تمهيد أمن المعلومات

[مؤرشف] آخر تحديث بواسطة Joe Schaefer في Thu, 12 Mar 2026    مصدر

 

ما الهدف الأساسي من InfoSec؟

لضمان تنظيم جميع التغييرات في حدود السياق بشكل جيد.

على سبيل المثال، كل استدعاء نظام على منصة UNIX يفي بهذا الشرط، من حيث نموذج أمان نظام ملفات عملية مستخدم/مجموعة UNIX. يتضمن التعريف الحرفي لمحول السياق، كما هو مكتوب بواسطة استدعاءات النظام، التحقق من صحة استخدام واجهة برمجة التطبيقات على النواة’جانب المكالمة.

من حيث التسليم SaaS، يجب التعامل مع كل البيانات الناتجة عن وقت تشغيل UNIX استدعاء النظام على أنها ملوثة، وتم التحقق من صحته عند نقاط الإدخال في التطبيق’ذاكرة العملية التي يمكن الوصول إليها. يجب اعتبار نقاط الإدخال هذه حدود سياق Infosec لبيانات التطبيق هذه. يجب أن يكون التحقق التنظيمي المناسب من أنماط سلاسل القائمة البيضاء (عبر regex عادةً)؛ tainted يمكن شحن البيانات التي تمسح قائمة المسموحات، والبيانات التابعة لها، بأمان إلى الخارج من ذاكرة عملية التطبيق عبر استدعاء نظام آخر. هذه نقاط الاتصال بالنظام هي أيضًا حدود سياق المعلومات البيئية؛ ما الذي يشكل “قِراب الذك” يتم إعلام أنماط القائمة البيضاء على بيانات الطباعة الواردة بواسطة واجهات برمجة التطبيقات المحددة هذه في نقاط الخروج. على SSDLC، ستتطور نقاط الخروج هذه، كما يجب أن تتطور قوائم السماح المقابلة.

لم يقدم نموذج UNIX الأمني وحده أي أحكام لتطوير تطبيقات العميل/الخادم المتصلة بالشبكة، لأن واجهة برمجة تطبيقات مقبس BSD التي سبقت ظهور الحوسبة الشبكية في 90s (Sun Microsystems) تم اختراعها بعد أكثر من عقد من ولادة UNIX (مع نموذجها الأمني متعدد المستخدمين القائم على نظام التشغيل الذي تم تشكيله بالكامل عند الولادة). معهد ماساتشوستس للتكنولوجيا كانت خطوة في الاتجاه الصحيح، ولكنها تترك الكثير مما هو مطلوب في سياق SaaS.

جدولة وحدات CPU بأمان لتنفيذ العمل على مستوى kernel نيابة عن بعض “سياق المستخدم/المجموعة/الدور المعتمد” غير مرتبط بالعملية الأساسية’كان سياق مستخدم/مجموعة UNIX دائمًا خارج نموذج UNIX. العديد من مبادرات إنفوسيك تفشل في الاعتراف بهذه المسؤولية التنظيمية تنتمي إلى التطبيقات وحدها ؛ لا’دعك تكون واحداً!

في حال’ليس من الواضح في هذه المرحلة، يجب على فرق DevOps / SRE فرز حوادث SaaS الأمنية (CAI) على لينكس التعرف على أنفسهم يسيطر‘ss دعارة واجهة عبر ss المفتاح! أفضل لا يزال لإتقان دعارة كمنفرد. (للعلم: لدي تجميعات ثابتة لهذه الثنائيات على github يمكن تسليمها إلى حاويات أو عقد K8s، بما في ذلك عبر تسليم SSH/SSM، في https://github.com/joesuf4/home/tree/wsl/bin).

كيف يرتبط ذلك بمبادرات عدم الثقة، كمسألة عملية؟

بنى بدون ثقة لا توجد حدود سياق infosec خاصة بالشبكة.

على الرغم من أنه قد يكون هناك سياقات VPN/Firewall في الواقع، إلا أنه لا توجد أي من هذه التفاصيل ذات صلة بـ InfoSec في إطار عدم الثقة. وبعبارة أخرى، يمكن لمبادرات أمان هيكل الشبكة هذه أن تزيد من مبادرات الثقة الصفرية، ولكن لا يتم الاعتماد عليها أبدًا في مبادرة الثقة الصفرية على مستوى أمان مضيف الخادم الأساسي من خلال مستوى التطبيق.

MIT Kerberos والدليل النشط متوافقان مع الصفر، على سبيل المثال.