샘플 TMA: BizTalk 메시지 큐 어댑터
이 항목에서는 BizTalk 메시지 큐 어댑터 시나리오의 샘플 아키텍처에 대한 TMA(위협 모델 분석)를 제공합니다.
1단계: 배경 정보 수집(BizTalk 메시지 큐 어댑터 시나리오)
이 섹션에서는 BizTalk 메시지 큐 어댑터 시나리오의 샘플 아키텍처에 대한 DFD(데이터 흐름 다이어그램)를 제공합니다. 다음 그림은 HTTP 및 SOAP 어댑터 시나리오의 샘플 아키텍처를 보여 줍니다.
그림 1 BizTalk 메시지 큐 어댑터 시나리오의 샘플 아키텍처
다른 모든 배경 정보는 모든 사용 시나리오에 대해 동일하며 이전에 샘플 시나리오에 대한 배경 정보에 설명되어 있습니다.
데이터 흐름 다이어그램
다음 그림은 BizTalk 메시지 큐 어댑터 사용 시 샘플 아키텍처의 DFD를 보여 줍니다.
그림 2 BizTalk 메시지 큐 어댑터 시나리오의 샘플 아키텍처에 대한 DFD
데이터 흐름은 다음과 같습니다.
파트너가 메시지 큐 또는 BizTalk 메시지 큐를 사용하여 메시지를 보냅니다. 메시지는 적절한 형식으로 압축되어 네트워크를 통해 전송됩니다. Active Directory를 사용하는 경우 메시지는 올바른 대상(BizTalk 메시지 큐 수신 어댑터의 호스트 인스턴스를 실행하는 BizTalk Server)에 도달할 때까지 일련의 메시지 큐 라우터를 경유합니다.
BizTalk 메시지 큐 수신 어댑터의 In-process 호스트 인스턴스가 방화벽 2를 통해 메시지 큐 라우터에서 주기적으로 메시지를 받아 초기 처리를 수행한 후 네트워크 프로토콜에 정의된 대로 올바른 네트워크 응답을 보내고 메시지를 MessageBox 데이터베이스에 넣습니다.
메시지가 등록되어 있는 처리 호스트 인스턴스가 MessageBox 데이터베이스에서 해당 메시지를 선택하고 추가 처리를 수행한 후 MessageBox 데이터베이스에 다시 넣습니다.
BizTalk 메시지 큐 송신 어댑터가 있는 In-process 호스트 인스턴스가 MessageBox 데이터베이스에서 메시지를 선택합니다. 이 메시지는 송신 파이프라인에서 최종 처리를 거친 다음 방화벽 2를 통해 네트워크에서 파트너 또는 응용 프로그램으로 전송됩니다.
2단계. 위협 모델 만들기 및 분석(BizTalk 메시지 큐 어댑터 시나리오)
이 섹션에서는 BizTalk 메시지 큐 어댑터 시나리오의 샘플 아키텍처에 대해 수행한 TMA(위협 모델 분석) 결과를 제공합니다.
진입점, 신뢰 경계 및 데이터 흐름 식별 - 샘플 시나리오의 경우 1단계 및 백그라운드 정보에서 앞에서 설명한 배경 정보를 참조하세요.
식별된 위협 목록 만들기 - 시나리오에 대한 잠재적 위협을 식별하기 위해 DFD의 모든 항목에 대해 다음 분류를 사용했습니다. Spoofing identify, 데이터로 앰퍼링, R삭제, Information 공개, 서비스 Denial 및 E권한 부여. 다음 표는 BizTalk 메시지 큐 어댑터를 사용하여 BizTalk Server와 메시지를 보내고 받을 때 식별한 위협을 보여 줍니다.
표 1 식별된 위협 목록
| 위협 | 설명 | 자산 | 영향 |
|---|---|---|---|
| 수신 위치로 많은 메시지 전송 | 악의적인 사용자가 유효하거나 유효하지 않은 많은 메시지를 보내 응용 프로그램 장애를 일으킬 수 있습니다. | BizTalk Server 환경 | 서비스 거부 |
| 메시지 헤더가 암호화되지 않은 상태로 이동 | 큐에서 BizTalk 메시지 큐 수신 어댑터로 메시지가 이동할 때 메시지 헤더가 암호화되지 않아 악의적인 사용자가 잠재적으로 헤더를 읽고 손상시킬 수 있습니다. | 메시지 헤더 | 데이터 손상 정보 공개 |
| 권한 없는 사용자가 BizTalk 메시지 큐 호스트를 실행하는 BizTalk Server에 대한 네트워크 연결을 설정할 수 있음 | DACL(임의 액세스 제어 목록)을 사용하여 BizTalk 메시지 큐 수신 위치에 대한 액세스를 제한할 수 없습니다. 따라서 BizTalk 메시지 큐 수신 어댑터의 호스트 인스턴스를 실행하는 BizTalk Server 및 포트 1801에 대한 네트워크 연결을 설정할 수 있으면 누구나 BizTalk 메시지 큐 수신 위치로 메시지를 보낼 수 있습니다. | BizTalk Server 환경 | 부인 데이터 손상 정보 공개 서비스 거부 권한 상승 |
| 악의적인 사용자가 BizTalk Server에서 메시지를 받기 전에 해당 메시지를 손상시킬 수 있음 | 악의적인 사용자가 전송 중인 메시지를 가로채 수정할 수 있습니다. | 메시지 본문 | 데이터 손상 정보 공개 |
3단계. 위협 검토(BizTalk 메시지 큐 어댑터 시나리오)
이 섹션에서는 BizTalk 메시지 큐 어댑터 시나리오의 샘플 아키텍처에서 식별한 위협에 대한 위험 분석 결과를 제공합니다. 기본 위협 모델 모임이 끝난 후 위협을 검토하고 다음 영향 범주를 사용하여 각 위협에 대한 위험을 식별했습니다. Damage potential, Reproducibility, Exploitability, Affectedusers 및 Discoverability.
다음 표는 BizTalk 메시지 큐 어댑터를 사용하여 BizTalk Server와 메시지를 보내고 받을 때 식별한 위협의 위험 등급을 보여 줍니다.
표 2 식별된 위협의 위험 등급
| 위협 | 영향 | 잠재적 손상 | 재현 가능성 | 악용 가능성 | 영향을 받는 사용자 | 검색 기능 | 위험 노출 |
|---|---|---|---|---|---|---|---|
| 수신 위치로 많은 메시지 전송 | 서비스 거부 | 8 | 7 | 7 | 7 | 5 | 6.8 |
| 메시지 헤더가 암호화되지 않은 상태로 이동 | 데이터 손상 정보 공개 |
8 | 10 | 8 | 3 | 5 | 6.8 |
| 권한 없는 사용자가 BizTalk 메시지 큐 호스트를 실행하는 BizTalk Server에 대한 네트워크 연결을 설정할 수 있음 | 부인 데이터 손상 정보 공개 서비스 거부 권한 상승 |
8 | 10 | 9 | 9 | 9 | 9 |
| 악의적인 사용자가 BizTalk Server에서 메시지를 받기 전에 해당 메시지를 손상시킬 수 있음 | 데이터 손상 정보 공개 |
5 | 7 | 6 | 5 | 7 | 6 |
4단계. 완화 기술 식별(BizTalk 메시지 큐 어댑터 시나리오)
이 섹션에서는 BizTalk 메시지 큐 어댑터 시나리오의 샘플 아키텍처에서 식별한 위협에 대한 몇 가지 완화 기술을 제공합니다.
다음 표는 BizTalk 메시지 큐 어댑터를 사용하여 BizTalk Server와 메시지를 보내고 받을 때 식별한 위협에 대한 완화 방법을 보여 줍니다.
표 3 완화 방법 및 기술
| 위협 | 영향 | 위험 노출 | 완화 방법 및 기술 |
|---|---|---|---|
| 수신 위치로 많은 메시지 전송 | 서비스 거부 | 6.8 | 인증이 필요한 모드에서 BizTalk 메시지 큐 어댑터를 사용합니다. 수신 위치에 MSMQ 인증 필요 플래그를 설정하고 수신 포트에서 인증 필요(메시지 삭제) 를 설정합니다. 인증서 기반 인증을 요구하도록 BizTalk 메시지 큐를 구성합니다. 이 동작은 어댑터 수준에서 발생하며 BizTalk 파이프라인의 Party Resolution 구성 요소와 다릅니다. 구성된 경우 들어오는 메시지에 공용 인증서가 포함됩니다. 이 클라이언트 인증 모드는 BizTalk 메시지 큐에만 사용할 수 있습니다. 이 클라이언트 인증 모드를 사용하려면 Active Directory 통합 모드를 사용하여 BizTalk 메시지 큐를 설치해야 합니다. 이 기능을 사용하는 경우 BizTalk 메시지 큐 수신 위치에 대한 속성 대화 상자에서 인증 검사 필요 상자를 선택해야 합니다. |
| 메시지 헤더가 암호화되지 않은 상태로 이동 | 데이터 손상 정보 공개 |
6.8 | IPsec(인터넷 프로토콜 보안)을 사용하면 서버 간에 이동하는 메시지 본문 및 메시지 헤더를 보호할 수 있습니다. |
| 권한 없는 사용자가 BizTalk 메시지 큐 호스트를 실행하는 BizTalk Server에 대한 네트워크 연결을 설정할 수 있음 | 부인 데이터 손상 정보 공개 서비스 거부 권한 상승 |
9 | Party Resolution 파이프라인 구성 요소가 포함된 사용자 지정 파이프라인을 만든 다음 SID(보낸 사람 ID)를 사용하여 파티를 확인하도록 Party Resolution 구성 요소를 구성합니다. Resolve Party By Certificate 속성을 False로 설정하고 Resolve Party By SID 속성을 True로 설정합니다. 자세한 내용은 파티 확인 파이프라인 구성 요소를 참조하세요. 수신 포트에서 Authentication 속성을 필수(메시지 삭제)로 설정합니다. |
| 악의적인 사용자가 BizTalk Server에서 메시지를 받기 전에 해당 메시지를 손상시킬 수 있음 | 데이터 손상 정보 공개 |
6 | 프로토콜 수준 인증을 사용하여 메시지가 전송 중에 손상되지 않도록 합니다. 프로토콜 수준 인증을 사용하려면 e-비즈니스 도메인에 메시지 큐 라우터가 있어야 합니다. 다음과 같이 BizTalk Server를 구성합니다. - Configuration Manager BizTalk 메시징 페이지에서 라우터의 이름을 입력합니다. - 수신 포트의 경우 Authentication 속성을 필수(메시지 삭제) 또는 필수(메시지 유지)로 설정합니다. - 송신 처리기의 경우 일반 탭의 MSMQ 라우터 이름 상자에 메시지 큐 라우터의 이름을 입력합니다. - 송신 포트의 경우 MSMQ 인증 사용을 선택합니다. |