Shannon's Blog 🐟 技術 | 生活 | 旅行

前言 根據上一篇的內容，我們整理的主流的ZTA相關文件，並針對AP與DB的部分做重點。而本篇的目的就是針對這些文件做一個總整理，並且針對AP與DB的部分做一個總結。會想要整理這篇的目的是這樣的： 目前市面上的零信任架構文件更多探討的是使用者訪問敏感數據或受保護資源之前，與「應用程式或服務」的互動中如何實施持續性的驗證，並且由動態策略來進行決策。但是，這往往讓人忽略了在使用者完成與應用程式的驗證後，延續到應用程式對資料進行存取時的安全策略，儘管文件有提及到一些適用於應用程式應滿足的安全要求，例如應該要確保第三方元件的安全等。但並無特別列出應用服務在存取資源時如何持續地進行驗證、授權，或是對事件的監控、資料的收集和分析等，而資料安全方面也僅僅提出基本的要求，包含對重點資料座標記和分類，在應用程式對資源進行存取時，動態存取策略所需考量的要素、架構模型等以滿足零信任要求皆無更多的討論。 在微服務與雲原生架構的盛行下，多個應用程式可能會有存取相同的資源的需求，而對資源的存取權限往往掌控在應用程式對使用者的驗證與授權，然而基於零信任原則，我們不應信任並假設每個應用程式的驗證機制都能滿足零信任...

SSH 參考：https://askie.today/lets-set-ssh-config/ SSH登入主機時，不用再輸入密碼，然後也不用輸入ip的方法: 1234567891011121314151617181920# 本地產生金鑰ssh-keygen# 把金鑰送入想要免輸入密碼的host# 把公開金鑰送入遠端主機ssh-copy-id 帳號@主機IP# 先進入ssh目錄準備設定host別名cd ~/.sshvi config # 設定如下# vmwareHost test # 以下機器的簡稱 HostName 192.168.4.18 # ip User prlab # 帳號 identityfile ~/.ssh/id_rsa # 金鑰位置# 之後就可以直接輸入ssh test known_hosts 每個用戶都有自己專屬的 known_hosts 文件 (存放在~/.ssh/known_hosts) known_hosts 文件是 SSH (Secure Shell) 的一個重要組成部分，用於存儲已知主機的公鑰指紋。它是 SSH 信任模型的一部分，主要用來防止...

參考連結 美國 NIST 在 2020 年發佈了 NIST SP 800-207 的文件 美國國防資訊系統局就在 2021發布美國國防部的零信任參考架構 Department of Defense - Zero Trust Reference Architecture 美國預算與管理辦公室於 2021 年 9 月先發布推動策略徵求意見後，於 2022 年 1 月發佈正式文件 前言 身為一個想要做資料庫與AP之間安全論文的研究生，如果想要套用零信任架構上去，首先就必須了解各種文件上面談到零信任應該滿足的要求或是符合零信任的架構。同時因為是要找AP與資料庫之間的安全，而零信任卻是更全面地談及不同層面應該滿足的要求，像是針對使用者的身份驗證等。因此需要認清楚自己的目標對象怎麼著中在AP與資料之間的安全，為此我將整理的要求和架構進行分類，哪些是針對User與AP，哪些可以用於AP與AP就需要區分出來。 因此這篇文章的目的是在整理以下三篇文章： 美國 NIST 在 2020 年發佈了 NIST SP 800-207 的文件：此文件作為國家導入零信任架構訂定基礎。 美國國防資訊系統局就...

前言 因為之前的篇幅NIST SP 800-209 資料儲存安全指引 Security Guidelines for Storage (1) 威脅與風險擔心太長，因此再建立一的新的Post來進行整理。 上一篇主要針對資料儲存基礎設施盤點相關的威脅、風險和攻擊面。 本篇則是主要整理儲存部署的安全建議。論文的貢獻可以在於強調可以滿足零信任要求與資料儲存相關安全標準SP800-209的相關措施。 4. 儲存部署安全建議 Security Guidelines for Storage Deployments 第4.1至4.12節提供了存儲基礎架構安全的安全建議和指南，透過其命名和編號方案旨在確保每個指南都有獨特的識別號。主要的唯一識別號採用“xx-SS-Ry”的形式。 但是，因為本人的論文希望更著重在，AP(客戶端)與資料儲存裝置之間連線時和主機本身的安全措施，因此本章節並不會列出所有的安全建議，僅列出與AP(客戶端)與儲存裝置之間，又或是「儲存基礎設施本身」的安全建議。 “xx”是與節點標題相關的兩個字母組合：在第4.1節“物理存儲安全”中，主要識別號標記為PS-SS-R1，PS-...

參考資料 NIST SP800-209 Security Guidelines for Storage Infrastructure OWASP API Top 10, 2023 OWASP Top 10, 2021 OWSP Top 10,2021：別人整理的，內容簡短。 OWSP Top 10,2021：簡報更加清楚裡面的具體採取措施與威脅。 前言 根據上一篇的內容和研究議題，應該要先了解，本篇主要目的在整理： [x] 資料儲存的相關威脅與風險有哪些？ [ ] 零信任怎麼預防這些威脅與風險？ 為了能夠整理儲存安全的相關威脅與風險，我整理了NIST所發布針對Cloud Stoage的相關安全標準，NIST SP 800-209的本文檔概述了： 存儲技術格局的演變、當前的安全威脅以及由此產生的風險。 並主要提供一套全面的安全建議來應對威脅，涵蓋… 信息技術 (IT) 基礎設施常見的安全管理領域: 例如物理安全、身份驗證和授權、變更管理、配置控制以及事件響應和恢復） 存儲基礎設施特有的安全管理領域: 例如存儲基礎設施、數據保護、隔離、恢復保證和加密。 我只會挑我...

參考連結 Hikari Connection Pooling with Spring Boot AWS RDS Proxy Hikrai-Source Code AWS推出能提升關聯式資料庫應用可擴展性的代理服務 Hikrari配置設定 注入是用於監控的Druid dataSource 如何指定自己extends Hirkari的DataSource 如何构建实用的RDS Proxy? (一):有稍微提到怎麼使用Golang實作一個RDS Proxy kingshard:一個開源的Mysql Proxy但是已經沒在維護了，是用GO寫的 MySQL官网连接过程介绍:官方連線協議說明 mysql握手协议抓包: 有大概說明mysql的協議抓包內容 30-25之資料庫層的擴展 - 讀寫分離架構:資料庫的讀寫分離說明 前言 可以參考我的論文方向，是如何在資料庫中滿足零信任要求，零信任機制其實核心說白了就是存取控制機制，在Authentication驗證這個人是誰之時，取得所有相關的上下文，甚至是風險，經過多方考量後，最後做Authorization授權。那既然我們的目的在於，如何在資料...

參考資料 JDBC是什麼？ (14) 深入 JDBC、Connection Pool，並導入 H2 DB Design Pattern - Object Pool 深入瞭解資料庫連線池的實現及原理 為什麼hikari這麼快的原因 spring-boot-starter-jdbc 和 spring-boot-starter-data-jdbc 的区别 Spring Boot- Data properties 前言 JDBC的全名是Java DataBase Connectivity，主要適用於Java程式語言 和 資料庫 之間連接的API標準，你也可以說他是Library，這裡的API到底指哪些事情呢？ 連接到資料庫 創建, 執行 SQL JDBC 架構 JDBC API提供以下接口和類: Driver Manager: 管理資料庫驅動程式的列表，可以將Java Application的連接請求，與資料庫驅動程式進行配對，以建立資料庫的連接。 Driver: 處理與資料庫的通信，很少會直接與Driver溝通，而是會透過Driver Manager來管理這個對象。 Co...

參考連結 Enrollment via manager API 前言 會想要做這一篇的需求是因為，當有受接管的裝置時，我們為了讓服務得知請求從哪一個裝置發送的，所以我們會在每一個裝置上安裝 Wazuh Agent和自己的用來做裝置綁定的Agent。裝置綁定的Agent負責在請求內放裝置資訊，並透過數位簽章進行認證，這個裝置綁定的Agent是透過ASP.net去撰寫，而Wazuh Agent則是可以協助我們對裝置的狀態進行監控。 我們希望自己製作的Agent自動化的方式來安裝 Wazuh Agent，這時候我們需要透過 Wazuh API 來達成這個需求。然後可以滿足以下要求： 可以自動註冊 並且取得agent id Wazuh API Enrollment The Wazuh manager API allows users to make an agent enrollment request to the Wazuh manager. This request returns a unique key for the agent, which must be man...

參考連結 在 Proxmox VE 中安裝 Windows10 與相關驅動: 這篇寫得挺清楚，只是有些我不太確定為什麼要選那個設定，因此有多做一些研究。 前言 在執行 wazuh的警告系統實作時，因為想要下載 Fiddler 來攔截 Alert 發送的訊息，查看是否有 Post 成功。 又或是想要安裝一台 windows 來當 wazuh 下載iso檔案 需要先下載兩個iso 一個 windows 10 iso 一個 驅動程式 iso vm 規格 設定 OS 要選擇 GuestOS: Windows，Version: 10/2016/2019 設定 System 要特別勾選 Qemu Agent 設定 Disk 選用 SCSI 設定 CPU, Memory，這邊可以自己按需求設定（我是設定4顆CPU跟16G RAM因為沒有要跑大服務） Network 選擇 VirtIO 設定 驅動程式 iso 新增 CD/DVD Drive 指定為下載iso檔案裡面的驅動程式 iso，匯流排選擇 IDE 即可，並選擇 virtio IS...

參考連結 elastAlert - HTTP POST 沒有mail server怎麼測試寄送email？快放過你的gmail來看看有那些可以測試用的smtp mail server 在elastAlert透過mail發送訊息 前言 我們在上一篇說明完如何透過 slack 來發送告警通知，本篇的目的這次著重在。 [x] 怎麼透過 email 發送訊息 [x] 成功觸發發送 email 功能 [x] 把 Labeling Service 部署到 機器上 [x] 成功觸發發送 發api進行 labeling 功能 透過 post 來發送訊息 參考根據官方網站說明：https://elastalert.readthedocs.io/en/latest/ruletypes.html#http-post 如果你想要設定 Rule 是可以發送 HTTP POST 的，可以參考以下的設定方式。 HTTP POST的設定Key意思: http_post_url：設定要發送請求的URL地址。 http_post_payload（可選）：以键值對形式配置的POST请求的内容。 例如...