Attenuazione delle minacce in Transaction Integrator

La sicurezza del prodotto è una priorità principale in Microsoft. A partire dalla Sicurezza di Windows Push nel 2002, Microsoft ha investito tempo e risorse aggiuntive per sviluppare codice più sicuro e istruzioni dettagliate per la distribuzione e la protezione dell'ambiente di calcolo. Il team di prodotti Host Integration Server ha condotto un'analisi completa della modellazione delle minacce per identificare e attenuare le potenziali aree di preoccupazione. Un modello di minaccia è un'analisi basata sulla sicurezza che consente di determinare i rischi di sicurezza di livello più elevati rappresentati da un prodotto o da un'applicazione e il modo in cui gli attacchi possono manifestarsi.

Sebbene Microsoft abbia attenuato tutte le possibili minacce di sicurezza interne all'host di Integration Server, è necessario eseguire passaggi per attenuare le minacce da altre posizioni nell'ambiente di rete. La modellazione delle minacce consente di valutare le minacce alle applicazioni scritte o in esecuzione e quindi ridurre il rischio complessivo al sistema computer. Per altre informazioni sull'analisi del modello di minaccia, vedere Capitolo 4 Modellazione delle minacce in Michael Howard e David LeBlanc, Scrittura di codice sicuro 2nd Edition, Redmond, WA: Microsoft Press. 2003.

Howard e LeBlanc riepilogano sei categorie di possibili minacce alla sicurezza per l'ambiente di calcolo:

• Identità spoofing. Le minacce di spoofing consentono a un utente malintenzionato di rappresentare come un altro utente o consentire a un server non autorizzato di rappresentare come un server valido. Un esempio di spoofing dell'identità utente accede illegalmente e quindi usa altre informazioni di autenticazione degli utenti, ad esempio nome utente e password.

• Manomissione dei dati. La manomissione dei dati comporta la modifica dannosa dei dati. Alcuni esempi includono modifiche non autorizzate apportate ai dati persistenti, ad esempio quelle mantenute in un database e l'alterazione dei dati durante il flusso tra due computer su una rete aperta, ad esempio Internet.

• Ripudio. Le minacce di ripudio sono associate agli utenti che negano l'esecuzione di un'azione senza che altre parti abbiano alcun modo di dimostrare altrimenti, ad esempio un utente che esegue un'operazione illegale in un sistema che non ha la possibilità di tracciare le operazioni vietate.

• Divulgazione delle informazioni. Le minacce di divulgazione delle informazioni comportano l'esposizione di informazioni a persone che non dovrebbero avere accesso a esso, ad esempio un utente può leggere un file a cui non è stato concesso l'accesso e una capacità di lettura dei dati in transito tra due computer.

• Denial of Service. Attacchi Denial of Service (DoS) negano il servizio agli utenti validi, ad esempio rendendo un server Web temporaneamente non disponibile o non utilizzabile. È necessario proteggere da determinati tipi di minacce DoS semplicemente per migliorare la disponibilità e l'affidabilità del sistema.

• Elevazione dei privilegi. In questo tipo di minaccia, un utente non privato ottiene l'accesso con privilegi e ha quindi accesso sufficiente per compromettere o distruggere l'intero sistema. L'elevazione delle minacce ai privilegi includono quelle situazioni in cui un utente malintenzionato ha effettivamente penetrato tutte le difese di sistema e diventa parte del sistema attendibile stesso, una situazione pericolosa.

  Howard e LeBlanc indicano anche che alcuni tipi di minaccia possono interrelate. Ad esempio, è possibile che le minacce di divulgazione delle informazioni portino a minacce di spoofing se le credenziali degli utenti non sono protette. Analogamente, l'elevazione delle minacce ai privilegi è molto peggiore perché se qualcuno può diventare un amministratore o una radice nel computer di destinazione, ogni altra categoria di minacce diventa una realtà. Al contrario, le minacce di spoofing potrebbero causare una situazione in cui l'escalation non è più necessaria per un utente malintenzionato per raggiungere il suo obiettivo.

  Per attenuare le minacce che hanno origine all'esterno dell'integratore delle transazioni, ma che possono influire negativamente sui componenti TI e sull'applicazione, Microsoft consiglia di eseguire le operazioni seguenti:

• Proteggere il database MSHIS60_HIP e le Stored procedure di SQL Server

• Proteggere i server COM+ e .NET

• Proteggere i dati utente non elaborati

• Proteggere il listener HIP

• Proteggere file system locale, database e registro

• Proteggere il proxy client

• Proteggere la sessione di servizi remoti

• Proteggere TI da Mainframe non autorizzato o IBM i Access

• Proteggere l'ambiente di runtime di TI

• Proteggere le credenziali di sicurezza del mainframe dall'override

• Proteggere gli ambienti di host e runtime di TI dall'overflow dei dati

• Protezione dell'assembly .NET di TI dall'accesso non autorizzato

• Protezione dell'output da attività di traccia e monitoraggio della rete

• Protezione dei file di record o riproduzione di TI dall'accesso non autorizzato

Vedere anche

Integrazione dell'applicazione (sicurezza)