建立的連接都將在 VPN 的安全隧道之外。
Check Point 軟件技術(shù)公司產(chǎn)品副總裁 Dorit Dor 表示:“全球企業(yè)對(duì)其 2020 年數(shù)字計(jì)劃的推進(jìn)速度感到驚訝:據(jù)估計(jì),數(shù)字化轉(zhuǎn)型提前了最多 7 年。但與此同時(shí),攻擊者和網(wǎng)絡(luò)犯罪分子也改變了其作案策略,借以利用這些變化和疫情所造成的混亂,各行各業(yè)遭受的攻擊均迅猛增長(zhǎng)。”
隨著企業(yè)轉(zhuǎn)向更靈活、粒度更細(xì)的零信任安全框架(該框架更適合當(dāng)今的數(shù)字業(yè)務(wù)世界),數(shù)十年來(lái)一直為遠(yuǎn)程工作者提供進(jìn)入企業(yè)網(wǎng)絡(luò)的安全通道的古老VPN正面臨消亡。
誰(shuí)來(lái)取代VPN?Gartner 2019年4月發(fā)布的《零信任網(wǎng)絡(luò)訪(fǎng)問(wèn)市場(chǎng)指南2019》預(yù)測(cè),到2023年,60%的企業(yè)將淘汰大部分遠(yuǎn)程訪(fǎng)問(wèn)虛擬專(zhuān)用網(wǎng)絡(luò)(VPN),轉(zhuǎn)而使用ZTNA(零信任網(wǎng)絡(luò))。
零信任網(wǎng)絡(luò)并非橫空出世。零信任的最早雛形源于 2004 年成立的耶利哥論壇 (Jericho Forum),其使命正是為了定義無(wú)邊界趨勢(shì)下的網(wǎng)絡(luò)安全問(wèn)題并尋求解決方案。2010 年,零信任術(shù)語(yǔ)正式出現(xiàn),并指出默認(rèn)情況下所有的網(wǎng)絡(luò)流量都是不可信的,需要對(duì)訪(fǎng)問(wèn)任 何資源的任何請(qǐng)求進(jìn)行安全控制。
作為VPN的一種替代方案,零信任的核心思想就是:默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng),需要基于認(rèn)證和授權(quán)重構(gòu)訪(fǎng)問(wèn)控制的信任基礎(chǔ)。零信任對(duì)訪(fǎng)問(wèn)控制進(jìn)行了范式上的顛覆,引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化,其本質(zhì)訴求是以身份為中心進(jìn)行訪(fǎng)問(wèn)控制。
零信任網(wǎng)絡(luò)已是大勢(shì)所趨,并將引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化,中美兩國(guó)均已把零信任網(wǎng)絡(luò)作為未來(lái)發(fā)展方向。
2019 年 4 月,美國(guó)技術(shù)委員會(huì)—行業(yè)咨詢(xún)委員會(huì)(ACT-IAC)發(fā)布了《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢(shì)》,對(duì)當(dāng)前零信任的技術(shù)成熟度及可用性進(jìn)行評(píng)估,隨后國(guó)防創(chuàng)新委員會(huì)(DIB)、美國(guó)國(guó)家標(biāo)準(zhǔn)委員會(huì)(NIST)均發(fā)表了零信任相關(guān)的報(bào)告或標(biāo)準(zhǔn),其中《零信任架構(gòu)》標(biāo)準(zhǔn)正式版也于今年 8 月 11 日發(fā)布,美國(guó)國(guó)防部已明確將零信任實(shí)施列為最高優(yōu)先事項(xiàng)。
中國(guó)零信任亦緊鑼密鼓地展開(kāi),標(biāo)準(zhǔn)及應(yīng)用案例逐漸落地。2019 年 9 月,工信部發(fā)布的《關(guān)于促 進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)(征求意見(jiàn)稿)》中將“零信任安全”列入需要“著力突破的網(wǎng)絡(luò) 安全關(guān)鍵技術(shù)”。2019 年 7 月騰訊牽頭提交的《零信任安全技術(shù)—參考框架》行業(yè)標(biāo)準(zhǔn)通過(guò)評(píng)審。
在美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)發(fā)布的零信任架構(gòu)標(biāo)準(zhǔn)中,明確列出了當(dāng)前實(shí)現(xiàn)零信任的三大技術(shù)路線(xiàn),可以歸納為“SIM”組合:SDP,軟件定義邊界; IAM,增強(qiáng)的身份管理; MSG,微隔離。這三種技術(shù)路線(xiàn)既可以單獨(dú)實(shí)現(xiàn)零信任方案,也可以配合起來(lái)實(shí)現(xiàn)更加全面的零信任架構(gòu)。
Gartner發(fā)布的《零信任網(wǎng)絡(luò)訪(fǎng)問(wèn)市場(chǎng)指南 (2020版)》表示,ZTNA削弱了網(wǎng)絡(luò)位置的優(yōu)勢(shì)地位,消除了過(guò)度的隱式信任,代之以顯式的基于身份的信任。從某種意義上說(shuō),ZTNA創(chuàng)建了個(gè)性化的“虛擬邊界”,該邊界僅包含用戶(hù)、設(shè)備、應(yīng)用程序。ZTNA還規(guī)范了用戶(hù)體驗(yàn),消除了在與不在企業(yè)網(wǎng)絡(luò)中所存在的訪(fǎng)問(wèn)差異。最關(guān)鍵的是,它還將橫向移動(dòng)的能力降到最低。
早在政府確定零信任標(biāo)準(zhǔn)前,一波科技巨頭已在悄然布局,而SDP模式已一馬當(dāng)先,成為零信任相對(duì)成熟的技術(shù)路線(xiàn)。
谷歌堪稱(chēng)先鋒,早在2014年Google 基于其內(nèi)部項(xiàng)目 Beyond Corp 的研究 成果,陸續(xù)發(fā)表了多篇論文,闡述了在 Google 內(nèi)部如何為其員工構(gòu)建零信任架構(gòu)。2011-2017年期間,Google Beyond Corp項(xiàng)目實(shí)施落地,實(shí)現(xiàn)不區(qū)分內(nèi)外網(wǎng),讓員工不借助VPN安全地在任何地方開(kāi)展工作,將訪(fǎng)問(wèn)權(quán)限從網(wǎng)絡(luò)邊界轉(zhuǎn)移到設(shè)備、用戶(hù)和應(yīng)用。Beyond Corp的核心思想是組織不應(yīng)該信任任何實(shí)體,無(wú)論該實(shí)體是在邊界內(nèi)還是在邊界外,應(yīng)該遵循“永不信任,始終驗(yàn)證”的原則。
國(guó)際云安全聯(lián)盟于2013年成立SDP工作組,由美國(guó)中央情報(bào)局(CIA) CTO Bob 擔(dān)任工作組組長(zhǎng),并于2014年發(fā)布SPEC 1.0等多項(xiàng)研究成果。SDP作為新一代網(wǎng)絡(luò)安全解決理念,其整個(gè)中心思想是通過(guò)軟件的方式,在移動(dòng)和云化的時(shí)代,構(gòu)建一個(gè)虛擬的企業(yè)邊界,利用基于身份的訪(fǎng)問(wèn)控制,來(lái)應(yīng)對(duì)邊界模糊化帶來(lái)的粗粒度控制問(wèn)題,以此達(dá)到保護(hù)企業(yè)數(shù)據(jù)安全的目的。
經(jīng)過(guò)多年發(fā)展,SDP技術(shù)越來(lái)越被廣泛應(yīng)用,成為零信任最成熟的商業(yè)解決方案,Zscaler、Akamai、網(wǎng)宿科技等國(guó)外著名云安全廠商和一些國(guó)內(nèi)公司如聯(lián)軟科技、云深互聯(lián)等都有相關(guān)產(chǎn)品和解決方案。其中,Google、Microsoft 等巨頭率先在企業(yè)內(nèi)部實(shí)踐零信任并推出了完整的解決方案;OKTA、Centrify、Ping Identity 等為代表的身份安全廠商推出“以身份為 中心”的零信任方案;Cisco、Symantec、VMware、F5 等公司推出了偏重于網(wǎng)絡(luò)實(shí)施方式的零信任方案;此外 Vidder、Cryptzone、Zscaler、Illumio 等創(chuàng)業(yè)公司亦表現(xiàn)。
疫情之下快速的普及遠(yuǎn)程辦公和不斷增長(zhǎng)的黑客攻擊,也加速了零信任網(wǎng)絡(luò)的用戶(hù)教育。2019 年底,Cybersecurity Insiders 聯(lián)合 Zscaler 發(fā)布的《2019 零信任安全市場(chǎng)普及行業(yè)報(bào)告》指出, 78%的 IT安全團(tuán)隊(duì)希望在未來(lái)應(yīng)用零信任架構(gòu),19%的受訪(fǎng)者正積極實(shí)施零信任,而 15%的受訪(fǎng)者已經(jīng)實(shí)施了零信任,零信任安全正迅速流行起來(lái)。
萬(wàn)事俱備,一場(chǎng)企業(yè)安全升級(jí)的新賽道徐徐展開(kāi)。?MarketsandMarkets預(yù)計(jì),到2024年,零信任安全的全球市場(chǎng)規(guī)模將達(dá)到386.31億美元(約合人民幣2585.6億元),復(fù)合年化增長(zhǎng)率為19.9%。
今年1月27日,谷歌云官方發(fā)布博客宣布,零信任平臺(tái)BeyondCorp Enterprise正式上市,該產(chǎn)品替代并擴(kuò)展了谷歌云去年4月發(fā)布的BeyondCorp遠(yuǎn)程訪(fǎng)問(wèn)產(chǎn)品,標(biāo)志著零信任時(shí)代的正式到來(lái)。幾乎同一時(shí)間,網(wǎng)宿科技發(fā)布面向企業(yè)安全領(lǐng)域的新一代零信任遠(yuǎn)程訪(fǎng)問(wèn)接入產(chǎn)品——SecureLink。據(jù)介紹,網(wǎng)宿SecureLink遵循CSA軟件定義邊界(SDP)標(biāo)準(zhǔn)規(guī)范與Zero-Trust安全框架體系,并整合全鏈路傳輸加速能力開(kāi)發(fā)而成,顛覆了VPN、遠(yuǎn)程桌面等傳統(tǒng)內(nèi)網(wǎng)訪(fǎng)問(wèn)技術(shù),針對(duì)云與移動(dòng)時(shí)代企業(yè)全場(chǎng)景遠(yuǎn)程辦公安全訪(fǎng)問(wèn)需求,提供以身份認(rèn)證與動(dòng)態(tài)信任為基礎(chǔ)的企業(yè)遠(yuǎn)程訪(fǎng)問(wèn)安全接入服務(wù)。證券日?qǐng)?bào)網(wǎng)報(bào)道稱(chēng),網(wǎng)宿科技為CDN轉(zhuǎn)型云安全的后起之秀,今年在零信任領(lǐng)域發(fā)力較為明顯,基于中國(guó)本土產(chǎn)業(yè)格局,零信任安全公司估值仍具有較大想象空間。
網(wǎng)絡(luò)安全的潮水正在轉(zhuǎn)向,零安全網(wǎng)絡(luò)時(shí)代已悄然降臨。
vanti 在美國(guó)時(shí)間周四公布了影響其 Connect Secure VPN 設(shè)備的一個(gè)新的高嚴(yán)重性漏洞的詳細(xì)信息,這是過(guò)去一個(gè)月披露的第五個(gè)此類(lèi)漏洞。
據(jù)研究人員稱(chēng),此次披露之際,最近發(fā)現(xiàn)的影響 Ivanti VPN 設(shè)備的三個(gè)漏洞目前正在被大規(guī)模利用。
Ivanti 在周四的通報(bào)中表示,最新的漏洞 CVE-2024-22024 會(huì)影響 Connect Secure、Policy Secure 和 ZTA(零信任訪(fǎng)問(wèn))網(wǎng)關(guān)的“有限數(shù)量的受支持版本” 。
該公司表示,攻擊者可以利用該漏洞繞過(guò)身份驗(yàn)證并“訪(fǎng)問(wèn)某些受限制的資源”。
據(jù) Ivanti 稱(chēng),該缺陷的嚴(yán)重性評(píng)級(jí)為“高”,得分為 8.3 分(滿(mǎn)分 10.0 分),是在供應(yīng)商的內(nèi)部審查和代碼測(cè)試過(guò)程中發(fā)現(xiàn)的。
到目前為止,“我們沒(méi)有證據(jù)表明該漏洞被廣泛利用”,Ivanti 在公告中表示。
威脅跟蹤公司 Shadowserver 本周表示,發(fā)現(xiàn)服務(wù)器端請(qǐng)求偽造漏洞被廣泛利用,該漏洞編號(hào) CVE-2024-21893,漏洞會(huì)影響 Connect Secure 設(shè)備。
Shadowserver 研究人員周日表示,他們觀察到 170 個(gè)不同的 IP 地址試圖利用該漏洞進(jìn)行攻擊,并于周四告訴 TechCrunch ,這些攻擊現(xiàn)在來(lái)自 630 個(gè)不同的 IP。
該漏洞于 1 月 31 日首次披露,成為第三個(gè)被攻擊者大規(guī)模利用的 Connect Secure 漏洞。
據(jù)網(wǎng)絡(luò)安全公司 Volexity 的研究人員稱(chēng),這兩個(gè)漏洞最初是在1 月 10 日披露的 Connect Secure 漏洞,從1 月 16 日起開(kāi)始出現(xiàn)大規(guī)模利用。
最初的漏洞是身份驗(yàn)證繞過(guò)漏洞(跟蹤號(hào)為 CVE-2023-46805)和命令注入漏洞(CVE-2024-21887)。
Ivanti 表示,攻擊者可以結(jié)合使用這些漏洞來(lái)瞄準(zhǔn)其 Connect Secure VPN 的客戶(hù)。
該公司表示,以這種方式使用時(shí),“利用不需要身份驗(yàn)證,并使威脅行為者能夠制作惡意請(qǐng)求并在系統(tǒng)上執(zhí)行任意命令”。
Ivanti 表示,這些漏洞“影響所有受支持的 Connect Secure 版本”。這些缺陷還會(huì)影響 Ivanti 的策略安全網(wǎng)關(guān)。
Mandiant 研究人員此前報(bào)道(https://www.mandiant.com/resources/blog/investigating-ivanti-zero-day-exploitation)稱(chēng),這兩個(gè)最初的 Ivanti VPN 漏洞已被追蹤為 UNC5221 的威脅組織以及“其他未分類(lèi)的威脅組織”進(jìn)行了“廣泛的利用活動(dòng)” 。
谷歌旗下 Mandiant 的研究人員表示,UNC5221——“疑似與某國(guó)有關(guān)系的間諜威脅組織”——發(fā)起的攻擊可以追溯到 12 月 3 日。
Ivanti 于 1 月 31 日發(fā)布了針對(duì)原始 VPN 漏洞的第一個(gè)補(bǔ)丁,并分享了自 1 月 10 日以來(lái)披露的所有五個(gè) Connect Secure 漏洞的緩解措施。
對(duì)于新發(fā)現(xiàn)的身份驗(yàn)證繞過(guò)漏洞,Ivanti 在 1 月 31 日發(fā)布的緩解措施“可以有效阻止這個(gè)易受攻擊的端點(diǎn),現(xiàn)在可以通過(guò)標(biāo)準(zhǔn)下載門(mén)戶(hù)獲得”,該公司在周四的公告中表示。
Connect Secure 漏洞的大規(guī)模利用促使美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 于 1 月 19 日發(fā)布了 2024 年第一個(gè)“緊急指令”。
隨后,2 月 1 日,CISA 命令聯(lián)邦民事機(jī)構(gòu)采取極端措施,在 48 小時(shí)內(nèi)斷開(kāi)所有 Ivanti Connect Secure VPN。
IT 和安全軟件提供商 Ivanti 通過(guò) 2020 年收購(gòu) Pulse Secure 獲得了 Connect Secure VPN 背后的技術(shù)。
參考鏈接:https://www.crn.com.au/news/ivanti-discloses-fifth-major-vpn-vulnerability-in-a-month-604960
友情鏈接: 餐飲加盟
地址:北京市海淀區(qū) 電話(huà):010- 郵箱:@126.com
備案號(hào):冀ICP備2024067069號(hào)-3 北京科技有限公司版權(quán)所有