我们最近讨论了扩展 Linode VLAN 功能的方法,包括 使用 VPC 隔离网络 以及 跨多个区域扩展 VLAN 的额外配置。部署和维护安全网络通常需要额外的应用程序和工具,以确保在不断增长的环境中的可见性。以下是一些可用的应用程序 Marketplace 以进一步保护您的 VLAN 或 VPC。
让我们从任何绝对关键的组件开始 VLAN 或 VPC 配置 – 供用户访问隔离资源的 VPN。WireGuard 是最受欢迎的 VPN 之一,是一种类似于 OpenVPN 或 IPSec 的协议。它精益、快速且非常安全。实际上,精益意味着更少的 CPU 使用率,快速意味着更低的延迟和连接时间,而安全是通过实现严格的现代 加密原语而设计的。
WireGuard的攻击面也很低,直到代码水平。它是为Linux构建的,只有不到4000行代码,而OpenVPN或IPSec VPN则有几十万行。甚至Linus Tolvards也对Wireguard有一些积极的评价,因为它正准备在2018年并入Linux内核。
我们依靠VPN来保证我们在公共互联网上的数据安全,所以让我们从行业中最受好评的协议之一开始。
Linode和WireGuard的资源:部署应用程序|部署指南|WireGuard主页
WardSpeed是一个使用WireGuard协议的VPN服务器,并为用户体验增加了一些环绕式功能。WarpSpeed支持多个SSO供应商、连接历史和实时带宽监控。值得注意的是,尽管WarpSpeed使用了WireGuard协议,但它是一个独立的项目,与WireGuard开发团队没有关系。
WarpSpeed对一个用户是免费的,并且有一定数量的连接,有付费的商业计划选项。
Linode和WarpSpeed的资源:部署应用程序|部署指南|WarpSpeed主页
Wazuh是一个统一的安全平台,提供统一的SIEM和XDR功能。它可以通过监控基础设施和检测威胁、漏洞或入侵来保护多个环境中的工作负载。
- SIEM-安全 信息 事件 管理从你环境的每个部分收集日志数据,并提供发现恶意活动的可见性。
- XDR--扩展 检测和响应侧重于威胁响应或主动缓解。
*注意:这些是非常广泛的定义。XDR是一个相对较新的术语,SIEM和XDR解决方案的功能往往有重叠。
SIEM和XDR对于提供不断增长的环境的可见性以及快速和完整地应对威胁来说都变得至关重要。
既然我们谈论的是私人网络,那么我们就来看看用Wazuh进行入侵检测。Wazuh可与网络入侵检测(NIDS)工具结合使用,如Suricata,以监控网络中转点或进出单个服务器的流量。Wazuh会收集整个环境中的NIDS事件,并将其导入一个统一的仪表盘。请查看Wazuh的文档,了解如何利用Suricata捕获可疑的网络流量。
Linode和Wazuh资源:部署应用程序|部署指南|Wazuh主页
Kali在Linode上可以直接作为一个一键式应用,并且仍然是一个非常受欢迎的渗透测试和研究的安全平台。Kali是一个预装了业内最广泛使用的安全工具的Linux发行版。让我们只看一下几个大的。
- Nmap是Network Mapper的缩写,使用原始IP数据包从您的环境中提取系统和网络清单。Nmap可以快速扫描大型网络并返回可用主机的列表,它们正在运行什么服务,有什么类型的过滤器/防火墙,以及更多。
- Wireshark是一个领先的网络流量分析器,用于实时排除问题。Wireshark是网络管理工具包中的一个主要部分,它使我们能够深入了解从丢弃的数据包到延迟问题的任何情况,甚至能够发现恶意活动。Wireshark需要对TCP/IP网络有相当的工作知识,但有大量的文档可以帮助你开始使用。
- Metasploit是一个渗透测试框架,使我们能够使用一个庞大的已知漏洞数据库来模拟对我们网络的真实攻击。它使我们能够在第一时间发现并缓解我们环境中的任何漏洞。
Linode和Kali Linux资源:部署应用程序|部署指南|Kali Linux主页
在Linode上的安全网络
Linode 提供免费的 VLAN 最近在伦敦和法兰克福数据中心扩展到欧洲的服务。VLAN 是在部署新 Linode 的过程中创建的,包括在部署 Marketplace 应用程序。最多将三个 VLAN 应用于单个 Linode。有关完整的部署说明,请阅读文档。您还可以通过类似 VPC 的实施来构建冗余、安全和地理分布式应用程序。
注释