Doporučení pro analýzu hrozeb
Platí pro toto doporučení kontrolního seznamu zabezpečení pro Power Platform Well-Architected:
| SE:02 | Zahrňte bezpečný návrh pomocí modelování hrozeb k ochraně před implementacemi, které porušují zabezpečení. |
|---|
Komplexní analýza k identifikaci hrozeb, útoků, chyb zabezpečení a protiopatření je klíčová ve fázi návrhu úlohy. Modelování hrozeb je technické cvičení, které zahrnuje definování bezpečnostních požadavků, identifikaci a zmírnění hrozeb a ověření těchto zmírnění. Tuto techniku můžete použít v jakékoli fázi vývoje aplikace nebo provozu, ale nejúčinnější je ve fázích návrhu nové funkce.
Tato příručka popisuje doporučení pro modelování hrozeb, abyste mohli rychle identifikovat nedostatky v zabezpečení a navrhnout bezpečnostní ochranu.
Definice
| Pojem | definice |
|---|---|
| Životní cyklus vývoje softwaru (SDLC) | Vícestupňový systematický proces vývoje softwarových systémů. |
| STRIDE | Microsoftem definovaná taxonomie pro kategorizaci typů hrozeb. |
| Modelování hrozeb | Proces identifikace potenciálních bezpečnostních slabin v aplikaci a systému, zmírňování rizik a ověřování bezpečnostních opatření. |
Klíčové strategie návrhu
Modelování hrozeb je zásadní proces, který by organizace měla integrovat do svého SDLC. Modelování hrozeb není pouze úkolem pro vývojáře. Je to sdílená odpovědnost mezi:
- Týmem úlohy, který je zodpovědný za technické aspekty systému.
- Obchodními účastníky, kteří chápou obchodní výsledky a mají vlastní zájem na bezpečnosti.
Často dochází k nesouladu mezi vedením organizace a technickými týmy, pokud jde o obchodní požadavky na kritické úlohy. Tento rozpor může vést k nechtěným výsledkům, zejména u investic do bezpečnosti.
Při modelování hrozeb zvažte obchodní i technické požadavky. Tým pro pracovní zátěž a obchodní partneři se musí dohodnout na bezpečnostních specifických potřebách úlohy, aby mohli adekvátně investovat do protiopatření.
Bezpečnostní požadavky slouží jako vodítko pro celý proces modelování hrozeb. Aby bylo cvičení efektivní, tým úlohy by měl mít bezpečnostní přístup a být vyškolen v nástrojích pro modelování hrozeb.
Seznamte se s rozsahem cvičení
Jasné pochopení rozsahu je zásadní pro efektivní modelování hrozeb. Pomáhá zaměřit úsilí a zdroje na nejkritičtější oblasti. Tato strategie zahrnuje definování hranic systému, inventarizaci majetku, který je třeba chránit, a pochopení úrovně investic, které je třeba vložit do bezpečnostních opatření.
Shromážděte informace o každé komponentě
Schéma architektury úlohy je výchozím bodem pro shromažďování informací, protože poskytuje vizuální reprezentaci systému. Schéma ukazuje technické dimenze systému. Znázorňuje například toky uživatelů, jak jsou data přesouvána mezi různými částmi úlohy, úrovně citlivosti dat a typy informací nebo cesty přístupu k identitě.
Tato podrobná analýza může často poskytnout přehled o potenciálních chybách zabezpečení v návrhu. Je důležité porozumět funkčnosti každé komponenty a jejím závislostem.
Vyhodnoťte potenciální hrozby
Analyzujte každou komponentu z perspektivy „zvenčí dovnitř“. Ptejte se například, jak snadno může útočník získat přístup k citlivým datům? Pokud útočníci získají přístup k prostředí, mohou se rozšiřovat a potenciálně získat přístup k jiným prostředkům nebo s nimi dokonce manipulovat? Tyto otázky vám pomohou pochopit, jak by útočník mohl zneužít prostředky úlohy.
Klasifikujte hrozby podle oborové metodologie
Jednou z metodologií pro klasifikaci hrozeb je STRIDE, kterou používá Microsoft Security Development Lifecycle. Klasifikace hrozeb vám pomůže porozumět povaze každé hrozby a používat vhodná bezpečnostní opatření.
Zmírněte hrozby
Zdokumentujte všechny identifikované hrozby. Pro každou hrozbu definujte bezpečnostní opatření a reakci na útok, pokud tato opatření selžou. Definujte proces a časovou osu, které minimalizují vystavení všech zjištěných chyb zabezpečení v úloze, aby nemohly zůstat bez řešení.
Použijte přístup předpokládající útok. Ten může pomoci identifikovat kontroly potřebné v návrhu ke zmírnění rizik, pokud selže primární bezpečnostní opatření. Vyhodnoťte pravděpodobnost, že selže primární ovládací opatření. Pokud selže, jaký je rozsah potenciálního rizika pro organizaci? Rovněž jaká je účinnost kompenzačních opatření? Na základě vyhodnocení zaveďte hloubková opatření k řešení případných selhání bezpečnostních opatření.
Tady je příklad:
| Položte si tuto otázku | Abyste určili opatření, která... |
|---|---|
| Jsou připojení ověřována prostřednictvím Microsoft Entra ID a používají moderní bezpečnostní protokoly, které schválil bezpečnostní tým: - Mezi uživateli a aplikací? - Mezi komponentami aplikací a službami? - Mezi uživateli a asistentem AI (agent)? |
Brání neoprávněnému přístupu ke komponentám aplikace a datům. |
| Omezujete přístup pouze na účty, které potřebují zapisovat nebo upravovat data v aplikaci? | Brání neoprávněné manipulaci nebo pozměňování dat. |
| Je aktivita aplikace protokolována a zaznamenávána do systému pro správu akcí a informací o zabezpečení (SIEM) prostřednictvím Azure Monitor nebo podobného řešení? | Rychle odhalují a vyšetřují útoky. |
| Jsou důležitá data chráněna šifrováním, které schválil bezpečnostní tým? | Brání neoprávněnému kopírování uložených dat. |
| Je příchozí a odchozí síťový provoz izolovaný v doménách schválených bezpečnostními týmy? | Brání neoprávněnému kopírování dat. |
| Je aplikace chráněna proti přístupu z externích/veřejných míst, jako jsou kavárny, pomocí bran firewall IP adres v prostředí? | Brání přístupu z neoprávněných veřejných míst. |
| Uchovává aplikace přihlašovací údaje nebo klíče pro přístup k jiným aplikacím, databázím nebo službám? | Identifikuje, zda může útok použít vaši aplikaci k útoku na jiné systémy. |
| Umožňují ovládací prvky aplikace plnit regulační požadavky? | Chrání soukromá data uživatelů a brání pokutám za nedodržování předpisů. |
Sledujte výsledky modelování hrozeb
Důrazně doporučujeme použít nástroj pro modelování hrozeb. Tento nástroj může automatizovat proces identifikace hrozeb a vytvořit komplexní sestavu všech identifikovaných hrozeb. Nezapomeňte informovat o výsledcích všechny účastníky.
Sledujte výsledky jako součást nevyřízených položek úlohy, abyste mohli včas převzít odpovědnost. Přidělte úkoly osobám odpovědným za zmírnění konkrétního rizika, které modelování hrozeb identifikovalo.
Při přidávání nových funkcí do řešení aktualizujte model hrozeb a integrujte jej do procesu pro správu kódu. Pokud narazíte problém se zabezpečením, ujistěte se, že existuje proces pro třídění problémů na základě závažnosti. Tento proces by vám měl pomoci určit, kdy a jak problém napravit (například v příštím cyklu vydání nebo rychlejším vydáním).
Pravidelně kontrolujte požadavky na úlohy, kterou jsou zásadní pro podnikání
Pravidelně se setkávejte s výkonnými sponzory k definování požadavků. Tyto kontroly poskytují příležitost sladit očekávání a zajistit přidělení provozních prostředků úloze.
Usnadnění díky Power Platform
Power Platform je postaven na kultuře a metodologii bezpečného designu. Kultura i metodologie jsou konstantně posilovány prostřednictvím předního vývojového cyklu zabezpečení (SDL) společnosti Microsoft Modelování hrozeb practices.
Robustní proces kontroly modelování hrozeb zajišťuje, že hrozby jsou identifikovány během fáze návrhu, zmírňovány a ověřovány pro zajištění, že byly zmírněny.
Modelování hrozeb také zohledňuje všechny změny služeb, které jsou již aktivní prostřednictvím průběžných pravidelných kontrol. Spoléhání se na model STRIDE pomáhá řešit nejčastější problémy s nezabezpečeným designem.
SDL společnosti je ekvivalentní Model zralosti OWASP Software Assurance (SAMM). Oba jsou postaveny na předpokladu, že bezpečný design je nedílnou součástí zabezpečení webových aplikací.
Více informací viz 10 hlavních rizik OWASP a jejich zmírnění v Power Platform.
Příklad
Tento příklad staví na prostředí informačních technologií (IT) ustanoveném v části Doporučení pro vytvoření základní úrovně zabezpečení. Tento přístup poskytuje široké pochopení prostředí hrozeb v různých IT scénářích.
Persony životního cyklu vývoje. Na životním cyklu vývoje se podílí mnoho person, včetně vývojářů, testerů, konečných uživatelů a správců. Všechny mohou být napadeny a mohou ohrozit prostředí přes chyby zabezpečení nebo záměrně vytvořené hrozby.
Potenciální útočníci. Útočníci zvažují širokou škálu dostupných nástrojů, které mohu kdykoli snadno použít k prozkoumání chyb zabezpečení a zahájení útoku.
Bezpečnostní opatření. Do analýzy hrozeb zahrňte služby zabezpečení Microsoft, Azure a Power Platform, které mají být použity k ochraně řešení, a vyhodnoťte, jak účinná jsou tato řešení.
Kolekce protokolů. Protokoly z prostředků Power Platform a dalších komponent, které jsou součástí vaší úlohy, jako jsou prostředky Azure nebo místní komponenty, mohou být odeslány do Application Insights nebo Microsoft Purview, abyste porozuměli chování vašeho vyvinutého řešení a pokusili se zachytit počáteční chyby zabezpečení.
Řešení SIEM (správa událostí informací o zabezpečení). Microsoft Sentinel lze přidat i v rané fázi řešení, abyste mohli sestavit nějaké analytické dotazy ke zmírnění hrozeb a chyb zabezpečení a předvídat vaše bezpečnostní prostředí, když jste v provozu.
Související informace
- Model STRIDE
- Modelování hrozeb
- Nejčastější dotazy k zabezpečení Power Platform
- Kontroly platformy Microsoft Identity
- Životní cyklus zabezpečení
- Průběžné hodnocení přístupu Azure AD
- Zásady zabezpečení obsahu
- Ochrana Azure DDoS
- Nastavení zásad dodržování předpisů Microsoft Intune
Kontrolní seznam zabezpečení
Podívejte se na úplný soubor doporučení.