未分類
5 2 月 2021

不在一个内网环境下怎么保证一些组件的安全?

不在一个内网环境下怎么保证一些组件的安全?

資深大佬 : VisionKi 12

最近看到 Nacos 的鉴权漏洞,虽然最新版已经有解决方案了,但在文档上看到:

Nacos 定义为一个 IDC 内部应用组件,并非面向公网环境的产品,建议大家不要暴露在公网环境。

因为杂七杂八买了好几个服务器,且不说云厂商不同,即便是同个厂商的服务器,在不同地域的情况下也走不了内网。

如果我想在这些服务器部署项目并且使用 Nacos 这类组件,按照建议来做的话,是用防火墙和安全组限制出入站 IP ?

大佬有話說 (3)

  • 資深大佬 : letitbesqzr

    首先第一步 肯定是限制掉只允许某些 ip 访问。

    之前就遇到过某组件,没限制 ip 访问,但是该组件有登录验证,密码设置的很复杂,以为就安全了…. 结果没想到曝出了越权漏洞…

  • 資深大佬 : loading

    很多人不了解内网和外网很多东西的取舍。例如 HTTPS 外网就必须,而一但进入机房后,就应该解掉 ssl 从而减轻加解密内耗了。

    但是很多人就将这些裸奔到互联网。

  • 資深大佬 : eason1874

    应用内部流量可以走专用端口,然后在防火墙和安全组指定这个端口只允许你的其他服务器 IP 访问。

    但不是说内网流量就不用鉴权了,防内网越权和内网横向移动也是很重要的。像 Nacos 那个 UA 授权后门,随便一个有权访问的节点中招就能越权,一台感染全网感染,指望内网隔离来负责安全是扯淡做法。