【版本升级】腾讯云防火墙 2.0 版本正式发布!

大家好,我是腾讯云防火墙的产品经理周荃 jojen,很开心在这个平台与大家交流,以后我们会在这里分享每个版本的功能介绍和背后的思考。今天正好是立春,借万物之始、一切更生之际,很激动地告诉大家,我们腾讯云防火墙已经迈入了2.0时代

2020年5月16日,我们正式发布了腾讯云防火墙1.0,经历了半年多的时间,已经累计发布了10个版本,为1000多家客户提供了业务保障和流量防护,感谢一路上遇到的所有朋友,你们是云防火墙的友人,是向导,可以说这款产品正是大家一起共同建设的。

2.0时代,我们会持续演进底层架构,强化安全能力,为更多用户解决朴素的需求,同时也会进行防护模式的升级,从传统的、静态的基于IP端口的流量防护,逐渐过渡为基于身份、面向业务的流量安全中心和策略管控中心,今天起,登录云防火墙控制台即可体验2.0版本的全新功能特性。

新增【身份访问控制】功能:基于微信认证的远程运维管控

近来由于比特币大涨,黑灰产闻风而动,使得云上挖矿、勒索等安全事件猖獗,我们也收到了大量安全工单反馈,跟进溯源分析发现多数用户将22、3389远程运维端口直接暴露在互联网中,同时使用了强度较弱的登录口令,导致云服务器很容易被暴力破解登录,影响业务稳定性甚至系统崩溃。

在云上,22和3389端口是仅次于80,443和8080的第四大流量端口,同时也是远程运维和登录的重要端口,在此之前,用户可以通过在云防火墙中设置IP地址白名单的访问控制策略来限制外部对其22端口的访问,但是由于疫情的影响,非职场办公已成为新常态,基于IP地址白名单无法应对远程办公和运维的场景,因此我们设计了一个基于身份的访问控制功能,通过微信账号扫码认证的形式管控云服务器的远程登录,从源头上避免服务器被暴破登录,使用步骤如下:

  • 企业管理员登录腾讯云防火墙控制台,注册运维用户并分配登录权限
  • 运维用户在命令行输入登录命令,弹出二维码进行微信扫码验证,验证通过后即可开启远程运维工作

感谢我们的资深技术专家 dihin 的连夜攻关,设计出了如此巧妙的解决方案,无需管理员用户部署实例和代理,也不需要运维用户安装客户端,给用户带来【零部署、免代理、无客户端】的丝滑体验

优化【企业安全组】功能:提升安全组的操作体验和可视化

“安全组的配置太复杂了,维护难度极大,前面同事离职了,出问题了没有日志可以排查,之前加的一堆规则我都不敢改,只能继续垒规则贴膏药。”

在做云防火墙1.0之前,我们就听到了很多用户的声音,也找一些典型客户当面沟通过这个问题。安全组作为云上流量防护的基础方案,有着稳定性和高可用性的优点,这些优势短期是无法替代的,那么我们是不是可以基于安全组设计一个全新的控制平面,针对用户反馈的配置难、维护难和无日志的问题,进行操作性和体验上的优化呢?

这个问题我们内部思考了几个月的时间,有一天我们恍然大悟,如果能做到仅需用户专注于当前下发的安全策略,无需考虑策略组和实例组之间的关联关系,通过云防火墙将用户的输入策略智能转化为安全组策略下发,就能充分利用安全组的性能优势,同时又能提升用户的操作体验:

  • 保持基于五元组的策略配置方式,支持按照资源标签配置规则
  • 支持阻断日志,轻松构建云上的DMZ区
  • 满足VPC 子网间,VPC间,混合云专线间的防护场景

有了企业安全组,用户可以在云防火墙集中管理所有流量防护的安全策略。感谢我们的客户微民保险的安全团队在功能的设计与打磨过程中提出的宝贵建议,这个功能将会持续投入增强和优化。

以上是腾讯云防火墙2.0版本的主要亮点更新,欢迎大家多多体验,并继续向我们提供反馈建议,我们会持续优化现有功能,同时继续开发更多新功能,为大家带来更多的安全感以及更好的产品体验。

顺祝大家新年快乐,牛气冲天!