分類
CISA

ACID

ACID,是指資料庫管理系統DBMS)在寫入或更新資料的過程中,為保證事務(transaction)是正確可靠的,所必須具備的四個特性:原子性(atomicity,或稱不可分割性)、一致性(consistency)、隔離性(isolation,又稱獨立性)、持久性(durability)。

在資料庫系統中,一個事務是指:由一系列資料庫操作組成的一個完整的邏輯過程。例如銀行轉帳,從原帳戶扣除金額,以及向目標帳戶添加金額,這兩個資料庫操作的總和,構成一個完整的邏輯過程,不可拆分。這個過程被稱為一個事務,具有ACID特性。ACID的概念在ISO/IEC 10026-1:1992文件的第四段內有所說明。

四大特性[編輯]

  • 原子性(Atomicity):一個事務(transaction)中的所有操作,或者全部完成,或者全部不完成,不會結束在中間某個環節。事務在執行過程中發生錯誤,會被回滾(Rollback)到事務開始前的狀態,就像這個事務從來沒有執行過一樣。即,事務不可分割、不可約簡。[1]
  • 一致性(Consistency):在事務開始之前和事務結束以後,資料庫的完整性沒有被破壞。這表示寫入的資料必須完全符合所有的預設約束觸發器級聯回滾等。[1]
  • 事務隔離(Isolation):資料庫允許多個並發事務同時對其數據進行讀寫和修改的能力,隔離性可以防止多個事務並發執行時由於交叉執行而導致數據的不一致。事務隔離分為不同級別,包括未提交讀(Read uncommitted)、提交讀(read committed)、可重複讀(repeatable read)和串行化(Serializable)。[1]
  • 持久性(Durability):事務處理結束後,對數據的修改就是永久的,即便系統故障也不會丟失。[1]

資訊來源:https://zh.wikipedia.org/zh-tw/ACID

分類
CISSP

資料治理(Data Governance)

資料治理計劃通過分配一個負責資料準確性、完整性、一致性、及時性、有效性和唯一性的團隊來提高資料質量。
雖然資料治理計劃可以由提高資料質量的願望推動,但它們更多地是由響應外部法規的 C 級領導者推動的。
參考來源:維基百科

資料來源:Wentzwu網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

交通燈協議 (Traffic Light Protocol :TLP) 對可能共享的威脅進行了分類和控制共享情報的範圍

https://ithelp.ithome.com.tw/upload/images/20220608/20132160ElPZ03VI40.jpg
-圖片來源:socradar
紅綠燈協議 (TLP) 是一個用於對敏感資訊進行分類的系統,該系統由英國政府的國家基礎設施安全協調中心 (NISCC;現為國家基礎設施保護中心,CPNI) 創建,以鼓勵更多地共享敏感資訊。
基本概念是發起者表明他們希望他們的資訊在直接接收者之外傳播的範圍有多廣。它旨在以受控和受信任的方式改善個人、組織或社區之間的資訊流。處理帶有 TLP 標記的通信的每個人都必須理解並遵守協議的規則,這一點很重要。只有這樣,才能建立信任並實現資訊共享的好處。TLP 基於發起者標籤資訊的概念,使用四種顏色中的一種來指示接收者可以進行哪些進一步的傳播(如果有的話)。如果需要更廣泛的傳播,接收者必須諮詢發起者。

目前存在許多 TLP 規範。
– 來自 ISO/IEC,作為跨部門和組織間通信的資訊安全管理標準的一部分
– 來自旨在提供公開可用的簡單定義的 US-CERT
– 來自事件響應和安全團隊論壇(FIRST),它於 2016 年 8 月 31 日發布了其合併 TLP 文檔的 1.0 版。它來自一個特殊興趣小組,旨在確保對 TLP 的解釋是一致的,並且在用戶社區中存在明確的期望。
資料來源:維基百科

參考
網路安全和基礎設施安全局 (CISA) 的自動指標共享 (AIS)
駕馭威脅情報規範的海洋
網路威脅搜尋框架第 1 部分:痛苦金字塔
痛苦金字塔 (DavidJBianco)
妥協指標(維基百科)
將 zveloCTI 威脅情報數據映射到妥協指標 (IOC) 的痛苦金字塔
紅綠燈協議
您需要了解的有關威脅情報中交通燈協議使用的知識

資料來源: Wentz Wu QOTD-20211027

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

基於晶格的存取控制(Lattice-based access control)授權機制,以防止特權傳播和控制信息流以確保機密性

https://ithelp.ithome.com.tw/upload/images/20220606/20132160GICwwauXJp.jpg
-存取控制策略、機制和模型
晶格(Lattice)是在序理論和抽象代數的數學分支學科中研究的抽象結構。它由一個偏序集合組成,其中每對元素都有一個唯一的上界(也稱為最小上限或連接)和一個唯一的下界(也稱為最大下限或滿足)。
資料來源:維基百科
自主存取控制 (DAC) 是一種授權機制,資料所有者根據需要知道和最小權限原則做出授權決定。安全管理員或資料保管人根據主體(能力表)和對象(存取控制列表)的身份對存儲在稱為存取控制矩陣的資料結構中的系統實施授權決策。但是,根據 DAC 策略授予的權限可能會傳播到其他主體。
強制存取控制(MAC)通過基於晶格理論匹配主客體標籤來控制信息流來彌補DAC的弱點。
https://ithelp.ithome.com.tw/upload/images/20220606/20132160zqPR4pU3EG.jpg
-安全核心

資料來源: Wentz Wu QOTD-2021026

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

虛擬區域網路擴展(Virtual Extensible LAN:VXLAN)

虛擬區域網路 (VLAN)
https://ithelp.ithome.com.tw/upload/images/20210905/20132160yVhs9wEOyW.jpg
-VLAN 組(來源:Cisco Press)

虛擬 LAN (VLAN) 是在數據鏈路層(OSI 第 2 層)的計算機網絡中劃分和隔離的任何廣播域。
資料來源:維基百科
目前的VLAN數量有限,為4094,無法滿足數據中心或雲計算的需求,具有基於租戶隔離網絡的共同特點。例如,Azure 或 AWS 的客戶遠多於 4094。

私有VLAN
https://ithelp.ithome.com.tw/upload/images/20210905/20132160rGnrhFAheb.jpg
-酒店專用 VLAN
專用 VLAN,也稱為端口隔離,是計算機網絡中的一種技術,其中 VLAN 包含受限制的交換機端口,因此它們只能與給定的上行鏈路進行通信。受限端口稱為專用端口。每個專用 VLAN 通常包含許多專用端口和一個上行鏈路。上行鏈路通常是連接到路由器、防火牆、服務器、提供商網絡或類似中央資源的端口(或鏈路聚合組)。
專用 VLAN 的典型應用是酒店或乙太網到家庭網絡,其中每個房間或公寓都有一個用於 Internet 訪問的端口。
資料來源:維基百科

VXLAN 問題陳述(VXLAN Problem Statement)
VXLAN (RFC 7348) 就是為了解決這個問題而設計的。VXLAN 問題陳述突出了以下問題:

  1. 生成樹(Spanning Tree)和 VLAN 範圍施加的限制
  2. 多租戶環境(Multi-tenant)
  3. ToR(架頂式)交換機的表尺寸不足
    它還寫道:“VXLAN(虛擬可擴展區域網路)解決了在多租戶環境中存在虛擬機的情況下第 2 層和第 3 層數據中心網絡基礎設施的上述要求。”

VXLAN 作為覆蓋網絡(VXLAN as Overlay Network)
VXLAN 將傳統的 VLAN 幀封裝為 IP 負載或 MAC-over-IP,以支持主幹交換機和葉交換機之間的通信。所述葉脊架構採用葉片開關和主幹交換機組成的兩層的網絡拓撲。
https://ithelp.ithome.com.tw/upload/images/20210905/20132160a4WkntnsZQ.png

覆蓋和底層網絡(Overlay and Underlay Networks)
底層網絡 或所謂的 物理網絡 ,傳統協議在其中發揮作用。底層網絡是物理基礎設施,在其上構建覆蓋網絡。它是負責跨網絡傳輸數據包的底層網絡。
 底層協議:BGP、OSPF、IS-IS、EIGRP
一個 覆蓋網絡 是一個 虛擬的網絡 被路由在底層網絡基礎設施之上,路由決定將發生在軟件的幫助。
 覆蓋協議:VXLAN、NVGRE、GRE、OTV、OMP、mVPN
覆蓋網絡是一種使用軟件創建網絡抽象層的方法,可用於在物理網絡之上運行多個獨立的、離散的虛擬化網絡層,通常提供新的應用程序或安全優勢。
來源:Underlay Network 和 Overlay Network

攻擊向量(Attack Vector)
VXLAN 是一個 MAC-over-IP 覆蓋網絡,它繼承了第 2 層和第 3 層攻擊向量,因此它擴展了第 2 層網絡的攻擊向量。
傳統上, 第 2 層網絡 只能被惡意端點從“內部”攻擊——要么:
. 通過不當訪問 LAN 和窺探流量,
. 通過注入欺騙性數據包來“接管”另一個 MAC 地址,或
. 通過氾濫並導致拒絕服務。
用於傳送第 2 層流量的 MAC-over-IP 機制顯著擴展了此攻擊面。 這可能是由於流氓將自己注入網絡而發生的:
. 通過 訂閱一個或多個 承載 VXLAN 網段廣播流量的多播組,以及
. 通過將 MAC-over-UDP 幀發送 到傳輸網絡以注入虛假流量,可能是為了劫持 MAC 地址。
本文檔不包含針對此類攻擊的具體措施,而是依賴於 IP 之上的其他傳統機制。相反,本節概述了 VXLAN 環境中一些可能的安全方法。
. 通過限制在 VXLAN 環境中部署和管理虛擬機/網關的人員的管理和管理範圍,可以減輕流氓端點的傳統第 2 層攻擊。此外,此類管理措施可能會通過 802.1X 之類的方案得到加強,以對單個端點進行准入控制。此外,使用基於 UDP 的 VXLAN 封裝可以在物理交換機中配置和使用基於 5 元組的 ACL(訪問控制列表)功能。
. 可以使用 IPsec 等傳統安全機制保護 IP 網絡上的隧道流量,這些機制對 VXLAN 流量進行身份驗證和可選加密。當然,這需要與授權端點的身份驗證基礎設施相結合,以獲取和分發憑據。
. VXLAN 覆蓋網絡是在現有 LAN 基礎設施上指定和運行的。為確保 VXLAN 端點及其 VTEP 在 LAN 上獲得授權,建議為 VXLAN 流量指定一個 VLAN,服務器/VTEP 通過此 VLAN 發送 VXLAN 流量以提供安全措施。
. 此外,VXLAN 需要在這些覆蓋網絡中正確映射 VNI 和 VM 成員資格。期望使用現有安全方法完成此映射並將其傳送到 VTEP 和網關上的管理實體。
來源:RFC 7348

區域網路上的 EAP(EAP over LAN)
https://ithelp.ithome.com.tw/upload/images/20210905/20132160KESGUnQzve.jpg
-EAP 和 802.1X
IEEE 802.1X 是基於端口的網絡訪問控制 (PNAC) 的 IEEE 標準。它是 IEEE 802.1 網絡協議組的一部分。它為希望連接到 LAN 或 WLAN 的設備提供身份驗證機制。
IEEE 802.1X 定義了基於 IEEE 802.11 的可擴展身份驗證協議 (EAP) 的封裝,稱為“EAP over LAN”或 EAPOL。EAPOL 最初是為 802.1X-2001 中的 IEEE 802.3 以太網設計的,但在 802.1X-2001 中被闡明以適合其他 IEEE 802 LAN 技術,例如 IEEE 802.11 無線和光纖分佈式數據接口(ANSI X3T9.5/X3T12 和 ISO 9314) . 在 802.1X-2010 中,EAPOL 也經過修改以與 IEEE 802.1AE(“MACsec”)和 IEEE 802.1AR(安全設備身份,DevID)一起使用,以支持內部 LAN 段上的服務識別和可選的點對點加密。
資料來源:維基百科

參考
虛擬可擴展區域網路 (VXLAN):在第 3 層網絡上覆蓋虛擬化第 2 層網絡的框架 (RFC 7348)
虛擬可擴展 LAN(維基百科)
什麼是 VXLAN?(Juniper)
底層網絡和覆蓋網絡
網絡工程師對虛擬可擴展區域網路 (VXLAN) 的看法
TOR、EOR 和 MOR 是什麼意思?
數據中心架構中流行的 ToR 和 ToR 交換機
虛擬區域網路 | 第 1 部分 – VxLAN 的工作原理 (YouTube)
VXLAN 介紹 (YouTube)
SD-WAN 的基礎知識
私有VLAN
虛擬可擴展區域網路
RFC 7348:虛擬可擴展區域網路 (VXLAN):在第 3 層網絡上覆蓋虛擬化第 2 層網絡的框架

資料來源: Wentz Wu QOTD-20210804

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

受保護的可擴展身份驗證協議 (PEAP) 是對 VPN 服務器的客戶端進行身份驗證的最佳身份驗證協議

https://ithelp.ithome.com.tw/upload/images/20220602/20132160bbn2SmNEVV.jpg
-VPN 和 EAP
VPN 服務器可以在沒有 RADIUS 服務器支持的情況下作為身份驗證服務器運行,RADIUS 服務器與 RADIUS 客戶端(VPN 服務器)而不是 VPN 客戶端進行通信。VPN 客戶端可以通過 PEAP 對 VPN 服務器進行身份驗證,“PEAP 是一種將 可擴展身份驗證協議 (EAP) 封裝在加密和經過身份驗證的 傳輸層安全 (TLS) 隧道中的協議”。(維基百科)
802.1X 也稱為 EAP over Lan (EAPoL),用於局域網訪問控制,特別是有線乙太網路或 WI-FI 網路。802.1X 不是為遠程訪問身份驗證或 VPN 設計的。
“可擴展身份驗證協議 ( EAP ) 是一種經常用於網路和 Internet 連接的身份驗證框架。” (維基百科)EAP 不是用於認證主體的認證協議,而是一種擴展認證協議的協議。
參考
誤用案例
集成測試
系統測試

資料來源: Wentz Wu QOTD-20211025

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文