什么是多层防御？

多层防御是指由多个独立的安全管理层组成的安全策略，即使其中一层出现故障或受到损害，也能确保功能继续运行。 这些层面一般包括人员、技术、运营等因素。 通过对这些管理系统进行分层，数据处理过程中某一层无法缓解的攻击可以被同一系统内的另一层阻止。

实施多层防御策略的方法有多种。 对于技术方面，建议考虑以下三点：

1. 拒绝服务（DoS）保护： 实施 DoS 保护可以阻止 DoS 攻击，防止其导致应用程序过载，同时提高客户体验的质量和可预测性。 为了最大限度地提高 DoS 保护的有效性，请在网络边界全局部署它们，以覆盖所有应用程序、API、服务，并补充其他流量管理和安全工具。 DoS 解决方案还有助于阻止分布式拒绝服务 (DDoS) 攻击，增强其影响。 DDoS 攻击涉及使用大量机器人或受感染的系统来向特定的网络资产、应用程序或一个或多个 IP 地址注入大量流量。
2. Web 应用程序防火墙 (WAF)： 在 DoS 保护层和负载均衡器或Ingress 控制器之间部署WAF 。 WAF 可阻止针对OWASP Top 10中列出的漏洞等漏洞的复杂第 7 层攻击。 WAF 应该为不熟悉安全实践的开发人员提供强大的开箱即用的保护设置，同时还为用户定义的特定用例提供定制。
3. 身份验证和授权： 确保正确配置负载均衡器、API 网关和 Ingress 控制器等流量管理工具，以验证和授权对应用程序和基础设施的所有访问请求。 这在 Kubernetes 或面向微服务的环境中尤其重要，因为这些环境中的服务是松散耦合的，并且可以通过 API 从外部访问。 强大而持续的身份验证过程（包括用于人机交互的多因素身份验证 (MFA)）有助于验证所有连接、减少攻击媒介并增强整体安全性。