EC-Council CND 網路防禦課程

模組概述 (Module Overview)

歡迎來到 CND 模組 11。作為網路防禦者 (Network Defender)，我們不再僅僅守護實體的路由器與交換機。現代企業網路高度依賴虛擬化 (Virtualization)、軟體定義網路 (SDN) 與 雲端容器 (Containers)。這些技術帶來了靈活性，但也引入了全新的攻擊面 (Attack Surface)。本模組將深入探討如何保護這些虛擬資產。

01. 虛擬化核心與威脅 (Virtualization Fundamentals)

虛擬化類型 (Hypervisor Types)

Type 1: Native / Bare Metal 直接安裝在硬體上 (如 VMware ESXi, Microsoft Hyper-V)。效能高，安全性較高，因為沒有底層 OS 的漏洞風險。

Type 2: Hosted 安裝在宿主作業系統 (Host OS) 之上 (如 VMware Workstation, Oracle VirtualBox)。主要用於開發測試。若 Host OS 被攻破，所有 VM 都危險。

企業生產環境應強制使用 Type 1 Hypervisor 以減少攻擊面。

關鍵攻擊手法 (Key Threats)

VM Escape (虛擬機逃逸) 攻擊者從 Guest OS 突破隔離層，存取 Host OS 或其他 VM。這是虛擬化最嚴重的漏洞。

VM Sprawl (虛擬機蔓延) 由於建立 VM 太容易，導致產生大量無人管理的 VM，這些「殭屍 VM」未更新補丁，成為滲透入口。

實施嚴格的 生命週期管理 (Lifecycle Management) 與定期審計來對抗 VM Sprawl。

02. 軟體定義網路 (SDN & NFV)

SDN 將網路架構解構為三個平面，防禦重點在於保護控制層。

架構平面 (Plane)	功能描述	防禦重點 (Blue Team Focus)
Application Plane	網路應用程式與服務 (如 Load Balancer, Firewall Apps)。	驗證應用程式來源，防止惡意 App 注入指令。
Control Plane	SDN Controller (大腦)。負責決定封包路徑與策略。	這是單點故障 (SPOF) 與高價值目標。必須實施嚴格的存取控制 (ACL) 與備援機制。
Data Plane	負責實際轉送封包的網路設備 (Switches, Routers)。	確保設備僅接收來自授權 Controller 的指令 (TLS 加密通道)。

NFV (Network Function Virtualization)

將專用硬體 (如防火牆設備、路由器) 轉化為在虛擬機上運行的軟體功能。

優點是靈活，缺點是若 Hypervisor 被攻破，所有的網路安全設備 (Firewall, IDS) 也同時失效。必須強化 Hypervisor Hardening。

East-West Traffic Monitoring

傳統防禦重在 North-South (進出網際網路)。虛擬化環境中，VM 之間的流量 (East-West) 不經過實體防火牆。

必須使用 微分段 (Micro-segmentation) 與虛擬防火牆來監控並限制 VM 之間的橫向移動。

03. 容器與編排安全 (Container & Kubernetes)

VM vs. Containers

VM (Virtual Machine) 每個 VM 都有完整的 Guest OS。隔離性強，但笨重。

Container (Docker) 共享 Host OS 的 Kernel。輕量，但隔離性較弱。若 Kernel 漏洞被利用，所有容器皆受害。

Docker & Kubernetes Defense

> Do not run as Root: 永遠不要以 Root 權限運行容器。
> Image Scanning: 在部署前掃描映像檔 (Images) 是否含漏洞。
> Pod Security: 在 K8s 中限制 Pod 的通訊範圍 (Network Policies)。

04. 戰術模擬測驗 (Tactical Simulation)

以下為 10 題情境模擬題，請選擇最佳的防禦策略或解釋。