0x1本周话题
话题一:一个域名下不同端口挂载不同应用系统,这样算合规吗?
A1:在我们这里不合规。
Q:风险点是?
A2:一个挂了都挂了。
A3:一个出口IP挂一堆域名,单独拎出来的域名加端口都能解析到某个应用,这样就行了是吧。除非资源紧张,一般也不会逮着一个ip使劲薅吧。
A4:有那种一个域名,然后后面转了好多路由,不同路由业务不一样。还有那种,同一个端口,一个ng转发,不同目录控制应用。
A5:我们是一个ip不同端口不同系统。
A6:不用目录这个更合理一点吧。
A7:目录是错的,抓着他们整改了。
A8:从资产管理角度来看,也不应该一个域名不同端口来玩啊。
A9:我觉得不会是一个域名吧,应该是有多个域名。只不过这一个域名加端口都能解析到不同的应用。
A10:只能域名访问就行了吧,这个单IP访问的风险是在运营商那里?
A11:一个IP可以理解,同一个域名我觉得不可取。单IP就是单纯的资源问题,和方便问题咯,顺手就放那了。一个IP就一个IP了,升级无非是再找个运营商,域名用子域名或者不同路由。
A12:没啥合规不合规,就看你们公网IP资源紧张不紧张。主要是应用层能不能控制得住的问题。
A13:单IP的话,一般这个IP都是在负载均衡上。我们是同一个证书的域名都解析到同一个SLB。
A14:单ip没问题,要区分域名,比较好管理。
A15:SLB在到WAF。
Q:大家多个域名会买ev证书吗?ev还是挺贵的。
A16:主要几个业务买的ev,其他的是ov。
Q:ov通配吗?
A17:不是,量少按需采购。
话题二:大家对IP封禁的良好实践是怎么样的?特别是在国内大NAT的情况下,每天看告警,真的担心影响业务访问,对公的还可能会直接联系过来,对私业务,一旦封了,下次发现很可能就是有舆情了,如果只是封一段时间,那封多久比较合适?
A1:我们是5-30-60。
Q:每次封禁分钟数?
A2:递增的,第一次拉黑,第二次拉黑,第三次以上拉黑。
A3:我记得有一期周报专门讨论了这个问题,对于不同类型的IP要有不同的封禁策略,甚至要和你行的业务结合起来。
A4:核心是考验业务白名单的管理能力,不然封IP的那点收益,根本没法填业务中断客诉各种大坑。
A5:封IP是不是太粗糙了,封账号,封设备啥的。
A6:担心的就是这个,想通过IP封禁起到一个降噪的作用,能想到的就是从威胁情报作为佐证,其他的方式都有风险。
A7:该封就封,但是要建立好好白名单和对应的流程。
A8:根据IP类型来封,除了专线要谨慎点,其他该封就封,可以隔一段时间根据最后一次命中时间来释放一些IP。
A9:流程除了解封的流程,还有如果业务合作,需要提供合作方ip,如果有的话。万一合作方sb一回,给封了,也要扯皮。
A10:保留好证据,也许还能提醒合作方。
Q:隔一段时间根据最后一次命中时间来释放一些IP 是指?
A11:就是如果一段时间没有攻击流量,就把IP释放出来。
A12:我们就经历了一回,对方程序bug ,直接变成ddos了,封了,业务还来找。
A13:好好找,不扯皮就行。
A14:嗯,这就是我们的教训,一定要业务来报备,如果封ip的话。
Q:怎么报备?
A15:这就是考验流程如何落地的事情了,业务负责人需要有这个意识,定期也要发邮件公告一下。
A16:封什么肯定要做判断的啊,哪有无脑封ip的,这个就是把安全和业务做绝对对立。
原文始发于微信公众号(君哥的体历):银行环境中IP封禁的实践及域名端口的合规讨论 | 总第233周
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论