TMA de ejemplo: Enterprise Single Sign-On
En este tema se presenta el análisis de modelo de amenazas (TMA) del escenario del servicio de inicio de sesión único empresarial de la arquitectura de ejemplo.
La ilustración siguiente muestra la arquitectura de ejemplo básica, que incluye el escenario del servicio de inicio de sesión único empresarial.
Ilustración 1: arquitectura de ejemplo básica que incluye el escenario del servicio de inicio de sesión único empresarial
Paso 1. Recopilar información en segundo plano (escenario de Sign-On único de empresa)
En esta sección se proporciona el diagrama de flujo de datos (DFD) para utilizar el escenario de inicio de sesión único empresarial al asignar credenciales de Windows a las credenciales que se emplean para conectarse a una red de servidor.
Toda la otra información en segundo plano es la misma para todos nuestros escenarios de uso y se describe anteriormente en Información en segundo plano para escenarios de ejemplo.
Diagrama de flujo de datos
La ilustración siguiente muestra el DFD del escenario del servicio de inicio de sesión único empresarial.
Ilustración 2: DFD del escenario del servicio de inicio de sesión único empresarial
El flujo de datos es el siguiente:
El usuario, o la aplicación, inicia sesión con credenciales de Windows.
El servicio de inicio de sesión único (SSO) empresarial utiliza las credenciales de Windows para solicitar las credenciales de la red de servidor.
El servicio de inicio de sesión único (SSO) empresarial asigna las credenciales de Windows a las credenciales de servidor almacenadas en la base de datos de SSO.
El servicio de inicio de sesión único empresarial recupera las credenciales de servidor y las utiliza para conectar el usuario o la aplicación a la red de servidor.
Paso 2. Creación y análisis del modelo de amenazas (escenario de Sign-On único empresarial)
Esta sección contiene el resultado del TMA del escenario del servicio de inicio de sesión único empresarial de la arquitectura de ejemplo.
Identificar puntos de entrada, límites de confianza y flujo de datos : vea la información en segundo plano descrita anteriormente en el paso 1 y en Información en segundo plano para escenarios de ejemplo.
Crear una lista de las amenazas identificadas : hemos usado la siguiente categorización para todas las entradas del DFD para identificar posibles amenazas en el escenario: Spoofing identify, Tampering with data, Repudiation, Information disclosure, Denial of service y Elevationof privileges. La siguiente tabla contiene la lista de amenazas que identificamos al usar el servicio de inicio de sesión único empresarial (SSO) para enviar y recibir mensajes del servidor BizTalk Server.
Tabla 1 Lista de amenazas identificadas
Threat | Descripción | Recurso | Impacto |
---|---|---|---|
El servidor secreto principal es un punto de error único | Si un usuario malintencionado pone en peligro el servidor secreto principal, el equipo SSO no puede cifrar las credenciales (pero puede seguir descifrándolas). | Entorno de BizTalk Server y SSO | Denegación de servicio |
Un usuario malintencionado pude suplantar a un cliente o a un servidor | Si el cliente o el servidor ejecuta Windows sin la autenticación NTML, un usuario malintencionado podría suplantarlo. | Entorno de BizTalk Server y SSO | Suplantación de identidad Manipulación de datos Rechazo Divulgación de información Denegación de servicio Elevación de privilegios |
Un usuario malintencionado podría pueden manipular los datos durante su tránsito de un servidor a otro. | La comunicación entre servidores se realiza en texto sin cifrar, por lo que los usuarios malintencionados podrían leer la información mientras está en tránsito. | data | Manipulación de datos Divulgación de información |
Paso 3. Revisión de amenazas (escenario de Sign-On único empresarial)
Esta sección contiene los resultados del análisis de riesgos que se realizó para las amenazas identificadas en el escenario del servicio de inicio de sesión único empresarial (SSO) de la arquitectura de referencia. Después de la reunión principal del modelo de amenazas, revisamos las amenazas y usamos las siguientes categorías de impacto para identificar el riesgo de cada amenaza: Damage potential, Reproducibility, Exploability, Affected users y Discoverability.
La siguiente tabla contiene la evaluación del riesgo de las amenazas que identificamos al usar el servicio de inicio de sesión único empresarial para enviar y recibir mensajes del servidor de BizTalk Server.
Tabla 2 Clasificación de riesgos de amenazas identificadas
Amenaza | Impacto | Posibilidad del daño | Posibilidad de reproducir la amenaza | Posibilidad de que se aproveche | Usuarios afectados | Detectabilidad | Exposición al riesgo |
---|---|---|---|---|---|---|---|
El servidor secreto principal es un punto de error único | Denegación de servicio | 2 | 3 | 2 | 1 | 2 | 2 |
Un usuario malintencionado pude suplantar a un cliente o a un servidor | Suplantación de identidad Manipulación de datos Rechazo Divulgación de información Denegación de servicio Elevación de privilegios |
3 | 2 | 2 | 2 | 1 | 2 |
Un usuario malintencionado podría pueden manipular los datos durante su tránsito de un servidor a otro. | Manipulación de datos Divulgación de información |
3 | 1 | 1 | 2 | 1 | 1.6 |
Paso 4. Identificar técnicas de mitigación (escenario de Sign-On único empresarial)
Esta sección contiene algunas técnicas de mitigación para las amenazas identificadas en el escenario del servicio de inicio de sesión único empresarial de la arquitectura de ejemplo.
La siguiente tabla enumera las tecnologías y técnicas de mitigación para las amenazas identificadas al usar el servicio de inicio de sesión único empresarial para enviar y recibir mensajes del servidor BizTalk Server.
Tabla 3: Tecnologías y técnicas de mitigación
Amenaza | Impacto | Exposición al riesgo | Tecnologías y técnicas de mitigación |
---|---|---|---|
El servidor secreto principal es un punto de error único | Denegación de servicio | 2 | Use una configuración de clústeres activo/pasivo para el servidor secreto principal. Para obtener más información sobre la agrupación en clústeres del servidor secreto maestro, consulte Alta disponibilidad para el inicio de sesión único empresarial. |
Un usuario malintencionado pude suplantar a un cliente o a un servidor | Suplantación de identidad Manipulación de datos Rechazo Divulgación de información Denegación de servicio Elevación de privilegios |
2 | Si la red admite la autenticación de Kerberos, debería registrar todos los servidores SSO. Si usa la autenticación de Kerberos entre el servidor secreto principal y la base de datos de SSO, debe configurar nombres principales de servicio (SPN) en el servidor SQL Server donde se encuentra la base de datos de SSO. Para obtener más información sobre cómo configurar nombres de entidad de seguridad de servicio, consulte el sitio web de Microsoft TechNet en https://go.microsoft.com/fwlink/?LinkId=61374. |
Un usuario malintencionado podría pueden manipular los datos durante su tránsito de un servidor a otro. | Manipulación de datos Divulgación de información |
1.6 | Utilice el protocolo de seguridad de Internet (IPSec) o la Capa de sockets seguros (SSL) entre los servidores de SSO y la base de datos de SSO. Para obtener más información sobre SSL, vea el sitio web ayuda y soporte técnico de Microsoft en https://go.microsoft.com/fwlink/?LinkID=189708. Para obtener más información sobre cómo usar SSL entre todos los servidores SSO y la base de datos de SSO, consulte Habilitación de SSL para SSO. |
Consulte también
Escenarios de ejemplo de análisis de modelos de amenazas para arquitecturas de ejemplo de análisis de modelos de amenazaspara pequeñas empresas de & Medium-Sized