Beispiel-TMA: HTTP- und SOAP-Adapter
In diesem Thema wird die Analyse des Gefahrenmodells (Threat Model Analysis, TMA) für das HTTP- und SOAP-Adapterszenario (Webdienste) für die Beispielarchitektur vorgestellt. Die folgende Abbildung zeigt die Beispielarchitektur für das HTTP- und SOAP-Adapterszenario.
Abbildung 1: Beispielarchitektur mit HTTP-/SOAP-Adapterszenario
Schritt 1: Sammeln von Hintergrundinformationen (HTTP- und SOAP-Adapterszenario)
In diesem Abschnitt wird das Datenflussdiagramm (Data Flow Diagram , DFD) für das HTTP- und SOAP-Adapterszenario (Webdienste) für die Beispielarchitektur vorgestellt.
Alle anderen Hintergrundinformationen sind für alle unsere Verwendungsszenarien identisch und werden zuvor unter Hintergrundinformationen für Beispielszenarien beschrieben.
Datenflussdiagramm
Die folgende Abbildung zeigt das Datenflussdiagramm für die Beispielarchitektur, wenn HTTP- oder SOAP-Adapter (Webdienste) verwendet werden.
Abbildung 2: Datenflussdiagramm für die Beispielarchitektur mit dem HTTP-/SOAP-Adapterszenario
Der Datenfluss läuft wie folgt ab:
Ein Partner oder Kunde sendet eine Nachricht über HTTP, HTTPS oder einen Webdienst. Die Nachricht wird an die IP-Adresse von Firewall 1 weitergeleitet.
Firewall 1 leitet die Nachricht mittels Relay über Firewall 2 mithilfe von Reverseproxy weiter.
Firewall 2 leitet die Nachricht an den Computer mit BizTalk Server weiter, der eine Instanz eines isolierten Hosts für den HTTP- oder SOAP-Empfangsadapter ausführt. Der isolierte Host verarbeitet die Nachricht und speichert sie in der MessageBox-Datenbank.
Eine Instanz des verarbeitenden Hosts, der ein Abonnement der Nachricht besitzt, ruft die Nachricht aus der MessageBox-Datenbank ab, führt zusätzliche Verarbeitung aus, und speichert die Nachricht dann erneut in der MessageBox-Datenbank.
Eine Instanz des isolierten Hosts, der über einen HTTP- oder SOAP-Sendeadapter verfügt, ruft die Nachricht aus der MessageBox-Datenbank ab. Für die Nachricht wird ggf. in der Sendepipeline abschließend Verarbeitung ausgeführt, und dann wird sie an den Partner oder Kunden zurückgesandt.
Während des Sendevorgangs der Nachricht an den Partner oder Kunden wird sie über die Firewall 2 und über die Firewall 1 mithilfe von Reverseproxy weitergeleitet.
Schritt 2 Erstellen und Analysieren des Bedrohungsmodells (HTTP- und SOAP-Adapterszenario)
In diesem Abschnitt werden die Ergebnisse des Bedrohungsmodells vorgestellt, das für das HTTP- und SOAP-Adapterszenario (Webdienste) für die Beispielarchitektur verwendet wurde.
Identifizieren von Einstiegspunkten, Vertrauensgrenzen und Datenfluss : Weitere Informationen finden Sie unter Hintergrundinformationen, die weiter oben in Schritt 1 beschrieben wurden, und Hintergrundinformationen zu Beispielszenarien.
Erstellen einer Liste der identifizierten Bedrohungen : Wir haben die folgende Kategorisierung für alle Einträge im DFD verwendet, um potenzielle Bedrohungen für das Szenario zu identifizieren: Spoofing identify, Tampering with data, Repudiation, Information disclosure, Denial of service und Elevation of privileges. In der folgenden Tabelle werden die erkannten Gefahren aufgelistet, wenn Sie die HTTP- und SOAP-Adapter zum Senden und Empfangen von Nachrichten verwenden.
Tabelle 1: Liste der Gefahren
| Bedrohung | BESCHREIBUNG | Asset | Auswirkung |
|---|---|---|---|
| Senden einer Nachricht mit uneingeschränkter Größe | Ein böswilliger Benutzer kann Nachrichten mit uneingeschränkter Größe senden. | BizTalk Server-Umgebung | Denial of Service |
| Senden zahlreicher Nachrichten an den Empfangsspeicherort | Ein böswilliger Benutzer kan eine große Anzahl gültiger oder ungültiger Nachrichten senden und die Anwendung überfluten. | BizTalk Server-Umgebung | Denial of Service |
| Lesen der Nachrichtentexte über HTTP | Ein böswilliger Benutzer kann die Nachricht abfangen, wenn sie vom Absender an die Firewall 1 weitergeleitet wird, und die Nachricht lesen. | Nachrichtennutzlast | Veröffentlichung von Informationen |
| Lesen der Benutzeranmeldeinformationen aus der Nachricht | Wenn Standardauthentifizierung verwendet wird und die Nachricht Benutzeranmeldeinformationen enthält, kann ein böswilliger Benutzer Zugriff auf die Anmeldeinformationen erlangen und diese für den Zugriff auf die Anwendung verwenden. | Benutzeranmeldeinformationen | Veröffentlichung von Informationen Rechteerweiterungen |
Schritt 3 Überprüfen von Bedrohungen (HTTP- und SOAP-Adapterszenario)
In diesem Abschnitt werden die Ergebnisse der Risikoanalyse für die Gefahren vorgestellt, die für das HTTP- und SOAP-Adapterszenario (Webdienste) für die Beispielarchitektur ermittelt wurden. Nach der Besprechung des Standard Bedrohungsmodells haben wir die Bedrohungen überprüft und die folgenden Auswirkungskategorien verwendet, um das Risiko für jede Bedrohung zu identifizieren: DAmagepotenzial, R-Herstellbarkeit, E-Verwertbarkeit, Ainfizierte Benutzer und DIscoverability.
In der folgenden Tabelle werden die Risikobewertungen für die Gefahren aufgelistet, die erkannt wurden, wenn Sie die HTTP- und SOAP-Adapter zum Senden und Empfangen von Nachrichten verwenden.
Tabelle 2: Risikobewertungen der Gefahren
| Bedrohung | Auswirkung | Schadenspotenzial | Reproduzierbarkeit | Ausnutzbarkeit | Betroffene Benutzer | Erkennbarkeit | Gefahrenpotenzial durch Risiken |
|---|---|---|---|---|---|---|---|
| Senden einer Nachricht mit uneingeschränkter Größe | Denial of Service | 2 | 3 | 2 | 3 | 2 | 2.4 |
| Senden zahlreicher Nachrichten an den Empfangsspeicherort | Denial of Service | 3 | 3 | 1 | 3 | 3 | 2.6 |
| Lesen der Nachrichtentexte über HTTP | Veröffentlichung von Informationen | 3 | 3 | 2 | 3 | 3 | 2.8 |
| Lesen der Benutzeranmeldeinformationen aus der Nachricht | Veröffentlichung von Informationen Rechteerweiterungen |
3 | 3 | 2 | 3 | 2 | 2.6 |
Schritt 4. Identifizieren von Entschärfungstechniken (HTTP- und SOAP-Adapterszenario)
In diesem Abschnitt werden einige Vermeidungstechniken für die Gefahren vorgestellt, die für das HTTP- und SOAP-Adapterszenario (Webdienste) für die Beispielarchitektur erkannt wurden.
In der folgenden Tabelle werden die Vermeidungstechniken und -technologien für die Gefahren aufgelistet, die erkannt wurden, wenn Sie die HTTP- und SOAP-Adapter zum Senden und Empfangen von Nachrichten verwenden.
Tabelle 3: Vermeidungstechniken und -technologien
| Bedrohung | Auswirkung | Gefahrenpotenzial durch Risiken | Vermeidungstechniken und -technologien |
|---|---|---|---|
| Senden einer Nachricht mit uneingeschränkter Größe | Denial of Service | 2.4 | Einschränken der maximalen Größe einer eingehenden Nachricht pro URL und Zurückweisen von Nachrichten, die diesen Maximalwert überschreiten. Weitere Informationen finden Sie unter Minimieren von Denial-of-Service-Angriffen. |
| Senden zahlreicher Nachrichten an den Empfangsspeicherort | Denial of Service | 2.6 | Der SOAP-Adapter nutzt HTTP zum Senden und Empfangen von Nachrichten an und von BizTalk Server. Aus diesem Grund müssen Sie die Sicherheitsempfehlungen befolgen, um IIS (Internet Information Services, Internetinformationsdienste) zu sichern. Wenn Sie IIS verwenden, stellen Sie sicher, dass die IIS-Empfehlungen zum Konfigurieren von Anwendungsisolierung befolgt werden. Weitere Informationen finden Sie unter Einführung in IIS-Architekturen. Verwenden Sie Clientauthentifizierung und Parteiauflösung, um die Anzahl der verarbeiteten Nachrichten auf ausschließlich gültige und autorisierte Nachrichten einzuschränken. |
| Lesen der Nachrichtentexte über HTTP | Veröffentlichung von Informationen | 2.8 | Es wird empfohlen, S/MIME zum Sichern des Inhalts von Nachrichten zu verwenden, die an und von BizTalk Server gesendet werden. Außerdem wird empfohlen, SSL (Secure Sockets Layer) zum Sichern der Übertragung von Daten an und von BizTalk Server und zwischen in der Umgebung verteilten BizTalk Server-Komponenten zu verwenden. |
| Lesen der Benutzeranmeldeinformationen aus der Nachricht | Veröffentlichung von Informationen Rechteerweiterungen |
2.6 | Wenn Standardauthentifizierung oder keine Verschlüsselung auf Nachrichtenebene verwendet wird, wird empfohlen, SSL zum Empfangen und Senden von Nachrichten zu verwenden, damit sichergestellt ist, dass nicht autorisierte Personen die Benutzeranmeldeinformationen nicht lesen können. |
Weitere Informationen
Analyse des Gefahrenmodells (Threat Model Analysis, TMA)
Beispielszenarios für die Gefahrenanalyse
Beispielarchitekturen für kleine und mittelgroße Unternehmen