我们最近谈到了你可以扩展Linode VLANs的功能的方法,包括用VPCs隔离你的网络和额外的配置来扩展VLANs到多个区域。部署和维护一个安全的网络往往需要额外的应用程序和工具,以确保不断增长的环境中的可见性。以下是Marketplace中的一些应用程序,以进一步确保你的VLAN或VPC的安全。
让我们从任何VLAN或VPC配置的一个绝对关键的组成部分开始--用于用户访问隔离资源的VPN。WireGuard是最受欢迎的VPN之一,它是一种类似OpenVPN或IPSec的协议。它很精简、快速,而且非常安全。在实践中,精简意味着更少的CPU使用量,快速意味着更低的延迟和连接时间,而安全则是通过设计来实现严密的现代密码学原语。
WireGuard的攻击面也很低,直到代码水平。它是为Linux构建的,只有不到4000行代码,而OpenVPN或IPSec VPN则有几十万行。甚至Linus Tolvards也对Wireguard有一些积极的评价,因为它正准备在2018年并入Linux内核。
我们依靠VPN来保证我们在公共互联网上的数据安全,所以让我们从行业中最受好评的协议之一开始。
Linode和WireGuard的资源:部署应用程序|部署指南|WireGuard主页
WardSpeed是一个使用WireGuard协议的VPN服务器,并为用户体验增加了一些环绕式功能。WarpSpeed支持多个SSO供应商、连接历史和实时带宽监控。值得注意的是,尽管WarpSpeed使用了WireGuard协议,但它是一个独立的项目,与WireGuard开发团队没有关系。
WarpSpeed对一个用户是免费的,并且有一定数量的连接,有付费的商业计划选项。
Linode和WarpSpeed的资源:部署应用程序|部署指南|WarpSpeed主页
Wazuh是一个统一的安全平台,提供统一的SIEM和XDR功能。它可以通过监控基础设施和检测威胁、漏洞或入侵来保护多个环境中的工作负载。
- SIEM-安全 信息 事件 管理从你环境的每个部分收集日志数据,并提供发现恶意活动的可见性。
- XDR--扩展 检测和响应侧重于威胁响应或主动缓解。
*注意:这些是非常广泛的定义。XDR是一个相对较新的术语,SIEM和XDR解决方案的功能往往有重叠。
SIEM和XDR对于提供不断增长的环境的可见性以及快速和完整地应对威胁来说都变得至关重要。
既然我们谈论的是私人网络,那么我们就来看看用Wazuh进行入侵检测。Wazuh可与网络入侵检测(NIDS)工具结合使用,如Suricata,以监控网络中转点或进出单个服务器的流量。Wazuh会收集整个环境中的NIDS事件,并将其导入一个统一的仪表盘。请查看Wazuh的文档,了解如何利用Suricata捕获可疑的网络流量。
Linode和Wazuh资源:部署应用程序|部署指南|Wazuh主页
Kali在Linode上可以直接作为一个一键式应用,并且仍然是一个非常受欢迎的渗透测试和研究的安全平台。Kali是一个预装了业内最广泛使用的安全工具的Linux发行版。让我们只看一下几个大的。
- Nmap是Network Mapper的缩写,使用原始IP数据包从您的环境中提取系统和网络清单。Nmap可以快速扫描大型网络并返回可用主机的列表,它们正在运行什么服务,有什么类型的过滤器/防火墙,以及更多。
- Wireshark是一个领先的网络流量分析器,用于实时排除问题。Wireshark是网络管理工具包中的一个主要部分,它使我们能够深入了解从丢弃的数据包到延迟问题的任何情况,甚至能够发现恶意活动。Wireshark需要对TCP/IP网络有相当的工作知识,但有大量的文档可以帮助你开始使用。
- Metasploit是一个渗透测试框架,使我们能够使用一个庞大的已知漏洞数据库来模拟对我们网络的真实攻击。它使我们能够在第一时间发现并缓解我们环境中的任何漏洞。
Linode和Kali Linux资源:部署应用程序|部署指南|Kali Linux主页
在Linode上的安全网络
Linode提供免费的VLAN服务,最近在我们的伦敦和法兰克福数据中心扩展到欧洲。VLAN是在部署新Linode的过程中创建的,包括在部署Marketplace应用程序时。在一个Linode上最多可以应用三个VLAN。阅读文档,了解完整的部署说明。你也可以通过类似VPC的实施来建立冗余的、安全的、地理分布的应用程序。
注释