IT-Security Step-by-step

CSA — Керівництво з нульової довіри для малого та середнього бізнесу

2025-11-10T05:04:01Z

Для кого це:

Власники малого та середнього бізнесу
Команди ІТ та безпеки
віртуальні CISO
Покупці та постачальники керованих ІТ-послуг та послуг безпеки
Зовнішні ІТ-аудитори та оцінювачі

Керівництво з нульової довіри для малого та середнього бізнесу (МСП)

Дата виходу: 13.01.2025

Кібербезпека для малого бізнесу пов'язана з унікальними та складними викликами. Це робить впровадження стратегії нульової довіри критично важливим для захисту їхніх активів і даних. Нульова довіра – це стратегія безпеки, яка використовує давні принципи, такі як мінімальні привілеї та «ніколи не довіряй, завжди перевіряй».

Ця публікація містить рекомендації для малих та середніх підприємств (МСП), які переходять на архітектуру нульової довіри. Вона враховує численні унікальні обмеження, з якими стикаються МСП, включаючи бюджет, ресурси та глибокі знання предметної області. У цьому посібнику розглядаються ключові компоненти, такі як перевірка особи, безпека кінцевих точок, сегментація мережі та постійний моніторинг для запобігання несанкціонованому доступу. Крім того, в ній обговорюється важливість розуміння унікальних потреб організації, узгодження практик безпеки з бізнес-цілями та сприяння розвитку культури безпеки серед співробітників.

Дотримуючись цих рекомендацій та впроваджуючи принцип нульової довіри, малі та середні підприємства можуть покращити захист своїх даних, довіру клієнтів та стійкість. Хоча малі та середні підприємства стикаються з унікальними викликами, вони виявлять, що принцип нульової довіри забезпечує надійніше середовище, яке підтримує їхні бізнес-цілі.

Ключові висновки:

Чому малий та середній бізнес повинен турбуватися про кібербезпеку
Основні заходи безпеки, які необхідно вжити перед впровадженням Zero Trust
Основи стратегії нульової довіри
П'ятиетапний процес впровадження Zero Trust та як його застосовувати до малого та середнього бізнесу
Міркування щодо залучення постачальників послуг керованої безпеки (MSSP)

Джерело:
→ https://cloudsecurityalliance.org/artifacts/zero-trust-guidance-for-small-and-medium-size-businesses-smbs

🪟 На стартову сторінку

comments

ORM

2025-09-02T23:28:52Z

ORM (Object-Relational Mapping / Об’єктно-реляційне відображення) — це програмна технологія, яка дозволяє працювати з базою даних не напряму через SQL-запити, а через об’єкти мови програмування.

Простими словами:

Без ORM: ви пишете SELECT * FROM users WHERE id=1;
З ORM: ви пишете User.find(1) і отримуєте об’єкт User, з яким можна працювати у коді.

Де застосовується

ORM є проміжним шаром (layer) між додатком і БД.
Він транслює методи й властивості об’єктів у SQL-запити і назад.
Це робить код простішим, зручнішим у підтримці та менш залежним від конкретної СУБД.

Приклади ORM

Java: Hibernate, EclipseLink
.NET: Entity Framework
Python: SQLAlchemy, Django ORM
Ruby: ActiveRecord
PHP: Doctrine, Eloquent (Laravel)

🪟 На стартову сторінку

comments

ISO/IEC/IEEE 42010: Viewpoint & View

2025-09-02T23:13:18Z

У ISO/IEC/IEEE 42010 (Systems and Software Engineering — Architecture Description) є два близькі, але різні поняття:

Viewpoint (точка зору)

Визначення: це "шаблон" або правило, яке пояснює як і для кого треба створювати архітектурне подання.
Він відповідає на питання: які інтереси стейкхолдера ми показуємо, яку інформацію включаємо, якими засобами (діаграми, таблиці, текст) описуємо.
Простими словами: viewpoint — це інструкція або рецепт для створення подання.

View (подання)

Визначення: це конкретний результат застосування viewpoint до вашої системи.
Тобто це вже готова діаграма, таблиця чи текст, що показує систему під певним кутом зору.
Простими словами: view — це фото системи, зроблене за тим рецептом.

Приклад

Уявімо, що будуємо архітектуру для хмарної платформи:

Stakeholder (зацікавлена сторона)
- CIO (Chief Information Officer, директор з ІТ)
- Його concern (потреба): чи масштабована система і як забезпечено інтеграцію між додатками?
Viewpoint (точка зору на інтеграцію додатків)
- Назва: Application Communication Viewpoint
- Призначення: показати, як взаємодіють модулі та сервіси
- Мова: UML Component Diagram або ArchiMate Application Collaboration
- Яку інформацію включати: сервіси, API, протоколи, залежності
View (конкретне подання)
- Діаграма з Azure AD, веб-додатком на Ubuntu, RDS MySQL, інтеграцією з O365.
- Тут видно, що користувачі логіняться через Entra ID, доступ йде через API-шлюз, БД інтегрується через ORM-шар.
- Це вже готова картинка, яку CIO може подивитися.

🔹 Отже:

Viewpoint = каже: "покажи архітектуру додатків через компоненти і протоколи"
View = конкретна діаграма з вашим Entra ID, API Gateway і MySQL

🪟 На стартову сторінку

comments

TOGAF vs ISO 42010 vs Разом

2025-09-02T22:57:14Z

В чому незручність, коли використовують тільки одну методологію для опису архітектурних рівнів?

TOGAF дає методологію (ADM-фази, артефакти, каталоги, матриці), але іноді в ньому бракує гнучкості у формальному представленні результатів.
ISO/IEC/IEEE 42010 дає рамку опису архітектури: хто стейкхолдери, які їхні потреби (concerns), через які viewpoints ці потреби відображати, і у вигляді яких views це презентувати.
Якщо користуватися лише TOGAF — є ризик, що опис буде “каталог + текст”, але не зовсім зрозумілий різним групам зацікавлених сторін.
Якщо користуватися лише ISO 42010 — буде гарна структура “хто/що/для чого”, але без готових методичних кроків і артефактів (каталогів, матриць).

Комбінація TOGAF і ISO/IEC/IEEE 42010 методично сильніша, ніж використання кожного окремо: TOGAF забезпечує процес і набір артефактів, а ISO 42010 — формалізований спосіб представлення архітектури через стейкхолдерів, concerns і viewpoints. Разом вони дозволяють зробити опис не лише повним, а й зрозумілим для різних аудиторій.

Критерій	TOGAF	ISO/IEC/IEEE 42010	Разом (TOGAF + ISO 42010)
Призначення	Методологія розробки архітектури (ADM, фази, артефакти)	Рамка для опису архітектури (stakeholders, concerns, viewpoints, views)	Повний цикл: розробка + формалізований опис
Сильна сторона	Дає покроковий процес (ADM) і набір артефактів (каталоги, матриці)	Дає чітку структуру для комунікації з різними стейкхолдерами	Виходить і методика роботи, і методика подачі результатів
Слабка сторона	Може вийти занадто “всередину ІТ”, важко донести до нефахівців	Немає власної методики створення артефактів, лише правила їх опису	Компенсують слабкі сторони один одного
Фокус	Що і як робити (Data, Application, Technology, Business Architectures)	Як показати і пояснити (concerns, viewpoints, views)	І процес, і представлення зрозумілі й прозорі
Приклад результату	Каталоги даних, матриці застосунків, моделі потоків	Logical Data View, Security View, паспорти viewpoints	Каталоги + матриці (TOGAF), оформлені у views для різних стейкхолдерів (ISO 42010)

Таким чином, можна сказати так — разом вони дають повну картину:

TOGAF = як і що робити (ADM, каталоги, матриці).

ISO 42010 = як правильно це описати й донести (stakeholders, concerns, viewpoints, views).

Див. також:
⋄ Приклад опису архітектури системи згідно TOGAF → https://bga68comp.dreamwidth.org/787432.html

🪟 На стартову сторінку

comments

Інформаційна архітектура ІТ-системи компанії. Приклад

2025-06-26T18:06:09Z

Продовжуємо розбирати шаблони рівнів архітектури ІТ-систем. Це доповнення до опису архітектури за посиланнями:
• Приклад опису архітектури системи згідно TOGAF
• Побудова віртуальної інфраструктури на базі Microsoft Azure

✅ Опис інформаційної архітектури компанії
🖼️ Згідно з наданою схемою (RDS, Files, IIS Web Front/Back, AD DC1/DC2, VPN)

🧾 Інформаційна архітектура ІТ-системи компанії

🔹 1. Методологія

TOGAF 9.2, ADM, фаза C (Data Architecture): побудова інформаційного рівня архітектури.
ISO/IEC/IEEE 42010:2011: опис архітектури через зацікавлені сторони, погляди (views), моделі та відповідності.

🔹 2. Архітектурний контекст

Усі серверні ресурси компанії розміщені в тенанті Azure.
Користувачі підключаються до корпоративної мережі через захищені канали (VPN або Azure Bastion).
Робоче середовище реалізоване через RDS-сервер (DevSRV).
Веб-додатки розділені на фронт- (IIS Web Front) та бекенд (IIS Web Back).
Ідентифікація та авторизація забезпечуються двома доменними контролерами (AD DC1, DC2).

🔹 3. Архітектурні погляди (Views)

3.1 📡 Deployment View

DevSRV – RDS сервер для користувачів.
Files – файловий сервер зі спільними каталогами.
IIS Web Srv Front / Back – розподілення логіки веб-додатку.
AD DC1 / DC2 – розподілена автентифікація, DNS, GPO.
Всі ресурси ізольовані через NSG, Firewall, розміщені у VNet з Subnet-сегментацією.
Користувачі підключаються через захищений шлюз (VPN/Bastion).

3.2 🧩 Data Architecture View

Сутність даних	Опис
User Profile	Профілі користувачів, зберігаються в AD та RDS
File Object	Файли користувача на файловому сервері
DNS-записи	Зони та записи, керуються AD DC1/DC2
Web Session	Дані сесій на IIS Front
GPO Configuration	Групові політики, що застосовуються через AD
RDP Logs	Логи входів і дій у RDS

3.3 🔐 Access & Security View

RBAC на основі груп у AD.
GPO-політики: заборона USB, блокування локального диска, перенаправлення папок.
Шифрування: RDP over TLS, SMB over TLS.
Аудит: централізоване логування входів, дій на RDS.
Двофакторна автентифікація (MFA) через Azure AD / Conditional Access.
Firewall + NSG: розмежування Frontend, Backend, Infra.

3.4 🔄 Information Flow View

Звідки → Куди	Протокол	Захист
Користувач → RDS	RDP over TLS	VPN / MFA / GPO
RDS → Files	SMB 3.0	ACL + GPO + TLS
RDS → AD	LDAP/Kerberos	Шифрування, автентифікація
RDS → IIS Front/Back	HTTP/HTTPS	ACL, WAF, сегментація
RDS → DNS	DNS	ACL-захист зони

🔹 4. Зацікавлені сторони (Stakeholders)

Сторона	Інтерес
Користувачі	Стабільний і безпечний доступ до робочого середовища
Системні адміністратори	Централізоване управління політиками та файлами
Відділ ІБ	Впровадження GPO, аудит, захист інформації
Бізнес	Доступність сервісів, віддалена робота

🔹 5. Цільова модель та вдосконалення

Компонент	Поточна реалізація	Рекомендоване покращення
RDS	DevSRV на VM	Перехід до RDS Farm + Load Balancer
Files	Windows FS	Azure Files + Private Endpoint
MFA	Часткове	Універсальне MFA через Azure AD
AD	DC1 + DC2	Гібрид із Azure AD DS
IIS Front/Back	На VM	Azure App Service або контейнеризація

🔹 6. Узгодженість із ISO/IEC/IEEE 42010

Компонент	Відповідність
Stakeholders	Визначено
Architectural Views	Згруповано (Deployment, Security, Data)
Вимоги	Ураховані: доступність, безпека, контроль
Traceability	Показано зв’язок між цілями й рішеннями

✅ На останок:

Інформаційна архітектура побудована згідно з TOGAF ADM (фаза C) та структурована за стандартом ISO 42010.
Враховано як функціональні, так і нефункціональні вимоги: доступність, безпека, масштабованість.
Усі основні компоненти (RDS, Files, AD, IIS) інтегровані через захищені канали й управляються централізовано.

Annex:
🟠 Фази ADM (Architecture Development Method)

Preliminary Phase
Phase A: Architecture Vision
Phase B: Business Architecture
Phase C: Information Systems Architectures
Phase D: Technology Architecture
Phase E: Opportunities and Solutions
Phase F: Migration Planning
Phase G: Implementation Governance
Phase H: Architecture Change Management
Requirements Management

🪟 На стартову сторінку

comments

Insecure Port Vs Secure Port

2025-05-22T11:54:08Z

Insecure Port Vs Secure Port | Credits:

e-Learn Cyber Security

Insecure Ports vs Secure Ports

Insecure Port	Protocol	Description	Secure Port	Protocol	Description
21	FTP	Sends username and password in plaintext.	22	SFTP	Encrypts user credentials and data packets.
23	Telnet	Sends all info in plaintext; vulnerable to interception.	22	SSH	Encrypts terminal traffic; protects from sniffing.
25	SMTP	Sends emails without encryption; vulnerable to sniffing.	587	SMTP (TLS)	Encrypts emails between client and server.
37	TIME	Legacy protocol, mostly replaced.	123	NTP	Better error handling and accuracy.
53	DNS	Widely used but unencrypted.	853	DoT	Encrypts DNS with TLS, protects in transit.
80	HTTP	Unencrypted web traffic; vulnerable to sniffing.	443	HTTPS	Uses TLS to protect browser-server communication.
143	IMAP	Retrieves email without encryption.	993	IMAP (SSL/TLS)	Encrypts email retrieval traffic.
445	SMB	Unencrypted file sharing on Windows networks.	2049	NFS	Can be encrypted, but often blocked by firewalls.
389	LDAP	Unencrypted directory queries; vulnerable to attacks.	636	LDAPS	Adds SSL/TLS to secure directory access.

🇺🇦 Незахищені порти порівняно із захищеними

Незахищений порт	Протокол	Опис	Захищений порт	Протокол	Опис
21	FTP	Передає ім’я користувача і пароль у відкритому вигляді.	22	SFTP	Шифрує облікові дані користувача і передані дані.
23	Telnet	Уся інформація передається у відкритому вигляді; вразлива до перехоплення.	22	SSH	Шифрує термінальний трафік; захищає від перехоплення.
25	SMTP	Відправляє електронну пошту без шифрування; вразлива до перехоплення.	587	SMTP (TLS)	Шифрує пошту між клієнтом і сервером.
37	TIME	Застарілий протокол, майже не використовується.	123	NTP	Краще обробляє помилки, підвищує точність.
53	DNS	Широко використовується, але не шифрується.	853	DoT	Шифрує DNS через TLS, захищає під час передавання.
80	HTTP	Нешифрований вебтрафік; вразливий до перехоплення.	443	HTTPS	Використовує TLS для захисту з’єднання браузера з сервером.
143	IMAP	Отримання пошти без шифрування.	993	IMAP (SSL/TLS)	Шифрує трафік отримання електронної пошти.
445	SMB	Нешифроване спільне використання файлів у Windows-мережах.	2049	NFS	Може шифруватися, але зазвичай блокується фаєрволами.
389	LDAP	Нешифровані запити до каталогу; вразливі до атак.	636	LDAPS	Додає SSL/TLS для захисту доступу до каталогу.

🪟 На стартову сторінку

comments

AAA. Інформаційна безпека

2025-03-03T15:31:53Z

Акронім AAA:

Використовується для позначення автентифікації, авторизації та обліку різноманітних сервісів (англ. authentication, authorization, accounting, AAA)

Див. також:

🪟 На стартову сторінку

comments

Type-C Male to RJ45 Lan 1 Gbps

2024-12-12T14:35:44Z

Vinga
Модель: Type-C Male to RJ45 Lan 1 Gbps compact

vinga.ua/ua/perehidnyk_type-c_male_to_rj45_lan_1_gbps_compact_vinga_(vcpatclgbc)

Характеристики

Основні характеристики
Тип	для передачі даних
Призначення	для телефону для ноутбука для планшета
Роз'єм 1	USB Тип C
Роз'єм 2	RJ45
Інші
Виробник	Vinga
Модель	Type-C Male to RJ45 Lan 1 Gbps compact
Артикул	VCPATCLGBC
Гарантія, міс	12
Примітка	Виробник може змінювати властивості, характеристики, зовнішній вигляд і комплектацію товарів без попередження

🪟 На стартову сторінку

comments

Cisco. Networking Fundamentals

2024-05-15T12:01:30Z

💻 На стартову сторінку

comments

Традиційна топологія мережі Azure

2024-05-10T16:07:30Z

Мал. 1. Традиційна топологія мережі Azure

Рекомендації щодо проектування.

• Різні мережеві топології можуть підключатися до кількох віртуальних мереж цільової зони. Приклади топологій мережі включають одну велику неструктуровану віртуальну мережу, кілька віртуальних мереж, підключених до кількох каналів Azure ExpressRoute або підключень, концентратор і периферійних мереж, повній сітці та гібридному середовищі.

• Віртуальні мережі не можуть виходити за межі передплати, але ви можете забезпечити можливість підключення між віртуальними мережами в різних підписках за допомогою пірінгу між віртуальними мережами, каналу ExpressRoute або VPN-шлюзів.

• Для підключення віртуальних мереж в Azure кращим способом є пірінг між віртуальними мережами. Піринг між віртуальними мережами можна використовувати для підключення віртуальних мереж в одному регіоні, між різними регіонами Azure та різними клієнтами Microsoft Entra.

• Як піринг між віртуальними мережами, і глобальний піринг між віртуальними мережами є транзитивними. Щоб увімкнути транзитну мережу, потрібні маршрути (UDR) і віртуальні (модуль) мережі (NVA), що визначаються користувачем. Щоб отримати додаткові відомості, див. Зіркоподібна мережа топології в Azure.

• Ви можете надати спільний доступ до плану захисту від атак DDoS Azure у всіх віртуальних мережах в одному клієнті Microsoft Entra для захисту ресурсів із загальнодоступними IP-адресами. Щоб отримати додаткові відомості, див. Захист від атак DDoS Azure.

◌ Плани захисту від атак DDoS Azure охоплюють лише ресурси із загальнодоступними IP-адресами.

◌ Вартість плану захисту від атак DDoS Azure включає 100 загальнодоступних IP-адрес у всіх захищених віртуальних мережах, пов'язаних із планом захисту від атак DDoS. Захист додаткових ресурсів доступний за окремою ціною. Додаткові відомості про ціни на план захисту від атак DDoS Azure див. на сторінці цін на захист від атак DDoS Azure або на запитання, що часто ставляться .

◌ Перегляньте підтримувані ресурси планів захисту від атак DDoS Azure.

• Канали ExpressRoute можна використовувати для підключення між віртуальними мережами в межах одного регіону або за допомогою надбудови рівня "Преміум" для підключення між регіонами. Пам'ятайте наступне:

◌ Мережевий трафік може зіткнутися з більшою затримкою, оскільки трафік має прикріпитись до маршрутизаторів Microsoft Enterprise Edge (MSEE).

◌ Номер SKU шлюзу ExpressRoute обмежує пропускну здатність.

◌ Розгортання визначуваних користувачем користувачів та керування ними за необхідності перевірки або реєстрації визначуваних користувачем користувачів для трафіку у віртуальних мережах.

• VPN-шлюзи з протоколом BGP є транзитивними в Azure та локальних мережах, але за промовчанням не надають транзитивний доступ до мереж, підключених через ExpressRoute. Якщо вам потрібний транзитивний доступ до мереж, підключених через ExpressRoute, розгляньте сервер маршрутизації Azure.

• При підключенні кількох каналів ExpressRoute до однієї віртуальної мережі використовуйте ваги підключень та методи BGP, щоб забезпечити оптимальний шлях для трафіку між локальними мережами та Azure. Щоб отримати додаткові відомості, див. Оптимізація маршрутизації ExpressRoute.

• Використання метрик BGP, щоб вплинути на маршрутизацію ExpressRoute – це зміна конфігурації, виконана за межами платформи Azure. Ваша організація або постачальник послуг з'єднання повинні належним чином настроїти локальні маршрутизатори.

• Канали ExpressRoute із надбудовами рівня "Преміум" забезпечують глобальний зв'язок.

• ExpressRoute має певні обмеження; Існує максимальна кількість підключень ExpressRoute на шлюз ExpressRoute, а приватний піринг ExpressRoute може визначити максимальну кількість маршрутів з Azure до локального середовища. Додаткові відомості про обмеження ExpressRoute див. у розділі "Обмеження ExpressRoute".

• Максимальна сумарна пропускна здатність VPN-шлюзу становить 10 гігабіт на секунду. VPN-шлюз підтримує до 100 тунелів типу "мережа-мережа" або "мережа-мережа".

• Якщо NVA є частиною архітектури, розгляньте azure Route Server, щоб спростити динамічну маршрутизацію між віртуальною мережею (модуль) (NVA) та віртуальною мережею. Сервер маршрутизації Azure дозволяє обмінюватися даними про маршрутизацію безпосередньо через протокол маршрутизації BGP (BGP) між будь-яким NVA, що підтримує протокол маршрутизації BGP та програмно-визначувану мережу Azure (SDN) у віртуальній мережі Azure без необхідності вручну налаштовувати або підтримувати таблиці маршрутів.

Рекомендації щодо проектування.

• Розглянемо архітектуру мережі на основі традиційної зіркоподібної топології мережі для наступних сценаріїв:

◌ Мережева архітектура, розгорнута в одному регіоні Azure.

◌ Мережева архітектура, що охоплює декілька регіонів Azure, без необхідності транзитного підключення між віртуальними мережами для цільових зон у різних регіонах.

◌ Мережева архітектура, яка охоплює кілька регіонів Azure та пірінг глобальних віртуальних мереж, які можуть підключати віртуальні мережі між регіонами Azure.

◌ Немає потреби у можливості транзитивного підключення між підключеннями VPN та ExpressRoute.

◌ Основним методом гібридного підключення є ExpressRoute, а кількість VPN-підключень менше 100 на VPN-шлюз.

◌ Існує залежність від централізованих мережевих віртуальних модулів та детальної маршрутизації.

• Для регіональних розгортань переважно використовується зіркоподібна топологія. Використовуйте віртуальні мережі цільової зони, які підключаються з пірингом між віртуальними мережами віртуальної мережі у центральному концентраторі для наступних сценаріїв:

◌ Крос-локальне підключення через ExpressRoute.

◌ VPN для підключення гілки.

◌ Підключення між периферійними мережами за допомогою NVAs та визначених користувачем користувачів.

◌ Захист від вихідного трафіку через Інтернет через Брандмауер Azure або іншу сторонню NVA.

Див.:
Традиційна топологія мережі Azure. 28.03.2023

comments

Cisco. Acronyms

2023-08-21T21:38:09Z

Сокращения 
AAA     – Authentication, Authorisation, Accounting
ACI     – (Cisco) Application Centric Infrastructure
ACK     – Acknowledgement
ACL     – Access Control List
AD      – (Microsoft) Active Directory
API     – Application Programming Interface
APIC    – (Cisco) Application Policy Infrastructure Controller
APIC-DC – (Cisco) Application Policy Infrastructure Controller – DataCentre
ARP     – Address Resolution Protocol
ASIC    – Application-Specific Integrated Circuit
BGP     – Border Gateway Protocol
BPDU    – Bridge Protocol Data Unit
CoPP    – Control Plane Policing
C&C     – Command and Control
CC      – Controlled Conduit
CEF     – Cisco Express Forwarding
CIP     – Common Industrial Protocol (ODVA)
CMD     – Command
COS     – Class Of Service
CPwE    – Cisco Plantwide Ethernet
CRC     – Cyclic Redundancy Check
CTS     – Cisco TrustSec
dACL    – Dynamic Access Control List
DAI     – Dynamic ARP Inspection
DC      – Datacentre
DDOS    – Distributed Denial of Service
DHCP    – Dynamic Host Configuration Protocol
DLR     – Device Level Ring
DMVPN   – Dynamic Multipoint Virtual Private Network
DMZ     – Demilitarised Zone
DLR     – Device Level Ring
DNS     – Domain Name Service
DNA     – (Cisco) Digital Network Architecture
DNA E/A/P – (Cisco) Digital Network Architecture Essentials/Advanced/Premium Licensing
DSCP    – (IP) Differentiated Services Code Point
DTP     – (Cisco) Dynamic Trunking Protocol
EIGRP   – Exterior Interior Gateway Routing Protocol
EPG     – End Point Group
ERP     – Enterprise Resource Planning
ERSPAN  – Encapsulated Remote Switched Port Analyser
ETA     – (Cisco) Encrypted Traffic Analytics
FNF     – Flexible NetFlow
GPS     – Global Positioning System
GE      – Gigabit Ethernet
GETVPN  – Group Encrypted Transport Virtual Private Network
GRE     – Generic Routing Encapsulation
GUI     – Graphical User Interface
HMI     – Human Machine Interface
HR      – Human Relations
HSR     – High-availability Seamless Redundancy (Ring)
HTTP    – Hypertext Transfer Protocol
HTTPS   – Hypertext Transfer Protocol Secure
HW      – Hardware
IACS    – Industrial Automation and Control Systems
IBN     – Intent-Based Networking
ICMP    – Internet Control Message Protocol
ICS     – Internet Control System
IE      – Industrial Ethernet
IEC     – International Electrotechnical Commission
IDS     – Intrusion Detection System
IDMZ    – Industrial De-Militarised Zone
IEEE    – Institute of Electrical and Electronics Engineers
IETF    – Internet Engineering Task Force
IKEv2   – Internet Key Exchange Version 2
IND     – Industrial Network Director (Cisco)
IOS     – (Cisco) Internet Operating System
IOS-XE  – “XE” train of the (Cisco) Internet Operating System
IOx     – Application environment for Cisco Networking Equipment
IP      – Internet Protocol
IPAM    – Internet Protocol Address Management
IPS     – Intrusion Prevention System
IPSec   – Internet Protocol Security (protocol suite)
ISA     – International Society of Automation
ISE     – Identity Services Engine (Cisco)
ISIS    – Intermediate System to Intermediate System (Routing Protocol)
IND     – (Cisco) Industrial Network Director
IOC     – Indicators of Compromise
IRIG-B  – Inter-Range Instrumentation Group time code “B”
IT      – Internet Technology
ITSec   – Internet Technology Security
L2      – (ISO Model) Layer 2
L3      – (ISO Model) Layer 3
LAN     – Local Area Network
LDAP    – Lightweight Directory Access Protocol
LIMS    – Laboratory Information Management System
LSP     – Label Switch Path
LTE     – Long-Term Evolution (4G mobile communications standard)
MAB     – MAC Authentication Bypass
MAC     – Medium Access Control
MACsec  – IEEE MAC Security Standard (IEEE 802.1AE)
MDM     – Mobile Device Management
MES     – Manufacturing Execution System
MRP     – Media Redundancy Protocol
NAT     – Network Address Translation
NBA     – Network Behaviour Analysis
NTP     – Network Time Protocol
ODVA    – Open DeviceNet Vendor Association
OPC     – Open Platform Communications (OPC Foundation)
OPC UA  – OPC Unified Architecture
OPS     – Operations
OSPF    – Open Shortest Path First (Routing Protocol)
OT      – Operations Technology
pxGrid  – Platform Exchange Grid
PCN     – Process Control Network
PLC     – Programmable Logic Controller
POE     – Power Over Ethernet
POE+    – Power Over Ethernet Plus
PRP     – Parallel Redundancy Protocol
PTP     – Precision Time Protocol
PVST+   – (Cisco) Rapid per VLAN Spanning Tree Plus
PROFINET – Process Field Net
PROFINET RT – PROFINET Real-Time
PROFINET IRT – PROFINET Isochronous Real-Time
QoS     – Quality of Service
RADIUS  – Remote Authentication Dial-In User Service
RBAC    – Roll-Based Access Control
RBACL   – Roll-Based Access Control List
RDP     – Remote Desktop Protocol
REP     – Resilient Ethernet Protocol
RIB     – Routing Information Base
RSPAN   – Remote Switch Port Analyser
SCADA   – Supervisory Control And Data Acquisition
SDA     – (Cisco) Software Defined Access
SGACL   – Scalable Group Access Control List
SGT     – Scalable Group Tag
SIEM    – Security Information and Event Management
SNMP    – Simple Network Management Protocol
SPAN    – Switch Port Analyser
SPT     – Spanning Tree
STP     – Spanning Tree Protocol
SW      – Software
TOD     – Time Of Day
TCP     – Transport Control Protocol
TLS     – Transport Layer Security
TSN     – Time Sensitive Networking
UADP    – (Cisco ASIC) Unified Access Data Plane
UDP     – User Datagram Protocol
USB     – Universal Serial Bus
VoIP    – Voice Over IP
VLAN    – Virtual Local Area Network
VM      – Virtual Machine
VN      – Virtual Network
VXLAN   – Virtual Extensible Local Area Network
VNI     – VXLAN Network Identifier
VPN     – Virtual Private Network
VRF     – Virtual Routing and Forwarding
VSOM    – (Cisco) Video Surveillance Operations Manager
VSS     – Virtual Switching System
VTP     – (Cisco) VLAN Trunking Protocol
VXLAN   – Virtual Extensible Local Area Network
WAN     – Wide Area Network
WEBUI   – World Wide Web User Interface
WWW     – World Wide Web

source: https://www.ciscolive.com/c/dam/r/ciscolive/apjc/docs/2019/pdf/BRKIOT-1315.pdf :

©2019

Industrial Automation Security Design Guide 2.0 :

First Published: 2023-01-17
Last Modified: 2023-01-17
©2023 © Cisco Systems, Inc. All rights reserved.

comments