ネットワークはグラフにマップされる
ネットワークトポロジーは幾何学的グラフである
すべてのコンピュータネットワークには、トポロジーという名の幾何学的配置があります。この配置は、ノード(デバイス)とエッジ(接続)から成り立っています。トポロジーは、故障耐性、バンド幅、およびセキュリティ特性を決定します。
5つの基本的なトポロジー:
- スター: 中央のハブがあり、すべてのノードがそれに接続されています。シンプルで安価ですが、ハブが死んだ場合、すべてが死ぬ可能性があります。N-1のエッジでNノードがあります。
- リング: ノードが円形に配置され、各々が2つの隣人に接続されています。1つの破損は、ネットワークを分割します。NのエッジでNノードがあります。
- バス: ノードがすべてが共有する単一のバックボーンケーブルです。安価ですが、衝突に脆弱です。バックボーンの故障は、すべてを失う結果です。
- メッシュ: すべてのノードがすべての他のノードに接続されています。最大限の冗長性があります。Nノードの完全メッシュは、N(N-1)/2のエッジがあります:つまりO(N²)の接続です。高価ですが、非常に故障耐性があります。
- 木: 层次的なブランチングです。N-1のエッジ(最小接続グラフ)があります。ルートの故障は、サブツリーを分割します。
実際のネットワークは、ハイブリッドです:メッシュのコアにスター型アクセスレイヤー、階層的なルーティングの木構造、および重要な接続点でのリングトポロジーの冗長性があります。
トポロジーと故障耐性
データセンターには20台のサーバーがあります。オペレーショnteamsは、内部ネットワークの完全メッシュとスタートポロジーの間で議論しています。
曝露の幾何学
攻撃面 = 凸版図
セキュリティでは、攻撃面は、攻撃者がシステムと相互作用できるすべてのポイントの総和です。幾何的に考慮すると、システムは形状であり、その境界上のすべてのポイントが潜在的なエントリーポイントです。
攻撃面の要素:
- ネットワーク面: すべてのパブリックIPアドレス上のオープンポート。5つのオープンポートがあるサーバーは、ネットワーク境界上の5つのポイントがあります。
- アプリケーション面: すべてのAPIエンドポイント、すべてのURLルーティング、すべてのフォーム入力。200ルートがあるWebアプリは、200のアプリケーションレイヤーの境界ポイントがあります。
- 人間面: 認証情報があるすべての従業員、すべてのフィッシング標的。ソーシャルエンジニアリング攻撃は人間の周縁を標的とします。
- 物理面: すべてのサーバールームドア、すべてのUSBポート、すべてのネットワークジャック。
幾何学的原則: セキュリティは、信頼されたと不信頼された領域の間の境界を最小化することで向上します。ファイアウォールは幾何学的境界を定義します:内部のトラフィックは信頼され、外部のトラフィックはそれではありません。境界に穴が多いほど、攻撃面が大きくなります。
これが、最小権限の原則が幾何学的である理由を説明しています。各コンポーネントに、機能するために必要な境界露出の最小限を与えます。
攻撃面の削減
会社が以下の露出を持つWebアプリケーションを実行しています:12のパブリックAPIエンドポイント、すべての50サーバーでSSHを開放(ポート22)、パブリックIPを持つデータベース、およびインターネットからアクセス可能な管理パネル。
攻撃グラフと脅威木
脅威モデリングはグラフ理論を使用します
セキュリティプロフェッショナルは、脅威を有向グラフとしてモデル化します。グラフの構造は、攻撃経路、重要な標的、および防衛優先順位を示します。
攻撃グラフ: ノードはシステム状態(または個々のシステム)を表します。有向辺は可能な移行を表します:エクスプロイト、横方向の動き、特権昇格。攻撃パスは、外部ノードからターゲットノードまでこのグラフを通してのウォークです。
攻撃木: 専用のグラフ構造です。ルートノードは攻撃者の目標(例:'データベースを盗む')です。子ノードは親の目標を達成する方法です。葉は具体的な攻撃アクションです。ANDノードはすべての子が成功する必要があります; ORノードは少なくとも1つが成功する必要があります。
グラフの中心性は、高値のターゲットを特定します:
- 間接中心性: 最短パスの通行に多くが含まれています。ネットワークでは、これは交通流を制御するポイントです。ファイアウォールやドメインコントローラーはしばしば高間接中心性を持ちます。
- 次数中心性: 多くの接続を持つノードです。攻撃グラフでは、多くの他のノードから到達可能なノードは、横方向の動きの高値ターゲットです。
最短パス = 最も可能性のある攻撃ベクター: 攻撃者は最少のステップを最適化します。攻撃グラフのインターネットからデータベースへの最短パスは、最も可能性のある攻撃ルートです。防衛手段は、その最短パスが長くなるようにすることです:攻撃者が踏む必要がある追加のノード(セキュリティコントロール)を追加します。
攻撃グラフ解析
この構造を持つネットワークを考慮してください:インターネット → ウェブサーバ → アプリサーバ → データベース。ウェブサーバはファイルサーバにも接続されています。アプリサーバはバックアップサーバにも接続されています。攻撃者の目標はデータベースです。
楕円曲線暗号は幾何学を使用します
楕円曲線:幾何学が暗号化になる場所
楕円曲線暗号(ECC)は、セキュリティが実際に幾何学的な演算に基づかれる珍しい場所のひとつです。
楕円曲線は、x と y の組み合わせ (x, y) を満たす点の集合です:y² = x³ + ax + b(特定の「無限遠の点」も含めます)。実数数値上では、これは滑らかで対称な曲線のようになります。
点の加算:幾何学的な演算が暗号化を可能にするものです:
1. 二つの点 P & Q を楕円曲線上に取ります。
2. P & Q を通じて一直線を引く。
3. 直線は楕円曲線上で R' という点と交差します。
4. R' を x 軸上に反転させ、R = P + Q を得る。
この『加算』演算は数学的な 群 を形成します:結合的である、無限遠の点が単位元であり、各点が逆元を持つことを保証します。
スカラー乗算:点 P を自分自身を k 回加算することで kP を得ます。前向き(k と P を用いて kP を計算する)操作は O(log k) の演算を使用して高速に行われますが、逆向き(P と kP を用いて k を見つける)は 楕円曲線離散対数問題(ECDLP) です。この問題は、大きな曲線では計算上不可能と考えられます。
これの不均衡性は、現代の TLS のセキュリティの基盤です。 ブラウザの HTTPS 接続は、ECC(楕円曲線ディフィー=ヘルマン暫定)を使用しています。双方は楕円曲線上でポイントを交換し、共有シークレットを決定しますが、ECDLP を解決しない限り、エavesdropper はシークレットを回復できません。
なぜ幾何学は良い暗号化を提供するのか
ECC は、RSA と同じセキュリティを非常に小さい鍵サイズで提供します。256 ビットの ECC 鍵は、3072 ビットの RSA 鍵と同じセキュリティを提供します。