資訊安全性入門
Joe Schaefer.
InfoSec 的主要目標是什麼?
為了確保環境定義界限的所有變更都受到完善的管制。
例如,就 UNIX 使用者 / 群組 process+filesystem 安全模型而言,UNIX 平台上的每個 系統呼叫 都滿足此條件。** 相關資訊環境交換器 的文字定義 (依 系統呼叫 **輸入) 包括核心的 API 使用狀況檢查’呼叫的側邊。
就 SaaS 交付而言,源自程式實際執行 UNIX** 系統呼叫 的所有資料都應被視為 已設定 **,並在輸入點驗證至應用程式’s 無障礙處理記憶體。這些輸入點應被視為這類應用程式資料的 **infosec 相關資訊環境界限 。適當的管制驗證應將字串模式列入白名單 (通常透過 regex); 清算白名單的資料及其相依資料可能會透過另一個 系統呼叫 安全地從應用程式的處理作業記憶體出埠。這些 系統呼叫 傳出點也是 **infosec 相關資訊環境界限 **;構成項目”安全” 輸入 取得 資料上的白名單模式是由這些傳出點上的特定 API 所通知。透過 SSDLC,這些輸出點會像對應的白名單一樣進化。
僅 UNIX 安全模型永遠不會為網路用戶端 / 伺服器應用程式開發提供佈建,因為在歷史上,在 UNIX 出生後 (其以作業系統為基礎的多使用者安全模型於出生時完全形成) 已發明超過十年的 BSD 通訊埠 API,預測 90s (Sun Microsystems) 中網路運算的興起。MIT Kerberos 是朝右方向邁進的步驟,但在 SaaS 相關資訊環境中非常需要。
安全排定 CPU 以代表部分執行核心層次的工作”授權的使用者 / 群組 / 角色相關資訊環境” 未整合至基礎處理作業’s UNIX 使用者 / 群組內容一律不在 UNIX 模型中。許多資訊安全措施無法辨識此監管責任屬於單獨申請;請勿’讓我們成為一個人!
如果’目前並不清楚,DevOps/SRE 團隊應熟悉 Linux 上的 SaaS 安全性 (CAI) 事件頂端‘秒鐘寬 透過介面秒鐘 關鍵!更好的主力寬 獨立。(僅供參考:我已在 Github 上靜態編譯這些二進位檔,這些二進位檔可以傳遞至 K8s 容器或節點,包括透過 SSH/SSM 傳遞,https://github.com/joesuf4/home/tree/wsl/bin).
這與 Zero-Trust 計畫有何關係?
零信任架構 沒有網路特定的資訊秒相關資訊環境界限。
雖然實際上可能會有 VPN/ 防火牆相關資訊環境,但這些詳細資訊都不會與 Zero-Trust 架構中的 InfoSec 相關。換句話說,這類網路拓樸安全措施可能會擴增「零信任」提案,但這些提案絕對不會在基礎伺服器主機安全層級的「零信任」提案中,依靠應用程式層級。
例如,MIT Kerberos 和 Active Directory 符合「零信任」規範。