分類
Information Security

CISO 研討會-Microsoft

資料來源:https://docs.microsoft.com/zh-tw/security/ciso-workshop/ciso-workshop

分類
CISSP

成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

CMMI、CMMC、BSIMM 和 SAMM 是評估軟體開發能力的好模型。但是BSIMM 是衡量一個組織在安全性方面相對於其他組織執行情況的最佳方法。
成熟度模型中的安全構建 (BSIMM) 是對當前軟件安全計劃或程序的研究。它量化了跨行業、規模和地域的不同組織的應用程式安全 (appsec) 實踐,同時確定了使每個組織獨一無二的變化。

BSIMM 包括:
對組織當前的appsec 計劃 提供客觀、數據驅動的評估的評估
成為提供協作、最佳實踐和獨家內容的安全同行社區的成員
全球會議 ,包括來自安全領導者的主題演講、交流機會以及交流技術和實踐的論壇
一份年度報告 (目前為 BSIMM12),提供對現實世界軟件安全計劃、實踐和活動的數據驅動分析
資料來源:BSIMM

參考
OWASP SAMM
網絡安全成熟度模型認證
負責採辦和維持的國防部副部長辦公室 (OUSD(A&S))
關於 BSIMM
能力成熟度模型集成 (CMMI)

資料來源: Wentz Wu QOTD-20211022

分類
Information Security

IPMI

智慧型平台管理介面(Intelligent Platform Management Interface)原本是一種Intel架構的企業系統的週邊裝置所採用的一種工業標準。IPMI亦是一個開放的免費標準,使用者無需支付額外的費用即可使用此標準。

IPMI 能夠橫跨不同的作業系統、韌體和硬體平台,可以智慧型的監視、控制和自動回報大量伺服器的運作狀況,以降低伺服器系統成本。

資料來源:https://zh.wikipedia.org/wiki/IPMI

分類
Information Security

什么是SSL卸载?它的工作原理是什么?有什么好处?

在学习SSL卸载之前,我们应该了解一些基本知识。

一.SSL延迟

互联网迅猛发展的背后隐藏着许多安全隐患,对此,各种加密技术应运而生。SSL(Secure Socket Layer安全套接层)协议便是一种广泛应用于保障互联网交易安全的加密通讯协议。在SSL加密通道内对HTTP进行封装,成为HTTPS,大大提高了数据传输过程中的信息安全性。如今,大量的线上交易业务,如电子商务、股票、证券交易等都采用SSL加密技术来保证敏感数据传输的安全性。

然而,随着SSL通信量规模的日益庞大,其弊端也日益显现,其首要便是SSL延迟。在HTTPS中,完成TCP握手协议后还需完成SSL握手,因此,HTTPS比HTTP耗时;同时,握手之后,服务器须使用额外的处理能力来对传输的数据进行加密和解密,于是SSL的联机加密运算不可避免会消耗服务器的处理性能,直观地说,一台服务器启用SSL加密之后,其性能往往只达到原来的20%,其余80%的计算性能都消耗在了SSL的加密运算方面。尽管TLS1.3(SSL协议的标准化版本)的发布使得系统在进行握手时只需进行一次往返,减少了耗时,并在其他方面进一步提高了性能,但在更高流量的情况下,SSL/TLS仍旧可能会增加延迟。

二.SSL卸载

SSL卸载技术解决了上述问题:通过将HTTPS应用访问过程中的SSL加密解密过程转移到特定的集成电路(ASIC)处理器上,在满足高并发访问需求的同时,为程序或网站释放出处理能力,从而减少服务器端的性能压力,最终提升客户端的访问响应速度。

这一过程有时也称为负载均衡。

但由于SSL对应用层数据进行了加密,使得负载均衡器这样的设备无法提取用户会话中的cookies、URL、路径等信息。因此,通过SSL卸载技术,一方面全面卸除了系统负荷,另一方面也将SSL加密后的数据融入处理器。

三.SSL卸载的工作原理

1.SSL终结

使用SSL卸载功能的应用交付设备充当负载均衡器的角色。

将专用的SSL应用交付设备(采用专用的SSL卸载硬件芯片)置于网络服务器的前端,把所有传入的客户端请求引导到服务器,在服务器之间平衡或分配客户端的负载,使客户端只需要和SSL应用交付设备交互即可。这样,任何服务器的承载能力都不会过载;同时,客户端发起的HTTPS连接,经过SSL应用交付设备处理后,变成明文的HTTP数据,即可被WEB服务程序(例如IIS、APACHE)直接读取,无需特殊的驱动程序来传送和接受网络数据,从而提高服务器性能。

这一过程中,当客户端尝试连接到网站时,首先会连接到SSL应用交付设备——该连接是HTTPS;而交付设备和应用服务器之间的连接是HTTP。其中,SSL应用交付设备充当了SSL终结器的角色,因此这一过程又称为SSL终结。

下面是SSL终结的可视化图:

2. SSL桥接

除了通过HTTP发送流量和请求外,SSL桥接在概念上与SSL终结非常相似,它会在将所有内容发送到应用程序服务器之前,进行重新加密。

下面是SSL桥接的可视化图:

四.SSL卸载的好处

1. 提高服务器性能:通过卸载应用服务器上额外的SSL加密解密任务,使服务器专注于它们的主要功能,降低服务器负荷。
2. 降低管理员操作复杂性:无需管理和配置多个服务器的证书,只需要在前端交付设备上实现即可。

3. 根据使用的SSL应用交付设备(负载均衡器)的不同,它还可以帮助进行HTTPS检查、反向代理、cookie持久性、流量管理等等:在某些情况下,SSL卸载可以帮助进行流量检查。与加密一样重要的是,它有一个主要缺点:攻击者可以隐藏在加密流量中。由于这一点,出现了很多引人注目的漏洞,比如,Magecart就使用HTTPS流量来混淆从各种支付页面中窃取的PCI。

因此,一旦你的组织达到一定的规模,检查HTTPS流量就很有必要了。而实现这一点的最好方法之一就是进行SSL卸载处理,无论是SSL终结还是SSL桥接,都允许你执行流量检查,在处理高并发流量时可以提供极大的帮助。

五.是否使用SSL卸载?

坦率地说,这一切都取决于您网站类型及流量。

像ESPN或CNN这样大型的媒体网站应当非常适合使用负载均衡器,因为它们都能处理大量的流量;另一方面,如果你只是为当地一家面包店运营一个网站,那么让你的服务器去处理所有的事情就可以了——尤其是TLS 1.3进行了改进的情况下。

資料來源:https://www.racent.com/blog/ssl-offloading-bridging-termination

分類
CISSP

網路功能虛擬化(NFV)、軟體定義網路(SDN)、軟體定義邊界 (SDP) 和零信任(Zero Trust)

網路功能虛擬化 (NFV) 通常使用專有服務器來運行網路服務以提高性能。
根據Wikipedia的說法,“NFV 部署通常使用商品服務器來運行以前基於硬體的網路服務軟體版本。”
https://ithelp.ithome.com.tw/upload/images/20220411/20132160I7mF1gb8cP.jpg
-SDN架構
https://ithelp.ithome.com.tw/upload/images/20220411/20132160sxIHnjir1m.jpg
-SDP架構
https://ithelp.ithome.com.tw/upload/images/20220411/20132160OexcWsGxaz.jpg
-核心零信任邏輯組件(來源:NIST SP 800-207)

參考
軟體定義網路
軟體定義的邊界:SDP 的架構視圖
SDP 和零信任
軟體定義邊界 (SDP):創建新的網路邊界
SDP(軟體定義定義)讓SDN更安全,你的對面不能是一條狗!

資料來源: Wentz Wu QOTD-20211018

分類
CISSP

軟體定義網路

軟體定義網路(英語:software-defined networking,縮寫作 SDN)是一種新型網路架構。它利用OpenFlow協定將路由器控制平面(control plane)從資料平面(data plane)中分離,改以軟體方式實作,從而使得將分散在各個網路裝置上的控制平面進行集中化管理成為可能 ,該架構可使網路管理員在不更動硬體裝置的前提下,以中央控制方式用程式重新規劃網路,為控制網路流量提供了新方案,也為核心網路和應用創新提供了良好平台。SDN可以按使用領域分為:SD-WAN, SD-LAN, SD-DC, SDN將人工智慧引入到網路系統里來,將是未來幾年最熱門的網路前沿技術之一。[1]

FacebookGoogle都在他們的資料中心中使用OpenFlow協定,並成立了開放網路基金會來推動這個技術。[2][3]

資料來源:https://zh.wikipedia.org/wiki/%E8%BB%9F%E9%AB%94%E5%AE%9A%E7%BE%A9%E7%B6%B2%E8%B7%AF

分類
Cissp-WentzWu

數位簽章

若Alice要對合約進行數位簽章, 必須先了解什麼是數位簽章. 之後Bob收到Alice所送來的合約, 以及數位簽章才能驗證合約的不可否認性(即資料完整性, 傳送方的真實性, 以及技術/法律上的不可否認性.

  1. 何謂數位簽章: 要進行數位簽章的那一方, 使用其私鑰, 將要簽章的文件之雜湊進行加密, 所產生的密文就叫數位簽章. (技術定義: 被私鑰加密的雜湊)
  2. Alice要作數位簽章, 必須把合約, 以及新產生的數位簽章傳給Bob
  3. Bob不只會數位簽章, 還會收到合約本身.
  4. Bob收到合約及數位簽章後, 再使用Alice的公鑰將數位簽章解密(得到雜湊), 並重新計算合約的雜湊. 如果解密後的雜湊跟新計算的雜湊相同, 表示合約沒有被改, 傳送方身份為真(因為用Alice私鑰才能解密), 而且不可否認.
分類
Information Security

NetFlow

NetFlow是一種網路監測功能,可以收集進入及離開網路界面的IP封包的數量及資訊,最早由思科公司研發,應用在路由器交換器等產品上。經由分析Netflow收集到的資訊,網路管理人員可以知道封包的來源及目的地,網路服務的種類,以及造成網路壅塞的原因[1]

資料來源:https://zh.wikipedia.org/wiki/NetFlow

分類
Project Management

PMP的團隊組建過程

分類
Information Security

X-Forwarded-For

X-Forwarded-ForXFF)是用來辨識通過HTTP代理負載均衡方式連接到Web伺服器的客戶端最原始的IP位址HTTP頭欄位Squid快取代理伺服器的開發人員最早引入了這一HTTP頭欄位,並由IETF在HTTP頭欄位標準化草案[1]中正式提出。

當今多數快取伺服器的使用者為大型ISP,為了通過快取的方式來降低他們的外部頻寬,他們常常通過鼓勵或強制使用者使用代理伺服器來接入網際網路。有些情況下,這些代理伺服器是透明代理,使用者甚至不知道自己正在使用代理上網。

如果沒有XFF或者另外一種相似的技術,所有通過代理伺服器的連接只會顯示代理伺服器的IP位址,而非連接發起的原始IP位址,這樣的代理伺服器實際上充當了匿名服務提供者的角色,如果連接的原始IP位址不可得,惡意存取的檢測與預防的難度將大大增加。XFF的有效性依賴於代理伺服器提供的連接原始IP位址的真實性,因此,XFF的有效使用應該保證代理伺服器是可信的,比如可以通過建立可信伺服器白名單的方式。

資料來源:https://zh.wikipedia.org/wiki/X-Forwarded-For