第 5 部分：账本恢复的起源 – 操作安全 | 分类帐

到目前为止，我们已经在第 1 部分和第 2 部分中展示了 Ledger 如何恢复 将你的种子分成股份 和 安全地发送这些共享 至 朋友 值得信赖的备份提供商。 在第 3 部分中，我们展示了如何 安全地存储（和恢复）您的种子份额，受硬件加密保护，与您的身份绑定且多样化。 在第 4 部分中，我们探讨了 Ledger Recover 如何设法 只允许您访问您的备份.

现在是时候仔细研究我们如何确保操作层面的最大安全性了。 乍一看，操作安全是通过以下方式实现的：

• 强化支持 Ledger Recover 的基础设施，
• 对 Ledger Recover 的各个操作员应用职责分离，
• 监控关键组件和操作，
• 实施特定于恢复的事件响应。

让我们深入了解每一项的含义的详细信息。

强化基础设施

基础设施强化有多种形式。 这是一项 360° 的演习，涉及由对安全风险进行彻底分析驱动的广泛活动。 它通常首先维护可能导致安全问题的攻击场景目录（例如数据泄漏、冒充客户端导致未经授权的共享恢复、系统无响应和服务中断）。 在操作层面预防这些问题是围绕资源隔离、系统访问监管、网络流量控制、漏洞管理等活动来组织的。

以下是我们强化 Ledger Recover 基础设施的关键措施的概述：

服务可用性

基础设施的设计是为了 无单点故障 (NSPOF)，这意味着系统对于任何组件的故障都有弹性。 让我们举个例子：我们的数据中心由位于建筑物两端的两个独立的互联网服务提供商 (ISP) 提供服务。 如果光纤由于建筑物某一部分正在进行的施工工作而损坏，数据将简单地通过另一 ISP 路由。 无中断维护是提高可用性的另一个好处。 鉴于Ledger Recover的所有软件组件至少有两个实例，我们可以将系统重新配置为仅使用实例A，同时替换/升级/修复实例B。

对 Ledger Recover 应用程序的管理员访问权限有限

只有一个 授予管理员访问权限的用户数量减少 专用于 Ledger Recover 的资源。 用户列表越短，我们就越能降低内部威胁获得管理员访问权限的风险。

安全的物理数据中心

备份提供商的 HSM 托管在 地理上的冗余 物理数据中心，使用以下方式免受物理和虚拟威胁 工业级安全技术和程序。 物理保护级别可确保未经授权的个人无法随意带走 HSM。 依赖跨多个站点的数据中心意味着，如果一个位置遇到问题，另一个位置可以接管，提供 不间断的服务可用性。 最后但并非最不重要的一点是，管理我们自己的 HSM 使我们能够 控制谁有权访问 给他们 以及部署了什么代码 在他们身上。

隔离账本恢复资源

所有 Ledger Recover 资源都与 Ledger Recover 服务提供商内的任何其他资源隔离，包括 Coincover 和 Ledger 内的资源。 需要这种隔离来确保我们可以遏制来自一个网络切片的旨在利用其他网络切片资源的潜在攻击。

通过多个支柱确保代码级安全

• 我们使用 代码扫描仪 帮助我们及早发现并解决漏洞，防止它们进入生产。
• 代码 is 审查 并批准 by 一个独立的团队 开发 Ledger Recover 的一个。 这种分离是通过发现可能导致安全问题的逻辑缺陷来帮助提高整体代码质量的另一种措施。
• 的代码 关键模块 账本恢复是 使用加密签名进行签名。 签名部分是根据代码的内容生成的，通过将签名与其预期值进行比较来防止部署篡改代码。 此安全检查是在执行代码之前完成的。

网络流量控制

通过为所有 3 个备份提供商定义流量规则的策略来严格控制网络流量。 经过 定义允许和拒绝流量的规则，我们限制攻击面并降低未经授权访问的风险。 此外，限制各个服务之间的通信可确保 即使一个组件受到损害，攻击者的横向移动也受到限制。 此外，我们应用双向 TLS (mTLS) 身份验证来防止中间人 (MiM) 攻击。 通过使用证书验证双方的身份，相互 TLS 可确保 只有受信任的实体才能建立安全连接.

钥匙轮换

加密 键 （例如，用于加密数据或通信）是 定期更换 符合密码学最佳实践。 这样做的好处是，如果密钥被泄露， 伤害有限 轮换之间的时间以及使用旧密钥加密的数据。

出境交通安全

出站流量仅限于已知域和 IP 地址（备份提供商、服务提供商）。 限制和监控出站流量是一种方法 对潜在的数据泄露保持警惕。 如果出站数据流的数量高于预期，恶意行为者可能会大规模地从 Ledger Recover 系统中提取敏感数据。 

入站流量安全

传入流量受到反 DDoS、Web 应用程序过滤 (WAF) 和 IP 过滤技术组合的保护。 分布式拒绝服务 (DDoS) 攻击通过使目标系统溢出请求来造成危害。 限制传入请求的数量 是针对此类攻击的众所周知的措施。 现在，并非所有攻击都与数量有关，其中一些攻击与质量有关。 这就是 WAF 发挥作用的地方。 WAF 查看传入的请求并 检查他们的预期行为：如果请求旨在获得未经授权的访问或操纵数据，则过滤器会阻止该请求。 最后，IP 过滤采用双重技术：a) 白名单，即允许 仅来自特定 IP 地址的流量 或范围，以及 b) 黑名单，即阻塞 来自已知攻击者 IP 的流量.       

漏洞管理

Ledger Recover 基础设施的组件是连续且系统地 扫描 对于已知的漏洞和错误配置，并定期应用补丁/更新。 这有助于在新型威胁出现时做出响应，并使安全措施保持最新和世界一流。

职责分离

职责分离是 Ledger Recover 安全策略的核心。 

不同部门之间的职责分离 备份提供商 （第 3 部分）和 IDV提供商s（第 4 部分）已在之前的帖子中进行了描述。 您可能还记得有：

• 3 份秘密恢复短语由 3 个独立的备份提供商管理（数据库多样化以防止串通）
• 2 个独立的身份验证器（IDV 提供商）

在基础设施层面， 职责分离 被申请;被应用 参与 Ledger Recover 开发和运营的不同角色之间的关系.

此外，我们将职责分离与 “最小特权”原则。 “最小权限”是适用于系统操作员和管理员的原则： 他们被授予只做他们需要做的事情的权利，确保他们获得履行职责所需的最低级别的许可。 

因此，当 “最小特权”与“职责分离”相结合, 各种管理角色分配给不同的人 以便任何人都无法损坏/损害任何系统组件的机密性或完整性。 例如，Ledger Recover 代码的开发人员无权访问正在运行他们编写的代码的系统。

治理：法定人数

与区块链的共识机制通过多个参与者验证区块来保证完整性和安全性类似，我们在 Ledger Recover 系统中采用了法定人数来增强我们的操作安全性。

尽管我们对员工进行了严格的背景调查，但事实仍然是，人类可能是任何系统中的薄弱环节，加密领域也不例外。 备受瞩目的安全事件，例如 2014 年 Mt. Gox 黑客事件，展示个人如何被利用或导致安全漏洞。 人们可能会受到各种动机的影响或胁迫——金钱、意识形态、胁迫、自我（又名 MICE(S)）——这使得即使是最严格的背景调查也并非完全万无一失。

为了减轻此类风险，我们使用基于法定人数概念的系统。 在采取任何重大决策或关键行动之前，该框架需要来自备份提供商内不同团队或部门的至少三个授权人员达成共识。 

出于安全原因，我们不同法定人数所涉及的确切人数仍未公开。 尽管如此，它的存在本身就可以通过削弱任何单个受感染个人的潜在影响来显着增强我们的操作安全性。

以下是我们使用法定人数的一些活动：

1. 为 Ledger Recover HSM 生成私钥：这一关键操作由每个实体（Coincover、EscrowTech 和 Ledger）内的独立法定人数来保障。 这些不同群体的每个成员都必须在场才能在各自的 HSM 中生成私钥。 每个仲裁成员都可以访问备份密钥，这对于在需要时恢复和重新生成其 HSM 机密至关重要。 这种结构不仅可以防止任何人对三个备份提供商 HSM 之一产生不当影响的风险，而且还可以增强整体系统完整性，因为每个仲裁都独立运行并且不了解彼此的具体情况。

2. 决定对客户份额进行特殊释放：特定情况（尽管很少见）可能需要特殊释放客户份额。 这些可能是由于身份验证失败（名称更改、物理损坏等），或者我们未公开的安全措施错误地将设备列入黑名单。 当出现这种情况时，由来自备份提供商的多个人员组成的法定人数会聚集在一起。 这一程序需要广泛的共识，确保决策不会仓促或单方面做出，从而增强客户安全。 法定人数的每个成员都使用他们的 Ledger Nano 设备（带有自己的 PIN）来批准发布，从而增加了另一层安全性，以防止可能的共谋或个人错误。

3. 签署 HSM 固件代码更新：在将新的固件更新部署到 HSM 之前，我们的产品安全团队 Ledger Donjon 会进行全面的审查过程。 作为固件仲裁的一部分，Ledger Donjon 可确保恶意内部人员不会通过供应链攻击引入后门或恶意代码，也不会破坏开发流程。 这样，他们就能保持固件更新的完整性和安全性。

4. 签名账本设备（Nano 和 Stax）固件代码更新： 与 HSM 的固件非常相似，我们的 Ledger 设备固件的更新要经过严格的审核流程，并需要法定人数批准才能通过 Ledger Live 向我们的用户提出建议。

总而言之，仲裁是 Ledger Recover 安全架构不可或缺的一部分。 它们在加强重要行动期间抵御内部流氓威胁和共谋的防御方面发挥着重要作用。 利用 Ledger 设备和服务的一流安全性，法定人数有助于确保信任并保护用户的数字资产免受恶意内部人员的侵害。

监控关键组件和操作

当我们深入研究本章时，需要注意的是，出于安全原因，我们仅公开了 Ledger Recover 服务的广泛监控活动的一个子集。 在我们恪守对透明度的承诺的同时，我们也认识到在内部控制和运营安全监控的细节方面保持自由裁量权的重要性。

在 Ledger，安全是我们的首要任务。 它是我们解决方案的核心，这些解决方案基于强大的加密协议，如我们的 账本恢复白皮书。 但我们的工作不仅仅局限于创建安全系统。 我们不断监控和评估我们的运营，寻找任何可疑活动。 这种持续的警惕加强了我们的安全立场，确保我们随时做好应对准备。 

让我们探讨一下多层方法的一些示例：

监控管理员活动： 我们对管理员实施严格的访问控制。 我们不仅要求对基础设施的所有管理连接进行 2FA（双因素身份验证），而且还要求对系统关键部分的管理员基础设施访问进行多人验证。 此外，我们的系统会仔细记录和跟踪每项管理活动。 这些日志会自动与我们的内部票务系统交叉引用，以检测任何计划外的操作。 这种谨慎的关联使我们能够及时向安全团队发出任何异常或可疑行为的警报，从而加强我们的运营安全。

备份提供商之间的交叉控制：透明度和问责制构成了备份提供商、Ledger、EscrowTech 和 Coincover 之间关系的基础。 我们建立了用于系统监控和安全的实时日志交换。 这可以实现活动的交叉验证。 如果发现任何不一致，服务将立即锁定，以保护用户的资产。

监督特殊的发布活动：正如我们在上一节中解释的那样，手动共享释放的罕见情况是通过多仲裁过程进行精心控制的。 异常发布活动执行后，Ledger Recover系统将进行全面监控，包括详细记录和分析涉及各方、操作时间以及其他相关细节。 这一过程涉及多法定人数执行和行动后监控，确保股票的异常释放在决策过程的各个阶段都受到严格控制。

利用安全信息和事件管理 (SIEM)：SIEM 解决方案构成了 Ledger Recover 监控策略的重要组成部分。 这个专用的 SIEM 增强了实时识别和响应潜在安全问题的能力。 得益于专门为 Ledger Recover 服务开发的特定检测规则，它经过微调，可以根据集群和 Ledger Recover 应用程序日志识别各种妥协指标 (IoC)。 如果检测到自定义 IoC，则会立即自动做出响应 - 整个集群将被锁定，直到进行彻底的分析。 在Ledger Recover服务中，保密性优先于服务的可用性，以确保最大限度地保护用户的资产。

在网络安全的动态格局中，我们为各种场景制定了策略并做好了准备。 我们的威胁模型考虑了来自不同备份提供商的多个基础设施管理员可能受到威胁的不太可能的情况。 凭借严格的保障措施和自动响应，Ledger Recover 服务旨在即使在这种特殊情况下也能确保用户资产的持续安全。 在下一节中，我们将概述为解决此类假设情况而制定的综合应对措施。

Ledger Recovery 特定事件响应

通过 Ledger Recover 服务，我们与三个备份提供商合作设计了一个事件响应策略。 该策略的核心部分是自动防护措施，一旦检测到基础设施任何部分的可疑活动，就会立即锁定整个系统。 

本质上，“永远安全，永不后悔”的协议已被设计到 Ledger Recover 服务中。 安全是第一要务，这是一个永远不会妥协的承诺。 

在我们不断努力为未来 100 亿人进入 Web3 提供无缝用户体验的同时，我们将毫不犹豫地激活这些保护措施， 如果出现潜在威胁，有效锁定整个 Ledger Recover 服务。 在我们的保护使命中，运行可能受到损害的服务和确保最终安全之间的选择是明确的——我们选择安全。

结论

本系列的操作安全部分到此结束。 在这一部分中，我们试图回答您对如何确保 Ledger Recover 系统安全措施的坚不可摧的任何担忧。 我们讨论了基础设施、职责分离、治理和监控，最后讨论了事件响应策略。 

再次感谢您阅读到目前为止！ 您现在应该对 Ledger Recover 的操作安全性有了全面的了解。 本博文系列的最后一部分将讨论我们最后的安全问题，更准确地说：我们如何管理内部和外部安全审核，以保证用户的最大安全级别？ 敬请关注！ 

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.ledger.com/blog/part-5-genesis-of-ledger-recover-operational-security