Analisi del modello di rischio di esempio: adapter SOAP e HTTP
In questo argomento viene presentata l'analisi del modello di minaccia (Threat Model Analysis, TMA) relativa allo scenario con adapter HTTP e SOAP (servizi Web) per l'architettura di esempio. Nella seguente figura è illustrata l'architettura di esempio per lo scenario di adapter HTTP e SOAP.
Figura 1 Architettura di esempio per lo scenario di adapter HTTP/SOAP
Passaggio 1. Raccogliere informazioni in background (scenario di schede HTTP e SOAP)
In questa sezione viene fornito il diagramma di flusso dei dati relativo allo scenario di adapter HTTP e SOAP (servizi Web) per l'architettura di esempio.
Tutte le altre informazioni in background sono uguali per tutti gli scenari di utilizzo e sono descritte in precedenza in Informazioni in background per scenari di esempio.
Diagramma di flusso dei dati
Nella seguente figura è illustrato il diagramma di flusso dei dati per l'architettura di esempio quando vengono utilizzati gli adapter HTTP e SOAP (servizi Web).
Figura 2 Diagramma di flusso dei dati per l'architettura di esempio dello scenario di adapter HTTP/SOAP
Il flusso di dati è il seguente:
Un partner o un cliente invia un messaggio tramite HTTP, HTTPS o un servizio Web. Il messaggio viene instradato all'indirizzo IP del Firewall 1.
Il Firewall 1 inoltra il messaggio attraverso il Firewall 2 con il proxy inverso.
Il Firewall 2 instrada il messaggio a BizTalk Server che esegue un'istanza di un host isolato per l'adapter di ricezione HTTP o SOAP. L'host isolato elabora il messaggio e lo inserisce nel database MessageBox.
Un'istanza dell'host di elaborazione con una sottoscrizione per il messaggio lo preleva dal database MessageBox, effettua elaborazioni aggiuntive e lo reinserisce nel database MessageBox.
Un'istanza dell'host isolato con un adapter di trasmissione HTTP o SOAP preleva il messaggio dal database MessageBox. Il messaggio viene sottoposto a un passaggio di elaborazione finale nella pipeline di trasmissione e viene inviato di nuovo al partner o al cliente.
Quando viene inviato al partner o al cliente, il messaggio viene instradato tramite il Firewall 2 e il Firewall 1 con il proxy inverso.
Passaggio 2. Creare e analizzare il modello di minaccia (scenario di adattatori HTTP e SOAP)
In questa sezione vengono forniti i risultati dell'analisi TMA eseguita per lo scenario di adapter HTTP e SOAP (servizi Web) per l'architettura di esempio.
Identificare punti di ingresso, limiti di attendibilità e flusso di dati - Vedere informazioni in background descritte in precedenza nel passaggio 1 e informazioni in background per scenari di esempio.
Creare un elenco delle minacce identificate - È stata usata la categorizzazione seguente per tutte le voci della DFD per identificare potenziali minacce allo scenario: Spoofingidentifica, Tampering con dati, R epudiation, Information disclosure, Denial of service e Elevation dei privilegi. Nella seguente tabella sono elencate le minacce identificate quando si utilizzano gli adapter HTTP e SOAP per l'invio di messaggi a BizTalk Server e per la ricezione di messaggi provenienti da quest'ultimo.
Tabella 1 Elenco delle minacce
| Minaccia | Descrizione | Asset | Impatto |
|---|---|---|---|
| Invio di messaggi di dimensioni illimitate | Un utente malintenzionato può inviare un messaggio di dimensioni illimitate. | Ambiente BizTalk Server | Denial of Service |
| Invio di un numero elevato di messaggi all'indirizzo di ricezione | Un utente malintenzionato può inviare un numero elevato di messaggi validi o non validi sottoponendo l'applicazione a un attacco flood. | Ambiente BizTalk Server | Denial of Service |
| Lettura dei corpi dei messaggi su HTTP | Un utente malintenzionato può intercettare il messaggio nel tragitto dal mittente al Firewall 1 e quindi leggere il messaggio. | Payload del messaggio | Diffusione di informazioni |
| Lettura delle credenziali dell'utente dal messaggio | Se si utilizza l'autenticazione di base e il messaggio include le credenziali dell'utente, esiste il rischio che un utente malintenzionato ottenga l'accesso a tali credenziali e le utilizzi per accedere all'applicazione. | Credenziali dell'utente | Diffusione di informazioni Elevazione dei privilegi |
Passaggio 3. Esaminare le minacce (scenario di adattatori HTTP e SOAP)
In questa sezione vengono forniti i risultati dell'analisi dei rischi eseguita per le minacce identificate per lo scenario di adapter HTTP e SOAP (servizi Web) per l'architettura di esempio. Dopo la riunione principale del modello di minaccia, abbiamo esaminato le minacce e usato le categorie di impatto seguenti per identificare il rischio per ogni minaccia: Damage potenziale, Reproducibilità, Exploitability, Utentiinfettati e Discoverability.
Nella seguente tabella sono elencate le classificazioni dei rischi delle minacce identificate quando si utilizzano gli adapter HTTP e SOAP per l'invio di messaggi a BizTalk Server e per la ricezione di messaggi provenienti da quest'ultimo.
Tabella 2 Classificazione dei rischi delle minacce
| Minaccia | Impatto | Damage potential | Reproducibility | Exploitability | Affected users | Individuabilità | Esposizione al rischio |
|---|---|---|---|---|---|---|---|
| Invio di messaggi di dimensioni illimitate | Denial of Service | 2 | 3 | 2 | 3 | 2 | 2,4 |
| Invio di un numero elevato di messaggi all'indirizzo di ricezione | Denial of Service | 3 | 3 | 1 | 3 | 3 | 2.6 |
| Lettura dei corpi dei messaggi su HTTP | Diffusione di informazioni | 3 | 3 | 2 | 3 | 3 | 2.8 |
| Lettura delle credenziali dell'utente dal messaggio | Diffusione di informazioni Elevazione dei privilegi |
3 | 3 | 2 | 3 | 2 | 2.6 |
Passaggio 4. Identificare le tecniche di mitigazione (scenario di adattatori HTTP e SOAP)
In questa sezione vengono presentate alcune strategie di attenuazione per le minacce identificate per lo scenario di adapter HTTP e SOAP (servizi Web) per l'architettura di esempio.
Nella seguente tabella sono elencate le strategie e le tecnologie di attenuazione delle minacce identificate quando si utilizzano gli adapter HTTP e SOAP per l'invio di messaggi a BizTalk Server e per la ricezione di messaggi provenienti da quest'ultimo.
Tabella 3 Strategie e tecnologie di attenuazione
| Minaccia | Impatto | Esposizione al rischio | Strategie e tecnologie di attenuazione |
|---|---|---|---|
| Invio di messaggi di dimensioni illimitate | Denial of Service | 2,4 | Limitare la dimensione massima di un messaggio in ingresso in base all'URL e rifiutare i messaggi la cui dimensione supera tale limite massimo. Per altre informazioni, vedere Mitigazione degli attacchi Denial of Service. |
| Invio di un numero elevato di messaggi all'indirizzo di ricezione | Denial of Service | 2.6 | Poiché l'adapter SOAP utilizza HTTP per l'invio di messaggi a BizTalk Server e per la ricezione di messaggi provenienti da quest'ultimo, è necessario applicare i requisiti di sicurezza di Internet Information Services (IIS). Se si utilizza IIS, applicare i requisiti IIS per la configurazione dell'isolamento delle applicazioni. Per altre informazioni, vedere Introduzione alle architetture IIS. Utilizzare l'autenticazione client e la risoluzione delle entità per limitare i messaggi elaborati esclusivamente a quelli validi e autorizzati. |
| Lettura dei corpi dei messaggi su HTTP | Diffusione di informazioni | 2.8 | Si consiglia di utilizzare S/MIME per proteggere il contenuto dei messaggi inviati a BizTalk Server e provenienti da quest'ultimo. Si consiglia di utilizzare Secure Sockets Layer (SSL) per proteggere la trasmissione di dati inviati a BizTalk Server e provenienti da quest'ultimo e dei dati scambiati tra componenti di BizTalk Server distribuiti nell'ambiente. |
| Lettura delle credenziali dell'utente dal messaggio | Diffusione di informazioni Elevazione dei privilegi |
2.6 | Se si utilizza l'autenticazione di base o non si applica la crittografia a livello dei messaggi, si consiglia di utilizzare SSL sia per la ricezione sia per l'invio di messaggi in modo da evitare il rischio che utenti non autorizzati possano leggere le credenziali dell'utente. |
Vedere anche
Analisi del modello di rischio
Scenari di esempio per l'analisi del modello di rischio
Architetture di esempio per piccole e medie imprese