Hello, 各位 iT 邦幫忙 的粉絲們大家好~~~

本篇是 建構安全軟體開發 系列文的 EP26。

Flow Control

在網路通訊上要保護抵禦各種惡意程式的侵擾是相當困難的。透由一些流程的控制措施，可從內子宮講到外太空各式各樣的設備、裝置、技術...等來保護。

以下聊聊幾個比較常見的詞彙。

Proxy Severs

Proxy Severs 這個詞在中文上常被稱作 "代理伺服器"。早期一般使用者在網際網路上瀏覽資料的時候，常會透過代理伺服器來取得資料。最主要是因為早期的網路資源(頻寬、流量...等)相當有限，因此透過代理伺服器可以讓其他使用者在取得相同資訊時，直接讀取而不用再到向外部的原始伺服器請求資料，以增快使用代理伺服器的使用者的取得資料的反應時間。

另外也可控制使用代理伺服器網路內部的資源請求，有限度的進行資料的保護措施(注意: 由於僅能規範內部網路的請求，並不能保證資料的安全)。

根據所使用的傳輸協定 FTP、HTTP/HTTPS、PTSP、Telnet、POP3/SMTP、SOCKET/SOCKetS...等，區分成不同種類的代理伺服器。

Firewalls

Firewalls 這個詞在中文上常被稱作 "防火牆"。無論是在實體物理環境中或是在數位資訊世界中皆是如此。

如果在數位資訊的世界中，防火牆就會是某個網路上的裝置設備或是程式，來控制網路當中節點與節點之間的傳輸。所以也常被運用來控制

1. 組織內部對外部網際網路的網路通訊。
2. 組織內部對內部區域之間的網路通訊。

以避免有不當授權連結到機敏系統或資源，另外在 Web Application 的運用上有專屬的 Web Application Firealls (WAFs) 提供網站抵禦或減緩(並非能完全避免)已知的攻擊手法，如: SQL injection、Cross-site scripting(XSS)...等。

Protocols

Protocols 這個詞在中文上常被稱作 "通訊協定"。作法是制定一系列的規則與限制(可能是邏輯上也可能是物質上)，讓設備跟設備之間根據這些規則進行資料的互相交換，可能根據其限制造成其資料交換的速度與量級的影響。

以下有幾種著名(有現代通用也有作古的)的有線通訊的網路原理：

• Ethernet
• Token ring
• Fiber Distributed Data Interface (FDDI)

緬懷早期網路剛被設計的時候，並非像當今的網路通訊的設置如此標準化、規格化，這些設計都是前人慢慢累積設計出來的。

Queuing in Flow Control

在網路通訊較不穩定的環境中，Queuing 是一種常被運用的技術，以確保資料的次序與優先權(FIFO)。

Data Loss Prevention (DLP)

Dat Loss Prevention 被提出是在 IEEE 發布 2010 March 的期刊 上被提到的：

In today's digital economy, data enters and leaves enterprises' cyberspace at record rates. For a typical enterprise, millions of emails are sent and received and thousands of files are downloaded, saved or transferred via various channels or devices on a daily basis. Meanwhile, enterprises hold sensitive data that customers, business partners, regulators, and shareholders expect them to protect. Unfortunately, companies constantly fall victim to massive data loss and high profile data leakage involving sensitive personal and corporate data continue. Data loss could substantially harm a company's competitiveness and reputation, and could also invite lawsuits or regulatory crackdown for lax security. Therefore, organizations should take measures to understand the sensitive data they hold, how it is controlled, and how to prevent it from being leaked.

根據 NIST 的字詞定義 Data Loss Prevention (DLP):

A systems ability to identify, monitor, and protect data in use (e.g. endpoint actions), data in motion (e.g. network actions), and data at rest (e.g. data storage) through deep packet content inspection, contextual security analysis of transaction (attributes of originator, data object, medium, timing, recipient/destination, etc.), within a centralized management framework. Data loss prevention capabilities are designed to detect and prevent the unauthorized use and transmission of NSS information.

而 DLP 在防範的作為上會建議由內而外去進行。

Virtualization

Virtualization 這個詞在中文上常被稱作 "虛擬化"，透過當代硬體的高運算資源，可以讓運算資源被有效的共享利用的一種技術。

有 Host 主體；有 Guest 客體，通常虛擬化是指在一個 Host (主體)上會運作多個 Guest (客體)。

Hypervisor

Hypervisor 是一種運用在 Host 上管理各個 Guest 系統的存取 Host 系統資源的技術名稱。

• Type 1 Hypervisor
  透過 CPU 支援的硬體層管理。
• Type 2 Hypervisor
  透過軟體模擬的軟體層管理。

Hypervisor Security

虛擬化技術除了本身 Host (主體) 與 Guest (客體) 的安全維護外，會多了一個 Hypervisor 的安全防護問題。

目前在 Hypervisor 被揭露的有關攻擊手法：

• CAPEC-552: Install Rootkit

Software-Defined Infrastructure

透由軟體去定義出各種基礎設施的模擬運作：

• Software-Defined Networking (SDN)
• Software-Defined Storage (SDS)
• Software-Defined Computer (SDC)

而通常透由軟體來定義出的模擬運作，就會比起傳統架構規劃上多了一層弱點的可能性存在，記住...免費的最貴。