分類
CISSP

面向服務的架構 (SOA)、Web 服務和微服務

https://ithelp.ithome.com.tw/upload/images/20211025/20132160gPcsiV1rta.jpg
-面向服務的架構 (SOA)
面向服務的架構 (SOA) 可以通過 Web 服務或微服務來實現。Web 服務方法導致 SOA,而微服務架構是 SOA 的擴展。基於 SOA 的企業應用程序集成 (EAI) 通常為企業應用程序實現共享的企業服務總線 (ESB) 以交換消息。微服務託管在一個或多個容器中,這些容器在 Google Kubernetes (K8S)、Docker Swarm 或 Apache Mesos 的編排下協作。

面向服務的架構 (SOA)
服務是一個自包含的松耦合邏輯。在 SOA 中,傳統的單體應用程序被劃分為協作以實現共同目標的服務。服務提供商向私人或公共服務註冊機構註冊服務;服務消費者根據註冊中心查找或發現感興趣的服務以消費(綁定和調用)這些服務。
-SOA 的查找-綁定-執行範式(來源:Qusay H. Mahmoud)
“幾年前,IBM、微軟和 SAP 曾經託管公共 UDDI 服務器,但現在已經停產了。”
https://ithelp.ithome.com.tw/upload/images/20211025/20132160zvejsQ5fti.jpg
~ user159088 on stackoverflow
https://ithelp.ithome.com.tw/upload/images/20211025/2013216028cuEcZdQk.png
-SOA 元模型,The Linthicum Group,2007

微服務
微服務:微服務是一個基本元素,它源於將應用程序的組件架構分解為鬆散耦合的模式,這些模式由自包含的服務組成,這些服務使用標准通信協議和一組定義良好的 API 相互通信,獨立於任何供應商、產品或技術。
微服務是圍繞能力構建的,而不是服務,構建在 SOA 之上,並使用敏捷技術實現。微服務通常部署在應用程序容器內。
資料來源:NIST SP 800-180(草案)

容器編排
https://ithelp.ithome.com.tw/upload/images/20211025/20132160pFFykVlUwI.png
-Mesos、Swarm 和 Kubernetes(來源:Nane Kratzke
https://ithelp.ithome.com.tw/upload/images/20211025/2013216084Za3rKWKO.png
-Kubernetes 架構(來源:Dorothy Norris)

參考
SOA宣言
面向服務的架構
是否有任何公共 UDDI 註冊中心可用?
UDDI 註冊中心:可由啟用總線的 Web 服務引用的 Web 服務目錄
模式:微服務架構
2019年容器編排
使用 Kubernetes、Docker Swarm 和 Mesos 進行 Neo4j 容器編排
Kubernetes vs. Mesos——架構師的視角
Apache Mesos PNG 4
SOA 與微服務:有什麼區別?
企業服務總線
企業應用集成
面向服務的架構 (SOA) 和 Web 服務:企業應用程序集成 (EAI) 之路
面向服務架構的 Web 服務方法

資料來源: Wentz Wu網站

分類
CISSP

NIST 通用風險模型-威脅來源

https://ithelp.ithome.com.tw/upload/images/20211019/20132160IrgoB7nC2L.jpg
-NIST 通用風險模型 (NIST SP 800-30 R1)
NIST 通用風險模型描述了威脅源如何發起利用漏洞導致不利影響的威脅事件(例如,TTP、策略、技術和程序)。垃圾郵件發送者、恐怖分子和機器人網絡運營商是威脅來源,而網絡釣魚則是威脅事件。
風險與威脅
https://ithelp.ithome.com.tw/upload/images/20211019/20132160b5MvBtKgcI.jpg
-什麼是風險?

資料來源: Wentz Wu QOTD-20210818

分類
CISSP

驗證及確認

驗證及確認(Verification and validation)兩者是獨立的過程,若兩者一起使用,可以用來檢查產品、服務或系統滿足需求規格並且符合其原來預期的目的[1]。這些是品質管理系統(例如ISO 9000)的關鍵組件。有時會在「驗證及確認」前面加上「獨立」(independent)一詞,表示驗證及確認是由公正的第三方執行的。「獨立驗證及確認」可以簡稱為「IV&V」。

在實務上,在質量管理方面,驗證及確認的定義可以不一致。有時甚至可以交換使用[2][3][4]

電氣電子工程師學會(IEEE)採用的標準PMBOK指南中在第 4 版中的定義如下 [5]

  • 「確認(Validation):保證產品、服務或系統滿足客戶和其他已識別的利益相關者的需求。它通常涉及外部客戶的接受度和適應性。與驗證形成對比。」
  • 「驗證(Verification):評估產品、服務或系統是否符合規定、需求、規格或其他附加條件。多半是組織內部的流程。與確認形成對比。」

資料來源:https://zh.wikipedia.org/wiki/%E9%A9%97%E8%AD%89%E5%8F%8A%E7%A2%BA%E8%AA%8D

分類
CISSP

通用漏洞評分系統 (CVSS)

https://ithelp.ithome.com.tw/upload/images/20211013/20132160ufJCtaw4OH.jpg
-CVSS 指標組(來源:FIRST
通用漏洞評分系統 (CVSS) 標准定義了三個指標組:基本、時間和環境指標組。基本指標組是強制性的,而時間和環境指標組是可選的。
基本指標組有兩個指標集,可利用性指標和影響指標,用於評估風險。風險包括兩個關鍵因素:不確定性(可能性或可能性)和影響(影響)。針對風險可能性或可能性的漏洞可利用性標準。如果一個風險的可能性很大,但對安全目標(機密性、完整性和可用性)沒有影響,那麼它就無關緊要或不是風險。
https://ithelp.ithome.com.tw/upload/images/20211013/201321609fehbo5rCq.jpg
-CVSS 度量和方程(來源:FIRST

參考
通用漏洞評分系統 v3.1:規範文檔
常見漏洞評分系統計算器

資料來源: Wentz Wu QOTD-20210817

分類
CISSP

cissp重點_20211008

– 資安的定義: 手段、標的與目標

– 三階目標與風險管理: 1-2-3-4

– 安全控制措施的種類

– 戰略管理: 組成、形成與執行(政策框架與專案管理

– 將安全融入組織的各個業務流程: 人事與採購 (甲、乙、丙方及保證制度)

– 業務持續管理: 七步驟

– 資產安全: 盤點、分類、保護

– NIST RMF

– 資料治理: 企業自有資料與個資、智財、資料生命週期與狀態、資料清洗與殘留

– 存取控制概念: 主體、客體、安全核心及3A

– 隨意型存取控制(DAC)

– 安全評鑑、稽核與變更管理概念

– 日常維運及持續改善概念

– 工程的定義

– 意識、教育與訓練

分類
CISSP

微分段(micro-segmentation)

https://ithelp.ithome.com.tw/upload/images/20211007/201321600KtkR34xnM.jpg
-網路安全挑戰
虛擬可擴展局域網 (Virtual eXtensible Local Area Network :VXLAN)
虛擬可擴展 LAN (VXLAN) 是一種網路虛擬化技術,旨在解決與大型雲計算部署相關的可擴展性問題。VXLAN 規範最初由 VMware、Arista Networks 和 Cisco 創建。(維基百科)
它是一個軟體定義的覆蓋網路,它使用類似 VLAN 的封裝技術將 OSI 第 2 層以太網幀封裝在第 4 層 UDP 數據報中,使用 4789 作為 IANA 分配的默認目標 UDP 端口號。最常見的應用之一是連接docker 容器的覆蓋網路。
https://ithelp.ithome.com.tw/upload/images/20211007/20132160b7nZgyV6ZE.jpg
-Docker 覆蓋網路(來源:nigelpoulton)

軟體定義網路 (Software Defined Networks:SDN)
軟體定義網路 (SDN) 技術是一種網路管理方法,它支持動態的、以編程方式高效的網路配置,以提高網路性能和監控,使其更像雲計算,而不是傳統的網路管理。SDN 試圖通過將網路數據包的轉發過程(數據平面)與路由過程(控制平面)分離,將網路智能集中在一個網路組件中。控制平面由一個或多個控制器組成,這些控制器被認為是整合了整個智能的 SDN 網路的大腦。
資料來源:維基百科
https://ithelp.ithome.com.tw/upload/images/20211007/20132160nfPam8LBgu.png
-SDN架構
軟體定義的邊界 (Software Defined Perimeter:SDP)
軟體定義邊界 (SDP),也稱為“黑雲”,是一種計算機安全方法,它從 2007 年左右在全球信息網格 (GIG) 黑色核心網路計劃下國防信息系統局 (DISA) 所做的工作演變而來.
軟體定義邊界 (SDP) 框架由雲安全聯盟 (CSA) 開發,用於根據身份控制對資源的訪問。軟體定義邊界中的連接基於需要知道的模型,在該模型中,在授予對應用程序基礎設施的訪問權限之前驗證設備狀態和身份。
軟體定義的邊界通過使應用程序所有者能夠部署邊界來解決這些問題,這些邊界保留了傳統模型對外部不可見和不可訪問的價值,但可以部署在任何地方——在互聯網上、在雲中、在託管中心、在私人公司網路,或跨越部分或所有這些位置。
資料來源:維基百科
https://ithelp.ithome.com.tw/upload/images/20211007/20132160VyqhjKcQ8Q.jpg
-SDP架構

參考
微分段
什麼是微分段?
微分段與網路分段的區別
微分段:網路安全的下一次演變
2021 年最佳零信任安全解決方案
什麼是微分段?(帕洛阿爾托)
什麼是微分段?(VMware)
什麼是 VMware 虛擬化環境中的工作負載管理
軟體定義邊界中的微分段
SD-WAN、SDP、ZTNA……它們真的有那麼不同嗎?
安全智庫:SDN、容器、加密和SDP的安全作用
軟體定義的邊界:SDP 的架構視圖
利用微分段構建全面的數據中心安全架構
使用 NSX-T 3.0 為 VLAN 微分段準備集群

資料來源: Wentz Wu QOTD-20210815

分類
CISSP

軟件定義的邊界

一個軟件定義的邊界SDP),也被稱為“黑色的雲”,是一種方法的計算機安全,不同於在做的工作發展國防信息系統局(DISA)的下全球信息柵格(GIG)黑色核心網絡計劃2007 年左右。[1] 軟件定義邊界 (SDP) 框架由雲安全聯盟(CSA)開發,用於根據身份控制對資源的訪問。軟件定義邊界中的連接基於需要知道的模型,在該模型中,在授予對應用程序基礎設施的訪問權限之前驗證設備狀態和身份。[2]應用程序基礎設施實際上是“黑色的”(DoD 術語,表示無法檢測到基礎設施),沒有可見的DNS信息或IP 地址[可疑 –討論] 這些系統的發明者聲稱,軟件定義的邊界可以緩解最常見的基於網絡的攻擊,包括:服務器掃描拒絕服務 SQL 注入、操作系統和應用程序漏洞利用中間人middle pass-the-hash pass-the-ticket和其他未經授權用戶的攻擊。[3]

資料來源:https://en.wikipedia.org/wiki/Software-defined_perimeter

分類
CISSP

什麼是架構(What Is Architecture)?

https://ithelp.ithome.com.tw/upload/images/20211004/20132160pcCvD0HoO1.jpg
https://ithelp.ithome.com.tw/upload/images/20211004/20132160BTlD25iFRR.jpg
https://ithelp.ithome.com.tw/upload/images/20211004/20132160d67eCMMhPO.jpg
https://ithelp.ithome.com.tw/upload/images/20211004/20132160953CVb2bgW.jpg
https://ithelp.ithome.com.tw/upload/images/20211004/20132160kfsAtEoYs9.png
https://ithelp.ithome.com.tw/upload/images/20211004/20132160toWjdEj8lt.jpg
-計算機架構

作為解決方案最重要的工件,架構是一個對象(解決方案)從各種觀點或角度的概念、邏輯和物理表示,它確定了它的構建塊、關係、交互、邊界、接口、環境和上下文以及指導解決方案在其整個生命週期中的演變。
~ 吳文智

定義
. 系統或解決方案的一組相關的物理和邏輯表示(即視圖)。該體系結構在不同抽象級別和不同範圍內傳達有關係統/解決方案元素、互連、關係和行為的信息。(來源:NIST SP 800-160 第 1 卷)
. 與描述對象相關的一組設計人工製品或描述性表示,以便它可以按要求(質量)生產並在其使用壽命(變更)期間保持不變(來源:Zachman:1996,ISO/TR 20514:2005)
. 體現在其組件中的系統的基本組織、它們之間的關係以及與環境的關係,以及指導其設計和演變的原則(來源:ISO/IEC 15288:2008)
. 一套系統的概念和規則,描述了整個系統中實體之間的相互關係,獨立於硬體和軟體環境
注 1:架構是通過一系列可能處於不同級別的通用性的觀點來描述的/ specificity、abstraction/concept、totality/component等等。另請參見下文中的“通信視點”、“功能視點”、“組織視點”和“物理視點”定義。(來源:ISO/TR 26999:2012)
. 系統在其環境中的基本概念或屬性,體現在其元素、關係以及其設計和演變的原則中 (ISO/IEC/IEEE 42010:2011)
. 項目或元素的結構表示,允許識別構建塊、它們的邊界和接口,並包括對這些構建塊的需求分配(來源:ISO 26262-1:2018)
. 系統的概念結構
注 1:一個系統可能由幾個相互作用的子系統組成,每個子系統都有自己的體系結構。(來源:ISO/IEC TR 29108:2013)
. 邏輯結構和與組織和業務環境的相互關係所依據的一組原則
注 1:軟體架構是軟體設計活動的結果。(來源:ISO/TR18307:2001)
. 系統中硬體和軟體元素的特定配置(來源:IEC 61508-4)

資料來源: Wentz Wu網站