|
|
Part 1 - 虚拟化技术发展
一、虚拟化技术
1.主要组件:
- 虚拟机监控程序(hypervisor):创建、管理和操作虚拟机的虚拟化组件
- 宿主机操作系统(the host OS):运行虚拟机监控程序的计算机
- 来宾操作系统(guest OS):也就是虚拟机
2.hypervisor的类型:
- 类型1:hypervisor直接安装到主机操作系统驻留的硬件之上,通常用于支持服务虚拟化,如ESXI。
- 类型2:硬件上存在一个标准的常规操作系统,然后hypervisor作为一个软件应用程序安装,通常用于桌面部署,如VMware。
3.弹性与可伸缩性:
弹性(Elasticity)是指扩展或收缩资源以满足当前的处理需求,而可伸缩性(scalability)是指承担更多工作或任务的能力
二、虚拟化软件
如Vmware
三、虚拟化网络
虚拟化网络将硬件和软件网络组件组合成单个集成实体,允许对所有网络功能进行软件控制,如管理、流量调整、地址分配,如SDN、虚拟化SAN、虚拟机和端口隔离等
四、软件定义一切(SDx)
SDx是指用虚拟化以软件取代硬件的趋势
1.虚拟桌面基础设施VDI,就是虚拟桌面
2.虚拟移动基础设施VMI,与VDI基本一致,就是移动设备的操作系统在中央服务器上虚拟化
3.瘦客户机(Thin Client),用户本地仅保留显示、IO设备,可节省开支
4.软件定义可见性SDV,一个自动化网络监视和响应过程的框架,其目标是能够分析每个数据包,并就转发、丢弃或以其他方式响应威胁做出基于深度智能的决策
5.软件定义数据中心(SDDC),用虚拟化提供的解决方案替换物理IT元素,通常由外部第三方提供,因此SDDC其实就是IT即服务SaaS
五、虚拟化安全管理
1.保持更新
2.定期备份
3.安全测试,定期的安全评估和渗透测试
4.VM风险:
- 虚拟机蔓延(VM sprawl),指的是大量未充分使用的VM
- 服务器蔓延(Sever sprawl),指的是大量未使用的服务器
- 影子IT,指的是未经高级管理层或IT团队批准就部署的IT组件
- 虚拟机逃逸(VM escaping),当虚拟机中软件能够破坏hypervisor提供的隔离保护,从而渗透到其他虚拟机或者宿主机时,就会发生虚拟机逃逸
六、容器化
定义略,不需要记忆
七、无服务器架构(Serverless Architecture)
Faas,功能即服务,与Paas的区别在于,功能或函数仅在调用时运行,然后在操作完成时终止,从而将成本降到最低
简单理解,FaaS跑完就回收,PaaS长期跑
八、基础设施即代码(IaC)
IaC将硬件配置视为一个元素集合,以与在DevSecOps下管理软件和代码相同的方式进行管理,即以软件代码管理方式对硬件基础设施进行管理。
九、边缘计算
边缘计算是一种网络设计理念,其中数据和计算资源尽可能靠近,以优化带宽使用,同时最小化延迟,典型的就是CDN
十、雾计算
雾计算依靠传感器,物联网设备甚至边缘计算设备来收集和处理数据,然后将加工后的数据传输回中心位置进行处理。
<hr/>Part 2 - 移动设备
一、移动设备安全特性
1.移动设备管理(MDM)
MDM通过注册员工的移动设备来管理他们,包括但不限于资产管理、配置管理、远程擦除等功能。企业移动管理EMM是MDM的加强版,可实现更细粒度的内容控制,由保护设备转到保护企业数据。统一终端管理UEM是MEM和EMM的整合版,扩大了控制的范围,包括但不限于移动设备、PC、IoT、可穿戴设备、ICS等。
2.设备身份验证
如密码、指纹、人脸识别等
3.全设备加密(Full-Device Encryption,FDE)
与硬盘加密一样,额外对移动设备的数据提供保护
4.通信保护
可使用VoIP提供移动设备的语音加密服务,有效对抗窃听攻击
5.远程擦除
当移动设备丢失后,应采取远程擦除对数据进行清理。需要注意该操作需要有网络的情况下才可执行,因此最好配合FDE组合使用。
6.设备锁定
类似账户锁定,如手机解锁密码错误多次后锁定
7.屏幕锁定
没啥好说的
8.GPS和定位服务
- 地理位置(Geolocation),通常用于导航、身份验证和定位服务
- 地理标记(Geotagging),移动设备在创建媒体中包含其位置的详细信息,可被用于攻击目的的信息收集
- 地理围栏(Geofencing),指定一个特定的地理范围,记场景,上班打卡
9.内容管理
移动内容管理(MCM)系统用于通过在移动设备上访问或使用的方式控制公司资源,目标是最大限度地提高性能和工作效益,可绑定MDM确保数据安全。
10.应用控制
限制可以安装哪些应用(依靠白名单),MAM是MDM的子解决方案,只关注应用管理
11.推送通知
简单记忆就是APP的各种广告,这里有一个推送锁(push locker)的概念,就是用户点通知消息会被重定向到其他通知消息导致看不到重要信息
12.第三方应用商店
没啥好说的,重要的APP去官方下即可
13.存储分割
用于人为的划分存储介质上各种类型或值的数据,如华为手机的隐私空间
14.资产跟踪和库存控制
资产跟踪也就是移动设备管理,库存控制指的是使用移动设备当作扫码枪管理仓库
15.可移动存储
移动设备可外接移动存储,如microSD卡,需要关注此类安全风险
16.连接方法
移动设备支持使用多种连接方式,如蜂窝网络或本地无线,需要采用可靠和安全的通信服务,如WPA3
17.禁用未使用的功能
最小化安装原则
18.越狱
就是获得root权限,能够安装各种软件
19.侧向加载(Sideloading)
指通过某种形式的文件传输或USB存储方法将安装程序文件带到设备上,从而在设备上安装应用程序的活动。侧向加载能绕过安全限制,应该禁止该功能或强制对所有应用程序进行数字签名。
20.自定义固件
使用自定义固件替换原有固件的活动称为刷机。
21.运营商解锁(Carrier Unlocking)
合约机只能使用某一个运营商的某一张SMI卡,到期后可使用其他,不影响安全性
22.固件OTA升级
通过蜂窝网络或无线从运营商或供应商下载的固件更新
23.密钥管理
大多数移动设备也使用密钥,且存储在本地,需要关注此类风险
24.凭据管理
凭据管理器也称为密码保险库(password vault),用于存储各类网络或系统的账号密码
25.短信
SMS,没啥好说的,现在主要用于身份验证因素,称为基于短信的双因子身份验证(SMS-based 2FA)
二、移动设备部署策略
1.自带设备(BYOD)
2.公司所有,个人使用(COPE)
3.自选设备(CYOD),有一个批准使用的设备列表
4.组织自有移动战略(COMS),也叫组织自有,仅限业务(COBO),公司买符合安全要求的移动设备,只能用于业务,禁止执行个人活动,该策略最安全
5.移动设备实施策略详情
<hr/>Part 3 - 基本保护机制
1.进程隔离
操作系统为每个进程开辟独立的内存空间,进程间互不影响
2.硬件分割
与进程隔离类似,无非是通过硬件层面进行隔离,通常仅限于国家安全设施使用
3.系统安全策略
为系统的整个生命周期制定安全策略,指导系统的设计、开发、实施、测试和维护
<hr/>Part 4 - 安全缺陷
1.隐蔽通道(Covert Channels)
- 时间隐蔽通道,通过改变系统组件的性能或以可预测的方式修改资源的定时来传送消息,通常非常难以检测,如摩斯密码
- 存储隐蔽通道,通过将数据写入另一个进程可以读取的公共存储区域来传输信息,如隐写术
2.基于设计和编码问题的攻击
即人写的代码总是有问题的
3.Rootkits
黑客工具包,用于获取系统的全部权限
4.增量攻击(Incremental Attack)
某些形式的攻击以缓慢、渐进的方式发生,而不是通过明显或可识别的尝试来危害系统安全性或完整性,典型的有数据欺骗(data diddling)和腊肠攻击(salami) |
|
发 帖
发表于 2023-1-5 14:18:34