防范加密货币挖矿攻击的最佳实践
使用 VPC Service Controls 为 Compute Engine 和 GKE 资源创建服务边界。借助 最佳实时外汇培训和资源 VPC Service Controls,您可以控制边界外与 Compute Engine 资源的通信。实施服务边界后,边界内可进行自由的通信,阻止数据渗漏,并且可阻止边界外的服务通信。使用 IP 地址和用户身份等情境感知访问权限特性进一步控制从互联网对 Google Cloud 服务的访问。
设置零信任安全性
使用 BeyondCorp Enterprise 设置零信任安全性BeyondCorp Enterprise 提供威胁和数据保护以及访问权限控制。如果您的工作负载同时位于本地和 Google Cloud 中,请配置 Identity-Aware Proxy (IAP)。配置 TCP 转发以控制哪些人可以通过公共互联网访问 Google Cloud 资源上的 SSH 和 RDP 等管理服务。TCP 转发可防止这些服务在互联网上公开曝光。
确保 Compute Engine 和 GKE 资源的安全
加密货币挖矿攻击需要访问 Compute Engine 和 GKE 资源。本部分介绍有助于保护 Compute Engine 和 GKE 资源的最佳实践。
确保虚拟机映像的安全
通过配置安全强化型虚拟机来使用经过安全强化的精选虚拟机映像。安全强化型虚拟机的设计可以防止在启动周期内加载内核级恶意软件或 rootkit 等恶意代码。安全强化型虚拟机可提供启动安全性,监控完整性并使用虚拟可信平台模块 (vTPM)。
要限制可以部署哪些映像,您可以实施可信映像政策。定义可信映像项目组织政策定义了哪些项目可以存储映像和永久性磁盘。确保这些项目中仅存在可信映像和维护的映像。
在 GKE 中,确保您的容器使用基础映像,该映像会定期使用安全补丁进行更新。此外,请考虑使用 distroless 容器映像,其中仅包含您的应用及其运行时依赖项。
确保对虚拟机的 最佳实时外汇培训和资源 最佳实时外汇培训和资源 SSH 访问的安全
配置 OS Login 以管理对 Compute Engine 中运行的虚拟机的 SSH 访问。OS Login 通过将管理员的 Linux 用户帐号与其 Google 最佳实时外汇培训和资源 身份相关联可简化 SSH 访问管理。OS Login 与 IAM 搭配使用,以便您可以定义管理员拥有的权限。
限制服务帐号
服务帐号是工作负载用于调用服务的 Google API 的 Google 最佳实时外汇培训和资源 Cloud 帐号。
不允许 Google Cloud 在创建资源时为其分配默认服务帐号角色。如需了解详情,请参阅限制服务帐号的使用。
如果您的应用在 Google Cloud 外部运行,但需要访问 Google Cloud 资源,请勿使用服务帐号密钥。相反,请实现工作负载身份联合来管理外部身份以及您与这些身份相关的权限。对于 GKE,您可以实现工作负载身份。如需了解详情,请参阅服务帐号的替代方案。
监控服务帐号和服务帐号密钥的使用情况
设置监控功能,以便跟踪服务帐号和服务帐号密钥在您的组织中的使用情况。如需深入了解重要的使用模式,请使用服务帐号数据分析。例如,您可以使用服务帐号数据分析来跟踪项目中权限的使用情况,并识别未使用的服务帐号。如需查看上次使用服务帐号和密钥来调用 Google API 执行身份验证活动的时间,请查看服务帐号和服务帐号密钥的近期使用情况。
监控和修补虚拟机及容器
为了启动加密货币挖矿攻击,攻击者通常会利用错误配置和软件漏洞来获取 Compute Engine 和 最佳实时外汇培训和资源 GKE 资源的访问权限。
如需深入了解应用于您的环境的漏洞和错误配置,请使用 Security Health Analytics 扫描您的资源。特别是,如果您使用 Security Command Center 高级方案,请查看所有 Compute Engine 实例发现结果和容器发现结果并设置流程以快速解决问题。
使用 Container Analysis 检查存储在 Artifact Registry 或 Container Registry 中的容器映像是否存在漏洞。
确保您的组织可以在补丁程序可用时立即部署补丁程序。您可以将 OS 最佳实时外汇培训和资源 Patch Management 用于 Compute Engine。Google 会自动在 GKE 中修补漏洞。如需了解详情,请参阅确保映像和集群保持最新状态。
使用 WAF 保护您的应用
攻击者可以通过在部署的应用中查找第 7 层漏洞来尝试访问您的网络。为了帮助缓解这些攻击,请配置 Google Cloud Armor,这是一个使用第 7 层过滤和安全政策的 Web 最佳实时外汇培训和资源 应用防火墙 (WAF)。Google Cloud Armor 为托管在 Google Cloud、本地或其他云端的应用和服务提供拒绝服务攻击 (DoS) 和 WAF 保护。
Google Cloud Armor 包含一个 WAF 规则,可帮助解决 Apache Log4j 漏洞。攻击者可以使用 Log4j 漏洞引入可以执行未授权加密货币挖矿的恶意软件。如需了解详情,请参阅 Google Cloud Armor WAF 规则以帮助处理 Apache Log4j 漏洞。
确保供应链的安全
持续集成和持续交付 (CI/CD) 提供了一种快速向客户交付最新功能的机制。为了帮助防止加密货币挖矿攻击破坏您的流水线,请执行代码分析并监控您的流水线中是否存在恶意攻击。
管理 Secret 和密钥
定期轮替加密密钥
确保定期轮替所有加密密钥。如果 Cloud KMS 管理加密密钥,您可以自动轮替加密密钥。
如果您使用具有 Google 管理的密钥对的服务帐号,则这些密钥也会自动轮替。
避免下载 Secret
如果您使用的是 GitHub 或其他公共代码库,则必须避免泄露凭据。使用密文扫描等工具,以便收到 GitHub 代码库中密文泄露的警告。如需停止向 GitHub 代码库提交密钥,请考虑使用 git-secrets 等工具。
使用 Secret Manager 和 Hashicorp Vault 最佳实时外汇培训和资源 等密文管理解决方案来存储密文,定期进行轮替,并应用最小权限。
检测异常活动
如需监控异常活动,请配置 Google Cloud 和第三方监控工具并设置提醒。例如,根据 Compute Engine 审核日志记录信息和 最佳实时外汇培训和资源 GKE 审核日志中的管理员活动配置提醒。
此外,使用 Security Command Center 中的 Event Threat 最佳实时外汇培训和资源 Detection 找出基于管理员活动、群组更改和 IAM 权限更改的威胁。
更新突发事件响应方案
确保您的突发事件响应方案和 playbook 为您的组织如何应对加密货币挖矿攻击提供了规范性指导。例如,确保您的方案包含以下内容:
- 如何通过 Cloud Customer Care 提交支持请求,并与您的 Google 技术支持客户经理 (TAM) 联系。如果您没有支持帐号,请查看可用的支持方案并创建一个支持帐号。
- 如何区分合法的高性能计算 (HPC) 工作负载和加密货币挖矿攻击。例如,您可以标记哪些项目启用了 HPC,并针对意外增加费用的情况设置提醒。
- 如何处理已遭破解的 Google Cloud 凭据。
- 如何隔离受感染的系统并从健康状况良好的备份恢复系统。
- 您的组织中的哪些人必须收到通知以调查和应对攻击。
- 您需要记录哪些信息来执行回顾性活动。
- 如何验证您的补救措施是否有效地移除了挖矿活动并解决了导致攻击的初始漏洞。
- 如何响应从 Cloud Customer Care 发送的提醒。如需了解详情,请参阅违反政策常见问题解答。
实施灾难恢复方案
- 在 Google Cloud 架构框架:安全性、隐私权和合规性中找到更多安全性方面的最佳做法。 。
- 按照 Google Cloud 安全基础蓝图中的说明在 Google Cloud 中部署安全基准。
Except as otherwise noted, the content of this page is licensed under the Creative Commons Attribution 4.0 License, and code samples are licensed under the Apache 2.0 License. For details, see the Google Developers Site Policies. Java is a registered trademark of Oracle and/or its affiliates.
适合初学者的最佳交易平台 2022年
如何选择好用的交易平台
说到底,用自己的血汗钱投资,您需要 100% 确信您选择的交易平台适合您且与您的财务目标相符合。
好消息是,在一份列明关键指标的“清单”上一一打钩,找到 2022 年度最佳交易平台不再那么单调乏味。
监管情况
业内最好的在线交易平台将受到美国金融业监管局(FINRA)和美国证券交易委员会(SEC)等机构的严格监管。其他重要监管机构分别还有:英国和澳大利亚的 FCA 与 ASIC。
最佳实时外汇培训和资源
✖ 数据保护法规正在朝着更好的方向变化,我们需要您的同意才能使用cookie. 你以后可以随意改变主意,也可以在任何时候选择加入. 点击这里查看您的cookie首选项. 如果您有兴趣了解我们如何处理您的数据, 请在这里查看巴黎人官方app的完整数据使用政策.
准备好继续前进了? 你来对地方了. 注册并开始探索Altair的最新发现.
隐私 | 网站使用条款 | 饼干的同意 | 新型冠状病毒肺炎
©2022巴黎人官方app工程有限公司. 保留所有权利. 我们目前在纳斯达克上市,名称为ALTR.
交易实验室课程
Interactive Brokers ®, IB SM , InteractiveBrokers.com ®, Interactive Analytics ®, IB Options Analytics SM , IB SmartRouting SM , PortfolioAnalyst ®, IB Trader Workstation SM 和One World, One Account SM 是盈透证券有限公司(Interactive Brokers LLC)的服务标示和/或注册商标。任何声明的证明文件和统计数据均将根据要求提供。显示的交易代码仅作演示计,不旨在构成任何推荐。