Beispiel-TMA: Dateiadapter
In diesem Thema wird die Gefahrenanalyse für das Dateiadapterszenario für die Beispielarchitektur vorgestellt. Die folgende Abbildung zeigt die Beispielarchitektur für das Dateiadapterszenario.
Abbildung 1: Beispielarchitektur für das Dateiadapterszenario
Schritt 1: Sammeln von Hintergrundinformationen (Dateiadapterszenario)
In diesem Abschnitt wird das Datenflussdiagramm für das Dateiadapterszenario für die Beispielarchitektur vorgestellt.
Alle anderen Hintergrundinformationen sind für alle unsere Nutzungsszenarien identisch und werden zuvor unter Hintergrundinformationen für Beispielszenarien beschrieben.
Datenflussdiagramm
Die folgende Abbildung zeigt das Datenflussdiagramm für die Beispielarchitektur bei Verwendung des Dateiadapters.
Abbildung 2: Datenflussdiagramm für die Beispielarchitektur des Dateiadapterszenarios
Der Datenfluss läuft wie folgt ab:
Ein Partner speichert eine Nachricht (über die Firewall 1) auf dem Dateiserver im Intranetumkreisnetzwerk.
Eine Instanz eines prozessinternen Hosts für den Dateiempfangsadapter fragt den FTP-Server (über die Firewall 2) regelmäßig auf neue Nachrichten ab. Bei Auffinden einer neuen Nachricht wird die Nachricht vom Adapter abgerufen, der die einleitende Verarbeitung übernimmt und die Nachricht in der MessageBox-Datenbank abgelegt.
Eine Instanz des verarbeitenden Hosts, der ein Abonnement der Nachricht besitzt, ruft die Nachricht aus der MessageBox-Datenbank ab, führt zusätzliche Verarbeitung aus, und speichert die Nachricht dann erneut in der MessageBox-Datenbank.
Eine Instanz des prozessinternen Hosts, der über einen Dateisendeadapter verfügt, ruft die Nachricht aus der MessageBox-Datenbank ab. Die Nachricht wird zur endgültigen Verarbeitung in die Sendepipeline übertragen und anschließend über die Firewall 2 an den Dateiserver gesendet.
Der Partner ruft die Nachricht vom Dateiserver ab.
Schritt 2 Erstellen und Analysieren des Bedrohungsmodells (Dateiadapterszenario)
In diesem Abschnitt wird das Ergebnis der Gefahrenanalyse für das Dateiadapterszenario für die Beispielarchitektur vorgestellt.
Identifizieren von Einstiegspunkten, Vertrauensgrenzen und Datenfluss : Weitere Informationen finden Sie unter "Sammeln von Hintergrundinformationen für das Dateiadapterszenario" und "Hintergrundinformationen für alle Szenarien".
Erstellen einer Liste der identifizierten Bedrohungen: Wir haben die folgende Kategorisierung für alle Einträge im DFD verwendet, um potenzielle Bedrohungen für das Szenario zu identifizieren: Spoofing identify, Tampering with data, Repudiation, Information disclosure, Denial of service und Elevation of privileges. In der folgenden Tabelle sind die Gefahren enthalten, die bei Verwenden des Dateiadapters zum Senden von Nachrichten an und Empfangen von Nachrichten von BizTalk Server ermittelt haben.
Tabelle 1: Liste der identifizierten Gefahren
| Bedrohung | BESCHREIBUNG | Asset | Auswirkung |
|---|---|---|---|
| Ein nicht autorisierter Benutzer kann Nachrichten aus dem Dateiablageordner abrufen. | Wenn Sie keine starken freigegebenen Zugriffssteuerungslisten (Discretionary Access Control Lists, DACLs) für vom Dateiadapter verwendete Ordner festgelegt haben, kann ein nicht autorisierter Benutzer Nachrichten am Dateiempfangsspeicherort ablegen oder Dateien aus dem Dateisendespeicherort abrufen. | Nachrichtentext | Manipulation von Daten Veröffentlichung von Informationen |
| Ein nicht autorisierter Benutzer kann Nachrichten an BizTalk Server übermitteln. | Wenn ein Benutzer über Schreibberechtigungen für den Dateiordner verfügt, aus dem BizTalk Server Nachrichten abruft, kann ein nicht autorisierter Benutzer Nachrichten an BizTalk Server übermitteln. | Nachrichtentext | Denial of Service Unbefugte Rechteerweiterung |
Schritt 3 Überprüfen von Bedrohungen (Dateiadapterszenario)
In diesem Abschnitt wird das Ergebnis der Risikoanalyse der Gefahren vorgestellt, die wir für das Dateiadapterszenario für die Beispielarchitektur durchgeführt haben. Nach der Besprechung des Standard Bedrohungsmodells haben wir die Bedrohungen überprüft und die folgenden Auswirkungskategorien verwendet, um das Risiko für jede Bedrohung zu identifizieren: DAmagepotenzial, R-E-Herstellbarkeit, E-Verwertbarkeit, Ainfizierte Benutzer und Discoverability.
In der folgenden Tabelle sind die Risikobewertungen der Gefahren enthalten, die beim Verwenden des Dateiadapters zum Senden von Nachrichten an und Empfangen von Nachrichten von BizTalk Server ermittelt wurden.
Tabelle 2: Risikoeinstufungen für identifizierte Gefahren
| Bedrohung | Auswirkung | Schadenspotenzial | Reproduzierbarkeit | Ausnutzbarkeit | Betroffene Benutzer | Erkennbarkeit | Gefahrenpotenzial durch Risiken |
|---|---|---|---|---|---|---|---|
| Ein nicht autorisierter Benutzer kann Nachrichten aus dem Dateiablageordner abrufen. | Manipulation von Daten Veröffentlichung von Informationen |
4 | 7 | 5 | 4 | 6 | 5,2 |
| Ein nicht autorisierter Benutzer kann Nachrichten an BizTalk Server übermitteln. | Denial of Service Unbefugte Rechteerweiterung |
4 | 7 | 5 | 4 | 5 | 5,2 |
Schritt 4. Identifizieren von Entschärfungstechniken (Dateiadapterszenario)
In diesem Abschnitt werden einige Vermeidungstechniken für die Gefahren vorgestellt, die für das Dateiadapterszenario für die Beispielarchitektur erkannt wurden.
In der folgenden Tabelle werden die Vermeidungstechniken und -technologien für die Gefahren aufgelistet, die erkannt wurden, wenn Sie den Dateiadapter zum Senden und Empfangen von Nachrichten an und von BizTalk Server verwenden.
Tabelle 3: Vermeidungstechniken und -technologien
| Bedrohung | Auswirkung | Gefahrenpotenzial durch Risiken | Vermeidungstechniken und -technologien |
|---|---|---|---|
| Ein nicht autorisierter Benutzer kann Nachrichten aus dem Dateiablageordner abrufen. | Manipulation von Daten Veröffentlichung von Informationen |
5,2 | Verwenden Sie für den Ordner, aus dem BizTalk Server Nachrichten abruft, eine starke DACL (Discretionary Access Control List) wie im folgenden Beispiel gezeigt: – Für das Dienstkonto für den Host instance für den Host, auf dem der Empfangsadapter ausgeführt wird, legen Sie Lese-, Schreib-, Lösch- und Löschberechtigungen für Unterordner und Dateien für das Verzeichnis fest, aus dem der Dateispeicherort Nachrichten empfängt. – Legen Sie für den externen Benutzer oder die externe Anwendung, die Dateien in diesen Ordner abgibt, Schreibberechtigungen fest. – Legen Sie für die Gruppe BizTalk-Administratoren die vollständige Kontrolle fest. Für den Ordner, in dem BizTalk Server Nachrichten ablegt, verwenden Sie eine starke DACL wie im folgenden Beispiel gezeigt: – Legen Sie für das Dienstkonto für den Host instance für den Host fest, auf dem der Sendeadapter ausgeführt wird, Schreibberechtigungen. – Legen Sie für den externen Benutzer oder die externe Anwendung, die Dateien in diesen Ordner abgibt, Leseberechtigungen fest. – Legen Sie für die Gruppe BizTalk-Administratoren die vollständige Kontrolle fest. |
| Ein nicht autorisierter Benutzer kann Nachrichten an BizTalk Server übermitteln. | Denial of Service Unbefugte Rechteerweiterung |
5,2 | Legen Sie starke DACLs für die Ablageverzeichnisse des Empfangsspeicherorts fest, wie bereits zuvor beschrieben. |
Weitere Informationen
Analyse des Gefahrenmodells (Threat Model Analysis, TMA)
Beispielszenarios für die Gefahrenanalyse
Beispielarchitekturen für kleine und mittelgroße Unternehmen