分類
CISSP

DNS 安全擴展 (DNSSEC)

https://ithelp.ithome.com.tw/upload/images/20210915/20132160uMqakJgDrS.jpg
-DNSSEC 資源記錄(來源:InfoBlox
DNSSEC使用數字簽名確保DNS 數據的完整性,而 DNS over HTTPS (DoH) 或 DNS over TLS (DoT) 保護機密性。
以下是一些最重要的 DNSSEC 資源記錄 (RR):
. DS(委託簽名者)
. DNSKEY(DNS 公鑰)
. RRSIG(資源記錄簽名)
https://ithelp.ithome.com.tw/upload/images/20210915/201321608gOmwhiDvP.png
DS(委託簽名者)
DS RR 包含子區域 KSK 的哈希值,可用作某些具有安全意識的解析器中的信任錨,並為 DNS 服務器中的簽名子區域創建安全委派點。如圖 22.1 所示,父區域 corpxyz.com 中的 DS RR 包含子區域 sales.corpxyz.com 的 KSK 的哈希值,而子區域 sales.corpxyz.com 的 DS 記錄又包含其子區域的 KSK 的哈希值, nw.sales.corpxyz.com。
-資料來源:InfoBlox

DNSKEY(DNS 公鑰)
當權威名稱服務器對區域進行數字簽名時,它通常會生成兩個密鑰對,一個區域簽名密鑰 (ZSK) 對和一個密鑰簽名密鑰 (KSK) 對。
名稱服務器使用ZSK 對的私鑰對區域中的每個 RRset 進行簽名。(RRset 是一組具有相同所有者、類別和類型的資源記錄。)它將 ZSK 對的公鑰存儲在 DNSKEY 記錄中。
然後名稱服務器使用KSK 對的私鑰對所有 DNSKEY 記錄進行簽名,包括它自己的記錄,並將相應的公鑰存儲在另一個 DNSKEY 記錄中。
因此,一個區域通常有兩個 DNSKEY 記錄;保存 ZSK 對公鑰的 DNSKEY 記錄,以及 KSK 對公鑰的另一個 DNSKEY 記錄。
資料來源:InfoBlox

R RSIG(資源記錄簽名)
一個簽名區域有多個 RRset,每個記錄類型和所有者名稱一個。(所有者是RRset 的域名。)當權威名稱服務器使用ZSK 對的私鑰對區域中的每個RRset 進行簽名時,每個RRset 上的數字簽名都存儲在RRSIG 記錄中。因此,簽名區域包含每個 RRset 的 RRSIG 記錄。
資料來源:InfoBlox

參考
DNSSEC – 回顧
DNSSEC – 它是什麼以及為什麼重要?
域名系統安全擴展
DNSSEC 的工作原理
DNSSEC:它的工作原理和主要考慮因素
RFC 4033:DNS 安全介紹和要求
RFC 4034:DNS 安全擴展的資源記錄
RFC 4035:DNS 安全擴展的協議修改
基於 HTTPS 的 DNS
如何配置 DoT/DoH
DNSKEY 資源記錄

資料來源: Wentz Wu QOTD-20210809

分類
CISSP

Risk Treatment

分類
Cissp-WentzWu

受保護的內容: 20210914

這篇內容受到密碼保護。如需檢視內容,請於下方欄位輸入密碼:

分類
CISSP

系統和應用軟體提供安全保證- 通用標準(Common Criteria)

https://ithelp.ithome.com.tw/upload/images/20210913/20132160wBxk3wtKD2.jpg
-通用標準評估
TCSEC 在 DoD 中用於評估受信任的計算機系統。它適用於整個計算機系統,而不適用於特定的軟體組件。此外,它已經過時了。
可信計算機系統評估標準 ( TCSEC ) 是 美國政府國防部 (DoD) 標準,它為評估 內置於計算機系統中的計算機安全控制 的有效性設定了基本要求 。TCSEC 用於評估、分類和選擇被考慮用於處理、存儲和檢索敏感或機密資訊的計算機系統 。(維基百科
CMMI 是一種基於過程的模型,用於評估組織在軟體開發、採購或服務交付方面的能力成熟度。它不適用於軟體本身。
SOC 2 Type II 是關於服務組織中與安全性、可用性、處理完整性、機密性或隱私相關的控制的報告。這些報告旨在滿足廣大用戶的需求,這些用戶需要有關服務組織用於處理用戶數據和服務的系統的安全性、可用性和處理完整性相關的控制的詳細信息和保證。這些系統處理的信息的機密性和隱私性。(AICPA)

參考
批准的保護配置文件
認證產品
Windows 10:內部版本 10.0.15063(也稱為版本 1703)

資料來源: Wentz Wu QOTD-20210808

分類
CISSP

DevOps

DevOpsDevelopment和Operations的組合詞)是一種重視「軟體開發人員(Dev)」和「IT運維技術人員(Ops)」之間溝通合作的文化、運動或慣例。透過自動化「軟體交付」和「架構變更」的流程,來使得構建、測試、發布軟體能夠更加地快捷、頻繁和可靠。

傳統的軟體組織將開發、IT運維和品質保障設為各自分離的部門,在這種環境下如何採用新的開發方法(例如敏捷軟體開發),是一個重要的課題。按照從前的工作方式,開發和部署,不需要IT支援或者QA深入的跨部門的支援;而現在卻需要極其緊密的多部門協同運作。而DevOps考慮的還不止是軟體部署,它是一套針對這幾個部門間溝通與協同運作問題的流程和方法。[5]

資料來源:https://zh.wikipedia.org/wiki/DevOps

分類
CISSP

OpenFlow

OpenFlow,一種網路通訊協定,屬於數據鏈路層,能夠控制網路交換器路由器轉發平面(forwarding plane),藉此改變網路封包所走的網路路徑。

OpenFlow(OF)被認為是第一個軟體定義網路(SDN)標準之一。它最初在SDN環境中定義了通信協定,使SDN控制器能夠與物理和虛擬的交換機和路由器等網路裝置的轉發平面直接進行互動,從而更好地適應不斷變化的業務需求。

SDN中的SDN控制器是SDN網路的「大腦」,它將資訊傳遞給交換機/路由器的「下方」(通過南向API)和「上方」(通過北向API)的應用和業務邏輯。最近,隨著組織部署更多的SDN網路,SDN控制器的任務是使用通用應用程式介面(如OpenFlow和開放式虛擬交換機資料庫(OVSDB))在SDN控制器域之間進行聯合。

要在OF環境中工作,任何想要與SDN控制器通信的裝置都必須支援OpenFlow協定。通過這個介面,SDN控制器將更改推播到交換機/路由器流量表,使網路管理員能夠對流量進行分割區,控制流量以獲得最佳效能,並開始測試新組態和應用。

資料來源:https://zh.wikipedia.org/wiki/OpenFlow

分類
CISSP

軟體定義網路(software-defined networking:SDN

軟體定義網路(英語:software-defined networking,縮寫作 SDN)是一種新型網路架構。它利用OpenFlow協定將路由器控制平面(control plane)從資料平面(data plane)中分離,改以軟體方式實作,從而使得將分散在各個網路裝置上的控制平面進行集中化管理成為可能 ,該架構可使網路管理員在不更動硬體裝置的前提下,以中央控制方式用程式重新規劃網路,為控制網路流量提供了新方案,也為核心網路和應用創新提供了良好平台。SDN可以按使用領域分為:SD-WAN, SD-LAN, SD-DC, SDN將人工智慧引入到網路系統里來,將是未來幾年最熱門的網路前沿技術之一。[1]

FacebookGoogle都在他們的資料中心中使用OpenFlow協定,並成立了開放網路基金會來推動這個技術。[2][3]

資料來源:https://zh.wikipedia.org/wiki/%E8%BB%9F%E9%AB%94%E5%AE%9A%E7%BE%A9%E7%B6%B2%E8%B7%AF

分類
CISSP

最高級別的隔離- 第二類類虛擬機器監視器( Type II hypervisor)

https://ithelp.ithome.com.tw/upload/images/20210902/20132160rDpjQho9k7.jpg
-軟體運行環境

與共享資源隔離(Isolation from Sharing Resources)
隔離是“將多個軟體實例分開的能力,以便每個實例只能看到並影響自己。”
資料來源:NIST SP 800-190
進程使用各種資源,例如 CPU、記憶體、儲存、網路、操作系統服務等。為了隔離進程,使其不會影響其他進程,需要控制對記憶體和其他資源的存取。
https://ithelp.ithome.com.tw/upload/images/20210902/20132160g0pXGLvyBI.jpg
-計算機架構

界限(Bounds)
這裡的界限意味著強加給進程的記憶體界限,不能存取屬於其他人的記憶體段。它提供了基本的隔離級別。共享儲存、CPU、網絡和其他資源的進程可能仍會導致競爭資源競爭。
https://ithelp.ithome.com.tw/upload/images/20210902/20132160x2crcn8PMs.jpg
-進程的記憶體佈局

容器化(Containerization)
容器化是應用程序虛擬化,其中容器中的進程與大多數資源隔離,但仍共享相同的操作系統內核。
https://ithelp.ithome.com.tw/upload/images/20210902/20132160FAbec7eqTa.png
-虛擬機和容器部署(來源:NIST SP 800-190)
https://ithelp.ithome.com.tw/upload/images/20210902/20132160otolPovczM.jpg
-操作系統和應用程序虛擬化(來源:NIST SP 800-190)

第二類虛擬機器監視器(Type II hypervisor)
一個第二類虛擬機器監視器基於主機操作系統上管理虛擬機(VM)上運行的客戶操作系統。在具有來賓操作系統的 VM 上運行的進程是高度隔離的。部署在兩個 VM 上的兩個進程具有比容器更高的隔離級別。
https://ithelp.ithome.com.tw/upload/images/20210902/20132160xhmrFAlSxb.png
-虛擬機器監視器(來源:TechPlayOn

搶占式多任務處理(Preemptive Multitasking)
搶占式多任務處理不是一種隔離機制。但是,它通常需要上下文切換來保留線程的 CPU 狀態。從這個角度來看,它可以在某種程度上被視為線程級隔離。
https://ithelp.ithome.com.tw/upload/images/20210902/201321605Lo3q56oKv.jpg
-上下文切換(來源:hcldoc)

參考
什麼是雲中的管理程序?
上下文切換

資料來源: Wentz Wu QOTD-20210803

分類
CISSP

保護環0-處理故障

https://ithelp.ithome.com.tw/upload/images/20210901/201321603bcsjROKk3.png
-保護環(來源:維基百科)

保護環:指令特權級別和操作系統模式(Protection Rings: Instruction Privilege Levels and OS modes)
大多數現代操作系統以兩種模式運行程序:內核模式和用戶模式。內核模式通常運行在特權級別 0,而用戶模式運行在特權級別 3。保護環傳達了操作系統如何利用指令集的 CPU 特權級別的想法。
x86指令集中的特權級別控制當前在處理器上運行的程序對內存區域、I/O 端口和特殊指令等資源的訪問。有 4 個特權級別,從 0 是最高特權,到 3 是最低特權。大多數現代操作系統對內核/執行程序使用級別 0,對應用程序使用級別 3。任何可用於級別 n 的資源也可用於級別 0 到 n,因此權限級別是環。當較低特權的進程嘗試訪問較高特權的進程時,會向操作系統報告一般保護錯誤異常。
資料來源:維基百科

異常處理(Exception Handling)
https://ithelp.ithome.com.tw/upload/images/20210901/20132160hSxqbEpcQ4.jpg
-異常處理(來源:https : //minnie.tuhs.org/)
操作系統 (OS) 內核通常處理來自進程的系統調用、來自 CPU 的異常以及來自外圍設備的中斷。在用戶模式下運行的應用程序或進程可能會遇到錯誤或故障,導致在內核模式下運行的操作系統內核捕獲到 CPU 級別的異常。如果發生故障,操作系統內核將拋出異常或向應用程序發送信號。以下屏幕截圖是演示應用程序正確處理異常的代碼片段。但是,如果應用程序不處理異常,操作系統將終止它。
https://ithelp.ithome.com.tw/upload/images/20210901/201321607ZayXG6l5o.jpg
-除以零

參考
保護環
操作系統中的特權和非特權指令
CIS 3207 – 操作系統:CPU 模式
編寫 Hello World Windows 驅動程序 (KMDF)
如何使用 C++ 以 SYSTEM 身份運行程序?
除以零預防:陷阱、異常和可移植性
用戶和內核模式、系統調用、I/O、異常

資料來源: Wentz Wu QOTD-20210802

分類
CISSP

IPSec Protocols and Modes

資料來源:https://wentzwu.com/2021/06/15/cissp-practice-questions-20210615/