Condividi tramite

Case study sulla sicurezza: Società A

  • Articolo

La Società A è un importante fornitore di materiali e servizi per il settore. Il suo modello di business si basa su transazioni elettroniche con clienti e fornitori chiave. La Società A utilizza l'applicazione Microsoft BizTalk per gestire le transazioni e le comunicazioni tra ambienti interni ed esterni.

Potenziali rischi e problemi di sicurezza

La Società A desidera fare in modo che vengano elaborati solo i messaggi provenienti da origini autenticate. Alcuni dei documenti elaborati da BizTalk Server possono contenere informazioni riservate, ad esempio dati finanziari o personali. La Società A verifica ogni messaggio in arrivo mediante API di crittografia personalizzate. Ha inoltre creato un'architettura fisica per gestire le proprie esigenze di sicurezza.

La Società A utilizza il protocollo FTP (File Transfer Protocol) per una parte del traffico di messaggi. Sebbene il protocollo FTP sia intrinsecamente non sicuro, la Società A accetta i rischi connessi poiché dispone di molti firewall per la protezione di altre applicazioni rivolte verso l'esterno. La Società A riceve alcuni dati in ingresso tramite HTTPS, pertanto è preoccupata di possibili attacchi Denial of Service (DoS) da origini esterne. In caso di un attacco di questo tipo, la società ha implementato appositi meccanismi per fare in modo che il personale appropriato viene avvisato immediatamente.

Architettura di sicurezza

Nella figura seguente è illustrata l'architettura di sicurezza utilizzata dalla Società A. Si noti che l'ambiente è segmentato con firewall per proteggere l'applicazione front-end e i server di contenuti, il database back-end e i server di logica di business, nonché l'infrastruttura dei messaggi in uscita.

Figura 1 Architettura di sicurezza della Società A

Architettura di sicurezza aziendale

La Società A utilizza due metodi per inviare e ricevere informazioni da e verso BizTalk Server. Il primo metodo utilizza il protocollo FTP. La Società A supporta le transazioni EDI (Electronic Data Interchange) utilizzando un provider di servizi di conversione di terze parti per comunicare con i propri fornitori e partner. Questo provider di servizi di conversione di terze parti gestisce gli ordini in ingresso e in uscita che BizTalk Server deve elaborare in un formato EDI.

Il secondo metodo utilizzato dalla Società A è HTTPS. La Società A collabora anche con un provider di servizi di terze parti che agisce da hub per il settore e semplifica l'acquisto e la vendita dei prodotti che la Società A vende e utilizza.

Certificati digitali sicuri

La Società A implementa propri certificati digitali sicuri, gestendone solo alcuni. Poiché si affida a un provider di servizi di terze parti, i certificati digitali rappresentano una preoccupazione minore. La Società A è consapevole del fatto che i certificati rappresentano un problema più rilevante per il provider di servizi, poiché quest'ultimo interagisce con molte istituzioni diverse.

Vedere anche

Case study sulla sicurezza per piccole aziende di & Medium-Sized
Scenari di esempio per l'analisi del modello di rischio