安全解决方案:分布式追踪工具
优采云 发布时间: 2022-10-29 14:20安全解决方案:分布式追踪工具
云原生
应用安全检测 9.1.2.1 API 漏洞
API 的漏洞检测通常可以通过使用扫描程序执行定期漏洞扫描来执行。国内主要安全厂商提供扫描仪产品,如绿盟科技的远程安全评估系统(RSAS)和Web应用漏洞扫描系统(WVSS)。),除了,
我们还可以使用其他商业扫描仪,例如 AWVS(Acunetix Web Vulnerability Scanner)、AppScan、Burp Suite、Nessus 等。
9.1.2.2 针对 API 的攻击检测
面对 API 的威胁,目前使用传统的 API 网关进行防护。比如Kong、Zuul、Orange等都有自己的API安全解决方案
. 但是随着应用的云原生特性,出现了很多云原生的API网关,比如Kong、Ambassador、Gloo等,都可以基于Kubernetes进行部署。API网关虽然在一定程度上防御了应用程序的API威胁攻击,但其防护的是南北向流量,服务网格内部的东西向流量检测和防护并没有得到有效缓解。理想的解决方案应该是东西/南北方向的全面检测。
针对这一需求,业界已经制定了相应的解决方案,主要是云原生网关和Service Mesh的结合,其中Service Mesh负责东西向流量的检测和保护。对于服务网格,使用主流的 Istio 和 Kong。Kuma 的服务网格。
Istio 主要通过其内置的 Envoy 过滤器实现东西流量检测,而 Kuma 则依靠 Kong 的安全插件来实现相应的检测保护。笔者对比了Gloo+Istio、Ambassador+Istio、Kong+Kuma这三种方案的安全能力,比如
下表显示:
表 9.1 云原生环境下 API 保护方案的安全能力对比
|解决方案|Gloo+Istio|Ambassdar+Istio|Kong+Kuma|
|防护维度|东/南北|东/南北|东/南北|
|WAF支持|支持|支持|支持|
|访问控制|支持|支持|支持|
|授权机制|支持|支持|支持|
|认证机制|支持|支持|支持|
|证书管理|支持|支持|支持|
|网站锁定|不支持|不支持|不支持|
|反爬虫|不支持|不支持|不支持|
|机器流量检测|不支持|不支持|支持|
|数据丢失防护|支持|不支持|不支持|
|CORS|支持|支持|支持|
|解决方案||Gloo+Istio|Ambassdar+Istio|Kong+Kuma|
|XSS||支持|不支持|不支持|
|CSRF||支持|支持|不支持|
|DDOS||支持|支持|不支持|
|黑白名单限制||支持|支持|支持|
|限速||支持|支持|支持|
|行为特征分析|AI|不支持|不支持|不支持|
|入侵检测||不支持|不支持|不支持|
|mTLS||支持|支持|支持|
从上表统计来看,Gloo+Istio 方案支持的安全项较多,Kong+Kuma 方案支持的安全项最少。
应用业务安全
上一篇从网络、应用等层面介绍了微服务面临的威胁。除此之外,微服务架构还面临着很多业务级的安全威胁。这些安全威胁往往影响业务的稳定运行,给业务系统带来经济损失。
业务安全问题分析
具体来说,应用面临的安全问题主要包括三类,分别是服务频率异常、服务参数异常、服务逻辑异常。我们以一个微服务架构的电子商务系统为例介绍业务安全。电子商务系统的典型流程如图 9.1 所示。
图 9.1 电子商务系统业务流程图
业务频率异常。频繁调用一个 API 或一组 API。如前所述,业务系统经常使用图形验证码来规避机器人刷机的操作。攻击者可以绕过验证码对应的微服务,直接操作订单,进而实现
机器刷单,电商一扫而光。
业务参数异常。相关参数通常在 API 调用过程中传递。该参数的取值会根据不同的业务场景有不同的取值范围。例如,商品数量必须是非负整数,价格必须大于0等。如果API对相应参数的监控机制不完善,攻击者往往会通过输入异常参数造成业务系统损失。例如,在一个电子商务系统中,如果只在商品介绍服务中验证商品价格,而在订单管理和支付服务中没有验证商品价格,攻击者可以直接调用订单管理和支付服务的API对订单进行验证。价格修改为0元或负值,给业务系统造成损失。
业务逻辑异常。与前两种异常相比,这种异常通常更为隐蔽。攻击者使用某些方法使 API 调用的逻辑顺序异常,包括丢失或颠倒的关键调用步骤。例如,在电子商务系统中,攻击者可以利用该漏洞绕过支付步骤并直接交付订单。这样,就会出现业务逻辑中关键步骤缺失的情况。上述业务频率异常中的验证码绕过异常也是业务逻辑异常。
业务异常检测
针对上述业务级安全问题,基于基线的异常检测是一种比较有效的方法:首先建立正常业务行为和参数的基线,然后找出偏离基线的异常业务操作。基线的建立需要与业务系统相结合。特点和专家知识共同完成。
在电子商务系统中,业务参数基线主要是基于专家知识建立的。例如,商品的价格不仅与商品本身有关,还与时间和各种优惠活动有关。这样的基线需要操作和维护人员持续维护。对于业务逻辑基线的建立,业务系统正式上线后,其运行逻辑一般不会发生很大变化,异常运行的比例较小。因此,可以采集业务系统的历史运行数据,结合统计分析和机器学习的方法,建立业务逻辑基线。与手动方法相比,
为此,可以利用6.4.3中分布式跟踪工具采集获取的数据,针对上述三种业务异常场景设计并实现业务异常检测引擎,如图9.2所示。其中,采集模块主要用于采集业务系统的运行数据,训练模块主要用于训练业务系统的历史数据获取行为特征数据,检测模块主要用于对正在运行的业务系统进行异常检测。
图 9.2 业务异常检测引擎设计图
检测引擎中各部分的具体功能为:
分布式跟踪工具。主要是采集微服务业务系统运行时产生的数据。目前常用的开源分布式追踪工具有Jaeger和Skywalking,sidecar也可以采集对应数据。在测试系统上进行了采集实验后,与其他两个采集工具相比,Jaeger能够获取最多的数据字段,检测到最丰富的异常场景。但是,Jaeger 需要在业务系统的源代码中。代码中的检测对开发团队来说更具侵入性。相反,sidecar模式没有代码和镜像的侵入性,但是通过反向代理拦截流量的模式也决定了它无法获取丰富的上下文,比如6.3中的trace API调用关系树(TraceID)。3 无法获得。如何利用侵入性较小的采集工具采集的数据,实现覆盖更多场景的异常检测,还需要大量的后续工作。
数据过滤和集成模块。该模块的主要作用是过滤掉数据集中的脏数据,提取出能够代表业务系统行为的数据。在微服务下,能够代表业务系统行为的数据有API调用关系树、服务名、操作名、HTTP POST参数等。
数据训练模块。预处理后的历史数据用于通过机器学习或统计方法训练业务系统中的正常行为,生成与业务系统正常行为相匹配的特征数据。这里训练的先验知识是,我们认为业务系统中大量存在的行为是正常行为,数量少的行为是异常行为。在训练过程中,需要根据专家知识对训练结果的检验,不断调整训练模型的参数。
检测引擎。将业务系统当前数据与特征数据进行搜索匹配,采用序列相似度计算等方法
在特征数据库中找到与当前行为最匹配的特征数据。检测引擎需要比较特征数据和当前数据与基线的相似度。如果比较结果表明当前行为与正常行为的差异在基线限度内,则为正常行为,如果超过基线限度,则判定为异常行为。对于基线,首先要根据专家知识设定一个合理的初始基线,根据不同场景调整基线,或者使用无监督模型调整基线,或者由运维人员手动维护基线。
服务网格安全
在 3.4 节中,我们已经识别了服务网格的安全风险。本节我们将以 Istio 为例介绍服务网格的安全防护部分。
参考
绿盟云原生安全技术报告
链接
GB-T 39786-2021 信息安全技术信息系统密码应用基本要求
解决方案:怎么建立蜘蛛池?
蜘蛛池 关键词 在早期的 seo 行业非常流行。那个时候,我们总听说某boss做了一个蜘蛛池,在网站中锁定了大量的蜘蛛。可以说是取之不尽,用之不竭。我们不否认蜘蛛池一开始是有效的,但现在很少有人谈论它。我们认为只有两种情况,一是蜘蛛池无效,二是成本高,那么,如何搭建蜘蛛池呢?
1. 程序
蜘蛛池以网站模板为基础,制作成不断更新的样式,吸引蜘蛛不断抢网站。这是一个直接销售的蜘蛛池程序,但我们认为它很可能会被搜索引擎识别,因为蜘蛛池程序需要盈利,必须有不止一个出售,所以更容易被识别.
2. 战略
如果自己搭建,策略要合理使用,比如使用多个域名进行网站相互链接,然后用单个站点作为蜘蛛池程序,组成更大的蜘蛛池,其中蜘蛛池程序需要有自己的显示方法的主要目的是避免搜索引擎的识别。当然,这样做的最终结果是成本太高,使用时间不确定,取决于搜索引擎的识别周期。
3.使用
因此,我们不建议我们现在使用蜘蛛池进行 SEO。我们还是应该关注如何创造内容,如何提升网站的用户体验,提升网站的价值,自然用户访问量会增加,进而网站的整体质量> 将继续改进。走捷径做seo,现在能实现的概率越来越低。
做搜狗蜘蛛池,让SEO更简单。很多SEO优化者都在追求搜狗快收录、快排等捷径!搜狗蜘蛛池,一个既熟悉又陌生的词。我们知道,搜索引擎网页的收录完全依赖于蜘蛛的爬取和爬取。搜狗蜘蛛池使用多个服务器和站点域名,并使用常规内容站点来养大量蜘蛛。它为蜘蛛每天爬行提供了大量的内容。当某些链接需要收录时,将这些链接提交给服务器进入搜狗蜘蛛池,大量蜘蛛会快速抓取这些网址。目前搜狗蜘蛛池对收录有帮助。如果是百万页面的网站,可以考虑使用Spider Pool来提高收录的访问率。
蜘蛛池搭建:通常的蜘蛛池程序都是基于大量的站群构建的,主要表现在不同类型的网站上,有的是新闻站群,有的是网站 目录 站群。因此,蜘蛛池是基于大量网站目录的蜘蛛池。使用网站目录本身对网站有一定的推荐功能,收录的效果非常明显。,这也是搜狗SEO优化人员一直使用蜘蛛池的原因。
自动化采集,智能建站站群管理系统,站群软件让建站变得简单,整合数据采集器,轻松发布内容到任何网站。
智能换站:智能生成千城、关键词变电站站群,让海量内容推送到搜索引擎,最大化搜索概率。
智能推送:每天可以主动向搜狗推送百万链接,同时主动向搜狗推送链接,有效保证新链接能被搜狗收录快速发现,加快百度发现速度,限制主动推送的推送次数。但是使用推送工具后,可以突破官方单站每天200次推送的限制,并且推送后的爬取速度更快,爬取更及时。
智能采集:智能采集主站的内容自动更新到子站,保证子站的内容可以不断更新。利用大数据,智能挖掘符合用户搜索习惯的相关关键词,并自动匹配子站,确保搜索引擎首页更多关键词。
智能链轮:各个子站相互链接,相互优化,保证网站有足够的内链。智能交换友情链接,吸引蜘蛛爬行,保证网站有足够的外链。
智能替换:智能替换分站内容,保证主要分站内容不重复。伪原创 用于搜索引擎,适合采集 大型网站。系统采用MIP移动加速技术,保证网站的访问速度。
目前蜘蛛池对收录还是有帮助的。如果是百万页的网站,可以考虑使用蜘蛛池来提高收录率,但是蜘蛛池的成本不低。蜘蛛池方案:每年几千台左右,站群服务器:每月1000台左右,视量而定,域名:每台20-50台左右,500个域名起。这种利用大平台向搜狗推送大量长尾关键词进行收录和排名,对于吸引蜘蛛收录有很好的促进作用。
只需购买蜘蛛池程序,购买好的服务器,并购买数百个域名。
谢谢你的邀请:
一般小蜘蛛池也要有100+的域名,独立服务器,多ip类型,二级域名都可以。
100+的域名一般都能看到效果,可以买其他不如pw的tk之类的。
为什么要使用专用服务器?百蜘蛛来的时候,非常吃服务器配置!硬盘驱动器经常飙升到 100%。
其实二级域名的效果并不是太明显,因为主站好,二级域名好用!如果您的主域名是垃圾。被二级域名吸引的蜘蛛还是太少,所以推荐使用主域名。
蜘蛛池模板需要优化。如果使用蜘蛛池自带的模板,大家都会做的不好。百度蜘蛛虽然是机器,但也能识别,所以要自己改模板。还有,随机文章,建议采集关注热点新闻,很多蜘蛛池都是小说。热门新闻百度蜘蛛喜欢。
你需要时间来做一个蜘蛛池。不是说建好了蜘蛛池就可以高枕无忧了。如果你这么想,你的蜘蛛池最终会变得鸡肋。是的,当然,域名越多越好。我说的100+是给你看效果的。
不要说服务器IP。IP越多越好,因为都在同一个IP上,搜索引擎会判断你在做什么是站群,对你来说很容易掉。如何让蜘蛛池在短时间内生效,你可以发挥你的力量。前期外推、租用蜘蛛池、二级目录等都是不错的方法,但我强烈建议大家使用暗链中的一种技术(文暗链),暗链不易发现文字暗链是把你的链接放在高权重的网站上面,但是文字颜色设置为和背景颜色一样,这样别人看不到,但是蜘蛛可以爬到,蜘蛛会根据你的文字暗链去你的网站。该方法安全、稳定、有效。注意文字暗链并没有在代码中添加div隐藏或其他隐藏,而是将文字的颜色调整为与背景颜色相同。最好放在导航栏或者文章,效果绝对没话说。
也可以考虑过去租个蜘蛛池,给自己的蜘蛛送蜘蛛。. . 这种方法是可耻的。但我发现这是一种蜘蛛新蜘蛛池的好而快捷的方法。
首先权衡您自己的时间和资本投资成本。
链接池有两种玩法
部分是网链,那是因为博客论坛类一开始权重高,收录快,可以很好的引导蜘蛛;
另一部分是玩站群。这个投资比链轮高,因为服务器和域名都需要投资,好在做一个独立的IP站点,以防猜疑。有些是国外或香港服务器,不需要记录,网站使用较多的模板,内容通过采集或伪原创传递,如果可以在发布中使用工具,可以使用可以减少劳动力的工具
对黑帽了解不多。除非您特别熟悉搜索引擎蜘蛛算法,否则请说实话。
谢谢:虽然我听说过这个名字,但之前没有接触过,所以无法判断。如果我个人建议的话,最好用正式的手段来优化排名。效果虽然慢,但出现排名时会有成就。感觉。形式优化永远不会过时。蜘蛛池能用多久还是个未知数,所以推荐给白帽SEO。你知道蜘蛛池,说明你在这个行业有很多经验,对常规方法了如指掌。个人意见仅供参考。白帽SEO从业者山西seo
网站 外部链接,是真的吗?
新做的蜘蛛池免费帮人做,提供知识
有人讨论过吗?
