-DNSSEC 資源記錄（來源：InfoBlox）
DNSSEC使用數字簽名確保DNS 數據的完整性，而 DNS over HTTPS (DoH) 或 DNS over TLS (DoT) 保護機密性。
以下是一些最重要的 DNSSEC 資源記錄 (RR)：
. DS（委託簽名者）
. DNSKEY（DNS 公鑰）
. RRSIG（資源記錄簽名）

DS（委託簽名者）
DS RR 包含子區域 KSK 的哈希值，可用作某些具有安全意識的解析器中的信任錨，並為 DNS 服務器中的簽名子區域創建安全委派點。如圖 22.1 所示，父區域 corpxyz.com 中的 DS RR 包含子區域 sales.corpxyz.com 的 KSK 的哈希值，而子區域 sales.corpxyz.com 的 DS 記錄又包含其子區域的 KSK 的哈希值, nw.sales.corpxyz.com。
-資料來源：InfoBlox

DNSKEY（DNS 公鑰）
當權威名稱服務器對區域進行數字簽名時，它通常會生成兩個密鑰對，一個區域簽名密鑰 (ZSK) 對和一個密鑰簽名密鑰 (KSK) 對。
名稱服務器使用ZSK 對的私鑰對區域中的每個 RRset 進行簽名。（RRset 是一組具有相同所有者、類別和類型的資源記錄。）它將 ZSK 對的公鑰存儲在 DNSKEY 記錄中。
然後名稱服務器使用KSK 對的私鑰對所有 DNSKEY 記錄進行簽名，包括它自己的記錄，並將相應的公鑰存儲在另一個 DNSKEY 記錄中。
因此，一個區域通常有兩個 DNSKEY 記錄；保存 ZSK 對公鑰的 DNSKEY 記錄，以及 KSK 對公鑰的另一個 DNSKEY 記錄。
資料來源：InfoBlox

R RSIG（資源記錄簽名）
一個簽名區域有多個 RRset，每個記錄類型和所有者名稱一個。（所有者是RRset 的域名。）當權威名稱服務器使用ZSK 對的私鑰對區域中的每個RRset 進行簽名時，每個RRset 上的數字簽名都存儲在RRSIG 記錄中。因此，簽名區域包含每個 RRset 的 RRSIG 記錄。
資料來源：InfoBlox

參考
. DNSSEC – 回顧
. DNSSEC – 它是什麼以及為什麼重要？
. 域名系統安全擴展
. DNSSEC 的工作原理
. DNSSEC：它的工作原理和主要考慮因素
. RFC 4033：DNS 安全介紹和要求
. RFC 4034：DNS 安全擴展的資源記錄
. RFC 4035：DNS 安全擴展的協議修改
. 基於 HTTPS 的 DNS
. 如何配置 DoT/DoH
. DNSKEY 資源記錄

資料來源： Wentz Wu QOTD-20210809

-通用標準評估
TCSEC 在 DoD 中用於評估受信任的計算機系統。它適用於整個計算機系統，而不適用於特定的軟體組件。此外，它已經過時了。
可信計算機系統評估標準 ( TCSEC ) 是 美國政府國防部 (DoD) 標準，它為評估 內置於計算機系統中的計算機安全控制 的有效性設定了基本要求 。TCSEC 用於評估、分類和選擇被考慮用於處理、存儲和檢索敏感或機密資訊的計算機系統 。（維基百科）
CMMI 是一種基於過程的模型，用於評估組織在軟體開發、採購或服務交付方面的能力成熟度。它不適用於軟體本身。
SOC 2 Type II 是關於服務組織中與安全性、可用性、處理完整性、機密性或隱私相關的控制的報告。這些報告旨在滿足廣大用戶的需求，這些用戶需要有關服務組織用於處理用戶數據和服務的系統的安全性、可用性和處理完整性相關的控制的詳細信息和保證。這些系統處理的信息的機密性和隱私性。(AICPA)

參考
. 批准的保護配置文件
. 認證產品
. Windows 10：內部版本 10.0.15063（也稱為版本 1703）

資料來源： Wentz Wu QOTD-20210808

DevOps（Development和Operations的組合詞）是一種重視「軟體開發人員（Dev）」和「IT運維技術人員（Ops）」之間溝通合作的文化、運動或慣例。透過自動化「軟體交付」和「架構變更」的流程，來使得構建、測試、發布軟體能夠更加地快捷、頻繁和可靠。

傳統的軟體組織將開發、IT運維和品質保障設為各自分離的部門，在這種環境下如何採用新的開發方法（例如敏捷軟體開發），是一個重要的課題。按照從前的工作方式，開發和部署，不需要IT支援或者QA深入的跨部門的支援；而現在卻需要極其緊密的多部門協同運作。而DevOps考慮的還不止是軟體部署，它是一套針對這幾個部門間溝通與協同運作問題的流程和方法。^[5]

資料來源：https://zh.wikipedia.org/wiki/DevOps

OpenFlow，一種網路通訊協定，屬於數據鏈路層，能夠控制網路交換器或路由器的轉發平面（forwarding plane），藉此改變網路封包所走的網路路徑。

OpenFlow（OF）被認為是第一個軟體定義網路（SDN）標準之一。它最初在SDN環境中定義了通信協定，使SDN控制器能夠與物理和虛擬的交換機和路由器等網路裝置的轉發平面直接進行互動，從而更好地適應不斷變化的業務需求。

SDN中的SDN控制器是SDN網路的「大腦」，它將資訊傳遞給交換機/路由器的「下方」（通過南向API）和「上方」（通過北向API）的應用和業務邏輯。最近，隨著組織部署更多的SDN網路，SDN控制器的任務是使用通用應用程式介面（如OpenFlow和開放式虛擬交換機資料庫（OVSDB））在SDN控制器域之間進行聯合。

要在OF環境中工作，任何想要與SDN控制器通信的裝置都必須支援OpenFlow協定。通過這個介面，SDN控制器將更改推播到交換機/路由器流量表，使網路管理員能夠對流量進行分割區，控制流量以獲得最佳效能，並開始測試新組態和應用。

資料來源：https://zh.wikipedia.org/wiki/OpenFlow

軟體定義網路（英語：software-defined networking，縮寫作 SDN）是一種新型網路架構。它利用OpenFlow協定將路由器的控制平面（control plane）從資料平面（data plane）中分離，改以軟體方式實作，從而使得將分散在各個網路裝置上的控制平面進行集中化管理成為可能 ，該架構可使網路管理員在不更動硬體裝置的前提下，以中央控制方式用程式重新規劃網路，為控制網路流量提供了新方案，也為核心網路和應用創新提供了良好平台。SDN可以按使用領域分為：SD-WAN, SD-LAN, SD-DC, SDN將人工智慧引入到網路系統里來，將是未來幾年最熱門的網路前沿技術之一。^[1]

Facebook與Google都在他們的資料中心中使用OpenFlow協定，並成立了開放網路基金會來推動這個技術。^[2][3]

資料來源：https://zh.wikipedia.org/wiki/%E8%BB%9F%E9%AB%94%E5%AE%9A%E7%BE%A9%E7%B6%B2%E8%B7%AF

-軟體運行環境

與共享資源隔離（Isolation from Sharing Resources）
隔離是“將多個軟體實例分開的能力，以便每個實例只能看到並影響自己。”
資料來源：NIST SP 800-190
進程使用各種資源，例如 CPU、記憶體、儲存、網路、操作系統服務等。為了隔離進程，使其不會影響其他進程，需要控制對記憶體和其他資源的存取。

-計算機架構

界限（Bounds）
這裡的界限意味著強加給進程的記憶體界限，不能存取屬於其他人的記憶體段。它提供了基本的隔離級別。共享儲存、CPU、網絡和其他資源的進程可能仍會導致競爭資源競爭。

-進程的記憶體佈局

容器化(Containerization)
容器化是應用程序虛擬化，其中容器中的進程與大多數資源隔離，但仍共享相同的操作系統內核。

-虛擬機和容器部署（來源：NIST SP 800-190）

-操作系統和應用程序虛擬化（來源：NIST SP 800-190）

第二類虛擬機器監視器(Type II hypervisor)
一個第二類虛擬機器監視器基於主機操作系統上管理虛擬機（VM）上運行的客戶操作系統。在具有來賓操作系統的 VM 上運行的進程是高度隔離的。部署在兩個 VM 上的兩個進程具有比容器更高的隔離級別。

-虛擬機器監視器（來源：TechPlayOn）

搶占式多任務處理(Preemptive Multitasking)
搶占式多任務處理不是一種隔離機制。但是，它通常需要上下文切換來保留線程的 CPU 狀態。從這個角度來看，它可以在某種程度上被視為線程級隔離。

-上下文切換（來源：hcldoc）

參考
. 什麼是雲中的管理程序？
. 上下文切換

資料來源： Wentz Wu QOTD-20210803