V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
VisionKi
V2EX  ›  问与答

不在一个内网环境下怎么保证一些组件的安全?

  •  
  •   VisionKi · 2021-01-18 11:59:04 +08:00 · 1061 次点击
    这是一个创建于 1424 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近看到 Nacos 的鉴权漏洞,虽然最新版已经有解决方案了,但在文档上看到:

    Nacos 定义为一个 IDC 内部应用组件,并非面向公网环境的产品,建议大家不要暴露在公网环境。
    

    因为杂七杂八买了好几个服务器,且不说云厂商不同,即便是同个厂商的服务器,在不同地域的情况下也走不了内网。

    如果我想在这些服务器部署项目并且使用 Nacos 这类组件,按照建议来做的话,是用防火墙和安全组限制出入站 IP ?

    3 条回复    2021-01-18 13:14:51 +08:00
    letitbesqzr
        1
    letitbesqzr  
       2021-01-18 12:41:10 +08:00
    首先第一步 肯定是限制掉只允许某些 ip 访问。

    之前就遇到过某组件,没限制 ip 访问,但是该组件有登录验证,密码设置的很复杂,以为就安全了.... 结果没想到曝出了越权漏洞...
    loading
        2
    loading  
       2021-01-18 12:58:53 +08:00 via Android
    很多人不了解内网和外网很多东西的取舍。例如 HTTPS 外网就必须,而一但进入机房后,就应该解掉 ssl 从而减轻加解密内耗了。

    但是很多人就将这些裸奔到互联网。
    eason1874
        3
    eason1874  
       2021-01-18 13:14:51 +08:00
    应用内部流量可以走专用端口,然后在防火墙和安全组指定这个端口只允许你的其他服务器 IP 访问。

    但不是说内网流量就不用鉴权了,防内网越权和内网横向移动也是很重要的。像 Nacos 那个 UA 授权后门,随便一个有权访问的节点中招就能越权,一台感染全网感染,指望内网隔离来负责安全是扯淡做法。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2119 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 16:09 · PVG 00:09 · LAX 08:09 · JFK 11:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.