Analisi del modello di rischio di esempio: Enterprise Single Sign-On
In questo argomento viene presentata l'analisi del modello di minaccia (Threat Model Analysis, TMA) relativa allo scenario Enterprise Single Sign-On per l'architettura di esempio.
Nella figura seguente viene illustrata l'architettura di esempio di base, che include lo scenario Enterprise Single Sign-On.
Figura 1 Architettura di esempio di base che include lo scenario Enterprise Single Sign-On
Passaggio 1. Raccogliere informazioni in background (scenario di Sign-On singola organizzazione)
In questa sezione è disponibile il diagramma di flusso dei dati per l'utilizzo dello scenario Enterprise Single Sign-On quando si esegue il mapping delle credenziali di Windows alle credenziali utilizzati per la connessione a una rete back-end.
Tutte le altre informazioni di base sono le stesse per tutti gli scenari di utilizzo e sono descritte in precedenza in Informazioni generali per gli scenari di esempio.
Diagramma di flusso dei dati
Nella figura seguente viene illustrato il diagramma di flusso dei dati per lo scenario Enterprise Single Sign-On.
Figura 2 Diagramma di flusso dei dati per lo scenario Enterprise Single Sign-On
Il flusso di dati è il seguente:
L'utente o l'applicazione accede con credenziali di Windows.
Enterprise Single Sign-On utilizza le credenziali di Windows per richiedere le credenziali per la rete back-end.
Enterprise Single Sign-On esegue il mapping delle credenziali di Windows alle credenziali back-end archiviate nel database SSO.
Enterprise Single Sign-On recupera le credenziali back-end e le utilizza per connettere l'utente o l'applicazione alla rete back-end.
Passaggio 2. Creare e analizzare il modello di minaccia (scenario di Sign-On singola organizzazione)
In questa sezione vengono illustrati i risultati dell'analisi del modello di minacce eseguita per lo scenario Enterprise Single Sign-On per l'architettura di esempio.
Identificare punti di ingresso, limiti di attendibilità e flusso di dati : vedere le informazioni generali descritte in precedenza nel passaggio 1 e in Informazioni generali per scenari di esempio.
Creare un elenco delle minacce identificate : è stata usata la categorizzazione seguente per tutte le voci del DFD per identificare le potenziali minacce allo scenario: identificazionedel poofing S, amperazione Tcon dati, epudiazione R, divulgazione di Nformation, Denial of service elevazione E dei privilegi. Nella tabella seguente sono elencate le minacce identificate in caso di utilizzo di Enterprise Single Sign-On (SSO) per la trasmissione e la ricezione di messaggi verso e da BizTalk Server.
Tabella 1 Elenco delle minacce identificate
| Minaccia | Descrizione | Asset | Impatto |
|---|---|---|---|
| Il server master secret costituisce un singolo punto di errore | Se un utente malintenzionato danneggia il server master secret, il computer SSO non sarà in grado di crittografare le credenziali, ma potrà continuare a decrittografarle. | Ambiente BizTalk Server e SSO | Denial of Service |
| Un utente malintenzionato può effettuare lo spoofing di un client o di un server | Se in un client o in un server viene eseguito Windows senza autenticazione NTLM, un utente malintenzionato potrà effettuare lo spoofing di un client o di un server. | Ambiente BizTalk Server e SSO | Spoofing di identità Manomissione dei dati Ripudio Divulgazione di informazioni Denial of Service Elevazione dei privilegi |
| Un utente malintenzionato può alterare i dati durante la trasmissione da un server a un altro | Per le comunicazioni tra i server viene utilizzato testo in formato non crittografato e un utente malintenzionato potrebbe leggere i dati durante la trasmissione. | Dati | Manomissione dei dati Diffusione di informazioni |
Passaggio 3. Esaminare le minacce (scenario di Sign-On singola organizzazione)
In questa sezione vengono illustrati i risultati dell'analisi dei rischi eseguita in relazione alle minacce identificate per lo scenario Enterprise Single Sign-On (SSO) per l'architettura di riferimento. Dopo la riunione del modello di minaccia principale, sono stati esaminati le minacce e sono stati usati le categorie di impatto seguenti per identificare il rischio per ogni minaccia: Potenziale diamage D, Eproducibilità R, Exploitability, Utenti infetti eDiscoverability.
Nella tabella seguente sono elencate le classificazioni di rischio per le minacce identificate durante l'utilizzo di Enterprise Single Sign-On la trasmissione e la ricezione di messaggi verso e da BizTalk Server.
Tabella 2 Classificazione di rischio per le minacce identificate
| Minaccia | Impatto | Damage potential | Reproducibility | Exploitability | Affected users | Individuabilità | Esposizione al rischio |
|---|---|---|---|---|---|---|---|
| Il server master secret costituisce un singolo punto di errore | Denial of Service | 2 | 3 | 2 | 1 | 2 | 2 |
| Un utente malintenzionato può effettuare lo spoofing di un client o di un server | Spoofing di identità Manomissione dei dati Ripudio Divulgazione di informazioni Denial of Service Elevazione dei privilegi |
3 | 2 | 2 | 2 | 1 | 2 |
| Un utente malintenzionato può alterare i dati durante la trasmissione da un server a un altro | Manomissione dei dati Diffusione di informazioni |
3 | 1 | 1 | 2 | 1 | 1.6 |
Passaggio 4. Identificare le tecniche di mitigazione (scenario di Sign-On singola organizzazione)
In questa sezione vengono presentate alcune strategie di prevenzione relative alle minacce identificate per lo scenario Enterprise Single Sign-On per l'architettura di esempio.
Nella tabella seguente sono elencate le strategie e le tecnologie di prevenzione per le minacce identificate durante l'utilizzo di Enterprise Single Sign-On.
Tabella 3 Strategie e tecnologie di attenuazione
| Minaccia | Impatto | Esposizione al rischio | Strategie e tecnologie di attenuazione |
|---|---|---|---|
| Il server master secret costituisce un singolo punto di errore | Denial of Service | 2 | Utilizzare una configurazione cluster attivo-passivo per il server master secret. Per altre informazioni sul clustering del server master secret, vedere Disponibilità elevata per l'accesso Single Sign-On aziendale. |
| Un utente malintenzionato può effettuare lo spoofing di un client o di un server | Spoofing di identità Manomissione dei dati Ripudio Divulgazione di informazioni Denial of Service Elevazione dei privilegi |
2 | Se la rete in uso supporta l'autenticazione Kerberos, è necessario registrare tutti i server SSO. Quando si utilizza l'autenticazione Kerberos tra il server master secret e il database SSO, è necessario configurare i nomi dell'entità servizio nel server SQL in cui si trova il database SSO. Per altre informazioni su come configurare i nomi delle entità servizio, vedere il sito Web Microsoft TechNet all'indirizzo https://go.microsoft.com/fwlink/?LinkId=61374. |
| Un utente malintenzionato può alterare i dati durante la trasmissione da un server a un altro | Manomissione dei dati Diffusione di informazioni |
1.6 | Utilizzare il protocollo IPsec (Internet Protocol security) o SSL (Secure Sockets Layer) tra tutti i server SSO e il database SSO. Per altre informazioni su SSL, vedere il sito Web della Guida e del supporto tecnico Microsoft all'indirizzo https://go.microsoft.com/fwlink/?LinkID=189708. Per altre informazioni su come usare SSL tra tutti i server SSO e il database SSO, vedere How to Enable SSL for SSO (Come abilitare SSL per SSO). |
Vedere anche
Scenari di esempio di analisi del modello di minaccia per architetture di esempio di analisi del modello di minacciaper piccole & Medium-Sized aziende