分類
CISSP

軟體定義網路 (Software-Defined Network:SDN) 架構

https://ithelp.ithome.com.tw/upload/images/20220804/20132160P7QK1BBh44.jpg
-SDN 架構(來源:Dargahi、Tooska 等人

網路功能虛擬化 (NFV) 是一個補充 SDN 的概念。它涉及在商用現貨 (COTS) 硬件平台上虛擬化網路功能,例如路由或交換。NFV 可能與軟體定義網路 (SDN) 混淆,後者將數據平面與控制平面分開。
SDN 控制器可以直接對交換機進行編程以丟棄、泛洪或轉發數據包,或者在現有底層網路之上構建虛擬覆蓋網路。
參考
軟體定義網路
我們為什麼要走向SDN?
SDN控制器(軟體定義網路控制器)
有狀態SDN數據平面安全性調查

資料來源: Wentz Wu QOTD-20211101

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

資料科學

https://ithelp.ithome.com.tw/upload/images/20220727/20132160D2dForWP3s.jpg
DIKW Hierarchy (Credit: Drill)
何謂資料?
資料(data)是事實(facts)的記錄;主要以客體(object)方式存在,沒有相對的主體(subject),因此不具備情境(context)、沒有生成意義(meaning),也不產生價值(value),所以也常被為原始資料(raw data)。描述資料的資料則稱為中繼資料(metadata)。資料經過處理,在特定情境就會對主體(人)產生意義,我們稱之為資訊(information)。如何運用資料及資訊來解決問題與創造價值的資訊稱為知識(knowledge)。反覆運用資料、資訊及知識以追求美好未來所累積的經驗總合,稱為智慧(wisdom)。

資料即事實,必須有明確的表示方式(expression)及編碼(encoding)才能被有效的儲存、處理及運用。資料流程圖可有效地呈現資料被儲存、處理及運用的過程。不同的資料型態有不同的表示法及編碼;常見的資料型態有量化及質化資料。例如:數值(9.9)為連續型(continuous)量化資料、計次(1,2,3)為不連續型(discrete)量化資料;類別(男/女)是名目(nominal)的質化資料、大綱符號(A,B,C)是順位(ordinal)的質化資料。將資料以系統化的方式組織起來即形成資料結構(data structure),以有效的儲存、處理及運用資料;常見的資料結構有陣列、鍵結串列、佇列、堆壘、樹及網路等。為解決特定問題,針對特定資料結構的處理邏輯稱為演算法(algorithm);例如:排序(sorting)及遍尋(traversal)等。

何謂科學?
Science is a systematic enterprise that builds and organizes knowledge in the form of testable explanations and predictions about the universe.
Source: Wikipedia

科學是一門有系統地探究萬物,以建立知識體系的過程及學問;這些知識通常是建立在可被驗證的解釋或預測的基礎上。大學(中國經典四書之一)所謂之【格物、致知】即為科學之道。

何謂資料科學?
資料科學是一門科學的新研究領域,主要目的是從巨量且複雜的資料集中,萃取出更高階的知識及智慧。資料科學通常涉及資料的管理及治理議題(從資料的表示、編碼、儲存、處理、運用到治理),因此通常會涵蓋資料庫、統計學、軟體工程、商業分析等知識領域。

參考(References)
.Science
.What Is Science?
.DIKW Hierarchy – Understanding the Concept of Wisdom
資料來源:https://coaches.wuson.org/%E8%B3%87%E6%96%99%E7%A7%91%E5%AD%B8/

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISA

資料庫管理系統(DBMS)

資料庫管理系統(英語:database management system縮寫DBMS) 是一種針對物件資料庫,為管理資料庫而設計的大型電腦軟體管理系統。具有代表性的資料管理系統有:OracleMicrosoft SQL ServerAccessMySQLPostgreSQL等。通常資料庫管理師會使用資料庫管理系統來建立資料庫系統。

現代DBMS使用不同的資料庫模型追蹤實體、屬性和關係。在個人電腦、大型電腦和主機上應用最廣泛的資料庫管理系統是關係型DBMS(relational DBMS)。在關係型資料庫中,用二維表格表示資料庫中的資料。這些表格稱為關係[1]


描述

資料庫管理系統是一套電腦程式,以控制資料庫的分類數據存取。一套資料庫包括:

  1. 模型語言,用以因應該資料庫管理系統的數據模型,來定義各資料庫的schema
    • 最常用的三大類分別為階層式網路式關聯式的模型。一個資料庫管理系統可提供一種、兩種,甚至全部三種方式,也可能提供其他形式。最適合的模型要視乎個別應用程式、交易進行比率及查詢經常使用的程度等。現時最常使用的則是SQL所支援,相似於關聯式模型但又有些微違背的方式。很多資料庫管理系統也支援ODBC,以支援程式編寫員以標準方法存取該資料庫管理系統。
  2. 最佳化的數據結構(欄位紀錄檔案),以支援在永久儲存裝置(permanent data storage device,即比主記憶體(volatile main memory)慢得多)上儲存極大量的數據。
  3. 查詢語言及撰寫報表的程式,讓使用者可以互動方式查問資料庫,進行數據分析及依使用者的權限來更新數據。
    • 它必須控制數據的保安,以防止不獲授權的使用者觀看甚至更新資料庫的數據。使用者可以提供有效的密碼來存取整個資料庫或其中一部分。譬如員工資料庫包括所有員工資料的數據,但某組使用者可能只被批准檢視薪金相關的數據,其他的又可能只可以存取工作履歷及病歷數據。
    • 如果該資料庫管理系統向使用者提供可輸入更新資料庫甚至進行查詢的互動途徑,則此能力可以用來管理個人的資料庫。可是,它不一定提供審核或其他在多使用者環境中所需要的各種控制機制。這些機制可能要整套應用程式都為數據輸入或更新而修改才能提供。
  4. 交易機制(最好可以保證ACID特性),在多使用者同時存取之下仍維持數據完整性(data integrity),與及提供故障排除(fault tolerance)。
    • 資料庫管理系統依靠不容許超過一名使用者在同一時間更新同一項紀錄來維持資料庫的完整性。資料庫管理系統可以用唯一索引限制來避免重覆紀錄。譬如不能有兩位顧客有同一個顧客編號(主鍵)在資料庫中存在。

資料來源:https://zh.m.wikipedia.org/zh-tw/%E6%95%B0%E6%8D%AE%E5%BA%93%E7%AE%A1%E7%90%86%E7%B3%BB%E7%BB%9F

分類
CISSP

分層(Layering)可以更好地理解這些單元之間的關係,從而使依賴關係清晰,避免不必要的複雜性。

https://ithelp.ithome.com.tw/upload/images/20220707/20132160qMND5H34Mk.jpg
-安全設計原則分類
模組化和分層的原則是跨系統工程學科的基礎。源自功能分解(functional decomposition)的模組化和分層通過使理解系統的結構成為可能,在管理系統複雜性(complexity)方面是有效的。然而,良好的模組化分解或系統設計的細化是具有挑戰性的,並且抵制一般的原則陳述。
模組化(Modularity)用於將功能和相關數據結構隔離(isolate)為定義明確的邏輯單元( logical units)。分層(Layering)可以更好地理解這些單元的關係,從而使依賴關係清晰,避免不必要的複雜性。
模組化的安全設計原則將功能模組化( modularity)擴展到包括基於信任、可信度、特權和安全政策(security policy)的考慮。
基於安全的模組化分解包括以下內容:
– 將政策分配給網路中的系統;
– 向分層分配系統政策;
– 將系統應用程序分離為具有不同地址空間的進程;
– 基於硬體支持的特權域,將進程劃分為具有不同特權的主體。
模組化和分層的安全設計原則與縱深防禦(defense in depth)的概念不同,這在 F.4 節中進行了討論。
資料來源:NIST SP 800-160 第 1 卷

參考
NIST SP 800-160 第 1 卷
模組化(網絡)

資料來源: Wentz Wu QOTD-20211029

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

軟體開發工具包 (Software development kit :SDK)是開發一個分佈式軟體系統時,最不可能是構成系統元素。

軟體開發工具包 (SDK) 是一個可安裝包中的軟體開發工具集合。它們通過編譯器、調試器和軟體框架來促進應用程序的創建。它們通常特定於硬體平台和操作系統組合。創建具有高級功能的應用程序,例如廣告、推送通知等;大多數應用軟體開發人員使用特定的軟體開發工具包。
分佈式軟體系統的元素通常通過定義的應用程序編程接口 (Application programming interface:API) 進行通信。

SDK 是軟體開發工具的集合。它不是組成系統元素。
依屬進程(Dependent processes)是分佈式軟體系統的一部分。他們使用靜態庫還是動態庫都沒有關係。
接口描述語言 (Interface description language:IDL) 用於定義接口,然後將其翻譯成特定的編程語言。

參考
進程間通信
遠程過程調用
軟體開發工具包

資料來源: Wentz Wu QOTD-20211028

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISA

ACID

ACID,是指資料庫管理系統DBMS)在寫入或更新資料的過程中,為保證事務(transaction)是正確可靠的,所必須具備的四個特性:原子性(atomicity,或稱不可分割性)、一致性(consistency)、隔離性(isolation,又稱獨立性)、持久性(durability)。

在資料庫系統中,一個事務是指:由一系列資料庫操作組成的一個完整的邏輯過程。例如銀行轉帳,從原帳戶扣除金額,以及向目標帳戶添加金額,這兩個資料庫操作的總和,構成一個完整的邏輯過程,不可拆分。這個過程被稱為一個事務,具有ACID特性。ACID的概念在ISO/IEC 10026-1:1992文件的第四段內有所說明。

四大特性[編輯]

  • 原子性(Atomicity):一個事務(transaction)中的所有操作,或者全部完成,或者全部不完成,不會結束在中間某個環節。事務在執行過程中發生錯誤,會被回滾(Rollback)到事務開始前的狀態,就像這個事務從來沒有執行過一樣。即,事務不可分割、不可約簡。[1]
  • 一致性(Consistency):在事務開始之前和事務結束以後,資料庫的完整性沒有被破壞。這表示寫入的資料必須完全符合所有的預設約束觸發器級聯回滾等。[1]
  • 事務隔離(Isolation):資料庫允許多個並發事務同時對其數據進行讀寫和修改的能力,隔離性可以防止多個事務並發執行時由於交叉執行而導致數據的不一致。事務隔離分為不同級別,包括未提交讀(Read uncommitted)、提交讀(read committed)、可重複讀(repeatable read)和串行化(Serializable)。[1]
  • 持久性(Durability):事務處理結束後,對數據的修改就是永久的,即便系統故障也不會丟失。[1]

資訊來源:https://zh.wikipedia.org/zh-tw/ACID

分類
CISSP

資料治理(Data Governance)

資料治理計劃通過分配一個負責資料準確性、完整性、一致性、及時性、有效性和唯一性的團隊來提高資料質量。
雖然資料治理計劃可以由提高資料質量的願望推動,但它們更多地是由響應外部法規的 C 級領導者推動的。
參考來源:維基百科

資料來源:Wentzwu網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

交通燈協議 (Traffic Light Protocol :TLP) 對可能共享的威脅進行了分類和控制共享情報的範圍

https://ithelp.ithome.com.tw/upload/images/20220608/20132160ElPZ03VI40.jpg
-圖片來源:socradar
紅綠燈協議 (TLP) 是一個用於對敏感資訊進行分類的系統,該系統由英國政府的國家基礎設施安全協調中心 (NISCC;現為國家基礎設施保護中心,CPNI) 創建,以鼓勵更多地共享敏感資訊。
基本概念是發起者表明他們希望他們的資訊在直接接收者之外傳播的範圍有多廣。它旨在以受控和受信任的方式改善個人、組織或社區之間的資訊流。處理帶有 TLP 標記的通信的每個人都必須理解並遵守協議的規則,這一點很重要。只有這樣,才能建立信任並實現資訊共享的好處。TLP 基於發起者標籤資訊的概念,使用四種顏色中的一種來指示接收者可以進行哪些進一步的傳播(如果有的話)。如果需要更廣泛的傳播,接收者必須諮詢發起者。

目前存在許多 TLP 規範。
– 來自 ISO/IEC,作為跨部門和組織間通信的資訊安全管理標準的一部分
– 來自旨在提供公開可用的簡單定義的 US-CERT
– 來自事件響應和安全團隊論壇(FIRST),它於 2016 年 8 月 31 日發布了其合併 TLP 文檔的 1.0 版。它來自一個特殊興趣小組,旨在確保對 TLP 的解釋是一致的,並且在用戶社區中存在明確的期望。
資料來源:維基百科

參考
網路安全和基礎設施安全局 (CISA) 的自動指標共享 (AIS)
駕馭威脅情報規範的海洋
網路威脅搜尋框架第 1 部分:痛苦金字塔
痛苦金字塔 (DavidJBianco)
妥協指標(維基百科)
將 zveloCTI 威脅情報數據映射到妥協指標 (IOC) 的痛苦金字塔
紅綠燈協議
您需要了解的有關威脅情報中交通燈協議使用的知識

資料來源: Wentz Wu QOTD-20211027

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

基於晶格的存取控制(Lattice-based access control)授權機制,以防止特權傳播和控制信息流以確保機密性

https://ithelp.ithome.com.tw/upload/images/20220606/20132160GICwwauXJp.jpg
-存取控制策略、機制和模型
晶格(Lattice)是在序理論和抽象代數的數學分支學科中研究的抽象結構。它由一個偏序集合組成,其中每對元素都有一個唯一的上界(也稱為最小上限或連接)和一個唯一的下界(也稱為最大下限或滿足)。
資料來源:維基百科
自主存取控制 (DAC) 是一種授權機制,資料所有者根據需要知道和最小權限原則做出授權決定。安全管理員或資料保管人根據主體(能力表)和對象(存取控制列表)的身份對存儲在稱為存取控制矩陣的資料結構中的系統實施授權決策。但是,根據 DAC 策略授予的權限可能會傳播到其他主體。
強制存取控制(MAC)通過基於晶格理論匹配主客體標籤來控制信息流來彌補DAC的弱點。
https://ithelp.ithome.com.tw/upload/images/20220606/20132160zqPR4pU3EG.jpg
-安全核心

資料來源: Wentz Wu QOTD-2021026

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

虛擬區域網路擴展(Virtual Extensible LAN:VXLAN)

虛擬區域網路 (VLAN)
https://ithelp.ithome.com.tw/upload/images/20210905/20132160yVhs9wEOyW.jpg
-VLAN 組(來源:Cisco Press)

虛擬 LAN (VLAN) 是在數據鏈路層(OSI 第 2 層)的計算機網絡中劃分和隔離的任何廣播域。
資料來源:維基百科
目前的VLAN數量有限,為4094,無法滿足數據中心或雲計算的需求,具有基於租戶隔離網絡的共同特點。例如,Azure 或 AWS 的客戶遠多於 4094。

私有VLAN
https://ithelp.ithome.com.tw/upload/images/20210905/20132160rGnrhFAheb.jpg
-酒店專用 VLAN
專用 VLAN,也稱為端口隔離,是計算機網絡中的一種技術,其中 VLAN 包含受限制的交換機端口,因此它們只能與給定的上行鏈路進行通信。受限端口稱為專用端口。每個專用 VLAN 通常包含許多專用端口和一個上行鏈路。上行鏈路通常是連接到路由器、防火牆、服務器、提供商網絡或類似中央資源的端口(或鏈路聚合組)。
專用 VLAN 的典型應用是酒店或乙太網到家庭網絡,其中每個房間或公寓都有一個用於 Internet 訪問的端口。
資料來源:維基百科

VXLAN 問題陳述(VXLAN Problem Statement)
VXLAN (RFC 7348) 就是為了解決這個問題而設計的。VXLAN 問題陳述突出了以下問題:

  1. 生成樹(Spanning Tree)和 VLAN 範圍施加的限制
  2. 多租戶環境(Multi-tenant)
  3. ToR(架頂式)交換機的表尺寸不足
    它還寫道:“VXLAN(虛擬可擴展區域網路)解決了在多租戶環境中存在虛擬機的情況下第 2 層和第 3 層數據中心網絡基礎設施的上述要求。”

VXLAN 作為覆蓋網絡(VXLAN as Overlay Network)
VXLAN 將傳統的 VLAN 幀封裝為 IP 負載或 MAC-over-IP,以支持主幹交換機和葉交換機之間的通信。所述葉脊架構採用葉片開關和主幹交換機組成的兩層的網絡拓撲。
https://ithelp.ithome.com.tw/upload/images/20210905/20132160a4WkntnsZQ.png

覆蓋和底層網絡(Overlay and Underlay Networks)
底層網絡 或所謂的 物理網絡 ,傳統協議在其中發揮作用。底層網絡是物理基礎設施,在其上構建覆蓋網絡。它是負責跨網絡傳輸數據包的底層網絡。
 底層協議:BGP、OSPF、IS-IS、EIGRP
一個 覆蓋網絡 是一個 虛擬的網絡 被路由在底層網絡基礎設施之上,路由決定將發生在軟件的幫助。
 覆蓋協議:VXLAN、NVGRE、GRE、OTV、OMP、mVPN
覆蓋網絡是一種使用軟件創建網絡抽象層的方法,可用於在物理網絡之上運行多個獨立的、離散的虛擬化網絡層,通常提供新的應用程序或安全優勢。
來源:Underlay Network 和 Overlay Network

攻擊向量(Attack Vector)
VXLAN 是一個 MAC-over-IP 覆蓋網絡,它繼承了第 2 層和第 3 層攻擊向量,因此它擴展了第 2 層網絡的攻擊向量。
傳統上, 第 2 層網絡 只能被惡意端點從“內部”攻擊——要么:
. 通過不當訪問 LAN 和窺探流量,
. 通過注入欺騙性數據包來“接管”另一個 MAC 地址,或
. 通過氾濫並導致拒絕服務。
用於傳送第 2 層流量的 MAC-over-IP 機制顯著擴展了此攻擊面。 這可能是由於流氓將自己注入網絡而發生的:
. 通過 訂閱一個或多個 承載 VXLAN 網段廣播流量的多播組,以及
. 通過將 MAC-over-UDP 幀發送 到傳輸網絡以注入虛假流量,可能是為了劫持 MAC 地址。
本文檔不包含針對此類攻擊的具體措施,而是依賴於 IP 之上的其他傳統機制。相反,本節概述了 VXLAN 環境中一些可能的安全方法。
. 通過限制在 VXLAN 環境中部署和管理虛擬機/網關的人員的管理和管理範圍,可以減輕流氓端點的傳統第 2 層攻擊。此外,此類管理措施可能會通過 802.1X 之類的方案得到加強,以對單個端點進行准入控制。此外,使用基於 UDP 的 VXLAN 封裝可以在物理交換機中配置和使用基於 5 元組的 ACL(訪問控制列表)功能。
. 可以使用 IPsec 等傳統安全機制保護 IP 網絡上的隧道流量,這些機制對 VXLAN 流量進行身份驗證和可選加密。當然,這需要與授權端點的身份驗證基礎設施相結合,以獲取和分發憑據。
. VXLAN 覆蓋網絡是在現有 LAN 基礎設施上指定和運行的。為確保 VXLAN 端點及其 VTEP 在 LAN 上獲得授權,建議為 VXLAN 流量指定一個 VLAN,服務器/VTEP 通過此 VLAN 發送 VXLAN 流量以提供安全措施。
. 此外,VXLAN 需要在這些覆蓋網絡中正確映射 VNI 和 VM 成員資格。期望使用現有安全方法完成此映射並將其傳送到 VTEP 和網關上的管理實體。
來源:RFC 7348

區域網路上的 EAP(EAP over LAN)
https://ithelp.ithome.com.tw/upload/images/20210905/20132160KESGUnQzve.jpg
-EAP 和 802.1X
IEEE 802.1X 是基於端口的網絡訪問控制 (PNAC) 的 IEEE 標準。它是 IEEE 802.1 網絡協議組的一部分。它為希望連接到 LAN 或 WLAN 的設備提供身份驗證機制。
IEEE 802.1X 定義了基於 IEEE 802.11 的可擴展身份驗證協議 (EAP) 的封裝,稱為“EAP over LAN”或 EAPOL。EAPOL 最初是為 802.1X-2001 中的 IEEE 802.3 以太網設計的,但在 802.1X-2001 中被闡明以適合其他 IEEE 802 LAN 技術,例如 IEEE 802.11 無線和光纖分佈式數據接口(ANSI X3T9.5/X3T12 和 ISO 9314) . 在 802.1X-2010 中,EAPOL 也經過修改以與 IEEE 802.1AE(“MACsec”)和 IEEE 802.1AR(安全設備身份,DevID)一起使用,以支持內部 LAN 段上的服務識別和可選的點對點加密。
資料來源:維基百科

參考
虛擬可擴展區域網路 (VXLAN):在第 3 層網絡上覆蓋虛擬化第 2 層網絡的框架 (RFC 7348)
虛擬可擴展 LAN(維基百科)
什麼是 VXLAN?(Juniper)
底層網絡和覆蓋網絡
網絡工程師對虛擬可擴展區域網路 (VXLAN) 的看法
TOR、EOR 和 MOR 是什麼意思?
數據中心架構中流行的 ToR 和 ToR 交換機
虛擬區域網路 | 第 1 部分 – VxLAN 的工作原理 (YouTube)
VXLAN 介紹 (YouTube)
SD-WAN 的基礎知識
私有VLAN
虛擬可擴展區域網路
RFC 7348:虛擬可擴展區域網路 (VXLAN):在第 3 層網絡上覆蓋虛擬化第 2 層網絡的框架

資料來源: Wentz Wu QOTD-20210804

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文