Introduction à la sécurité des informations

[ARCHIVÉ] Dernière mise à jour par Joe Schaefer sur ven., 03 mai 2024    source
 

Quel est l’objectif principal de InfoSec ?

Pour s’assurer que tous les changements aux limites du contexte sont bien réglementés.

Par exemple, chaque appel système sur une plate-forme UNIX satisfait cette condition, en termes de modèle de sécurité utilisateur/groupe UNIX + système de fichiers. La définition littérale d’un commutateur de contexte, telle que définie par les appels système, implique la vérification de la validité de l’utilisation de l’API du côté du noyau de l’appel.

En termes de livraison SaaS, toutes les données provenant d’un appel système UNIX d’exécution doivent être traitées comme conservées

Le seul modèle de sécurité UNIX n’a jamais pris de dispositions pour le développement d’applications client/serveur en réseau, car historiquement, l’API de socket BSD qui a précédé la montée en puissance du Network Computing dans les années 90 (Sun Microsystems) a été inventée plus d’une décennie après la naissance d’UNIX (avec son modèle de sécurité multiutilisateur basé sur le système d’exploitation entièrement formé à la naissance). MIT Kerberos.

La planification sécurisée des CPU pour effectuer un travail au niveau du noyau pour le compte d’un “contexte utilisateur/groupe/rôle autorisé” non lié au contexte utilisateur/groupe UNIX du processus sous-jacent a toujours été en dehors du modèle UNIX. De nombreuses initiatives d’infosec ne reconnaissent pas que cette responsabilité réglementaire appartient uniquement aux applications ; ne laissez pas la vôtre en être une !

Si ce n’est pas clair à ce stade, les équipes DevOps/SRE qui trient les incidents de sécurité SaaS (CAI) sur Linux devraient se familiariser avec haut‘s stèle interface via le s clé ! Mieux vaut maîtriser stèle

Comment cela se rapporte-t-il aux initiatives de confiance zéro, en pratique ?

Architectures sans confiance.

Bien qu’il puisse y avoir des contextes VPN / pare-feu en réalité, aucun de ces détails n’est pertinent pour InfoSec dans un cadre Zero-Trust. En d’autres termes, de telles initiatives de sécurité de topologie de réseau peuvent augmenter les initiatives Zero-Trust, mais elles ne sont jamais utilisées dans une initiative Zero-Trust au niveau de sécurité serveur-hôte de base jusqu’au niveau de l’application.

MIT Kerberos et Active Directory sont par exemple conformes à Zero-Trust.

$Date : 2023-01-19 22:58:40 +0000 (jeu, 19 janvier 2023) $

Lien permanent  #données   #dynamique   #infosec   #taint   #zerotrust  

 

     

Commentaires  


Pièces jointes  

Liens  


Index

 

  • Listes de diffusion — Ces adresses temporaires sont anathèmes à ezmlm-idxles systèmes d’abonnement et de modération … ven., 03 mai 2024

 

  • Git et non-répudiation — Il y a une distinction claire entre l’histoire “commit” et l’histoire “upload”. … ven., 03 mai 2024


 

  • La joie de DTrace — Mesurez deux fois, coupez une fois, avant de vous lancer dans un effort d’optimisation de code … mer., 17 avr. 2024

 


COVID-19 mars 2020

  • Croissance exponentielle et COVID-19 — Prenez votre temps avec la section mathématiques — Il est important d’être un consommateur averti de statistiques pertinentes pour la pandémie actuelle … lun., 30 janv. 2023

 

  • Sur le problème du spam… — Le meilleur plugin pour qpsmtpd, bien qu’il soit difficile de comprendre pourquoi … dim., 29 janv. 2023

 


Nid d'abeille hyperbolique


 

  • Fun avec htop — Fonctionnalités htop avancées sur les plates-formes Unix populaires … jeu., 19 janv. 2023

Architecture des informations

  • Architecture des informations — Toute la gamme de technologies pertinentes pour la conception, la présentation, les relations et les contraintes architecturales qui couvrent chaque URL que vous servez … lun., 11 mars 2024

goudronné et plumé


Dépendances de la langue anglaise


 

  • Le mouvement DevOps — La grande idée derrière le “mouvement” n’est pas simplement de donner aux développeurs plus de corde … ven., 26 avr. 2024

Année du Dragon


 

  • Performances des applications — De nombreux développeurs tombent dans le piège de penser que l’optimisation des performances consiste à rendre chaque ligne de code aussi efficace que possible. … ven., 26 avr. 2024