Projektowanie w celu ochrony dostępności
Zapobiegaj przestojom systemu i obciążenia oraz ich pogorszeniu w przypadku wystąpienia zdarzenia zabezpieczeń, korzystając z silnych mechanizmów kontroli zabezpieczeń. Należy zachować integralność danych podczas zdarzenia i po odzyskaniu systemu. |
---|
Należy zrównoważyć opcje architektury dostępności przy użyciu opcji architektury zabezpieczeń. System powinien mieć gwarancje dostępności, aby zapewnić użytkownikom dostęp do danych i że dane są osiągalne. Z punktu widzenia zabezpieczeń użytkownicy powinni działać w zakresie dozwolonego dostępu, a dane muszą być zaufane. Mechanizmy kontroli zabezpieczeń powinny blokować złe podmioty, ale nie powinny blokować uprawnionym użytkownikom dostępu do systemu i danych.
Przykładowy scenariusz
Contoso Concierge prowadzi system oprogramowania do zarządzania hotelami używany w ponad 50 markach hotelowych w Stany Zjednoczone. Jest odpowiedzialny za rezerwację, ewidencjonowanie gości i śledzi usługi gościa i personel sprzątania. Jest to system oparty na chmurze, który kończy się dwoma regionami w Stany Zjednoczone. Jest ona głównie hostowana w zestawach skalowania maszyn wirtualnych. Klienci w hotelach są oparte na przeglądarce.
Zwiększanie niezawodności dzięki niezawodnym zabezpieczeniom
Użyj mechanizmów kontroli zabezpieczeń i wzorców projektowych, aby zapobiec atakom i wadom kodu powodującym wyczerpanie zasobów i blokowanie dostępu.
Wdrożenie tego podejścia pomaga zapewnić, że system nie ma przestoju spowodowanego złośliwymi akcjami, takimi jak ataki DDoS (distributed denial of service).
Wyzwanie firmy Contoso
- Zespół ds. obciążeń i uczestnicy projektu obciążenia uważają, że niezawodność tego systemu ma największe znaczenie, ponieważ tak wielu gości hotelowych zależy od niego w przypadku podróży biznesowych i rekreacyjnych. To musi być do hoteli, aby prowadzić swoją działalność.
- Zespół zainwestował znaczne zasoby w testowanie wymagań funkcjonalnych i niefunkcjonalnych, aby zapewnić wysoką niezawodność, w tym stosowanie bezpiecznych praktyk wdrażania w celu niezawodnego wydawania aktualizacji aplikacji.
- Chociaż były one mocno skoncentrowane na niezawodności, zespół był mniej uważny na zabezpieczeniach. Niedawno wydano aktualizację, która zawierała usterkę kodu, która została wykorzystana przez osobę atakującą, aby obniżyć cały system dla wielu hoteli. Atak przytłoczył serwery aplikacji w jednym regionie przez ponad cztery godziny wieczorem, powodując problemy dla klientów i gości hotelowych.
- Osoba atakująca użyła serwerów aplikacji firmy Contoso do proxy żądań do regionalnego konta magazynu w celu otrzymywania wstępnie wygenerowanych informacji folio. Generowano bardzo duże złośliwe folio, co spowodowało, że serwery aplikacji wyczerpały zasoby na serwerze aplikacji, ponieważ były ładowane do pamięci, a ponawianie prób klientów rozprzestrzeniło problem na wszystkich serwerach aplikacji.
Stosowanie podejścia i wyników
- Zespół przejrzał wzorzec projektu, aby usunąć swoje serwery aplikacji z przepływu żądania folio, decydując się zamiast tego na podejście Valet Key. Chociaż nie zapobiegłoby to problemowi, spowodowałoby to izolowanie wpływu.
- Dodali również więcej weryfikacji danych wejściowych do systemu w celu oczyszczenia danych wejściowych, co pomoże zapobiec złośliwym próbom w przyszłości.
- Teraz w przypadku oczyszczania danych wejściowych i wzmocnionego projektu jeden rodzaj ryzyka został skorygowany.
Proaktywne ograniczanie wektorów ataków
Zaimplementuj środki zapobiegawcze dla wektorów ataków, które wykorzystują luki w zabezpieczeniach w kodzie aplikacji, protokołach sieciowych, systemach tożsamości, ochronie przed złośliwym oprogramowaniem i innych obszarach.
Zaimplementuj skanery kodu, zastosuj najnowsze poprawki zabezpieczeń, zaktualizuj oprogramowanie i chroń system przy użyciu efektywnego oprogramowania chroniącego przed złośliwym kodem na bieżąco. Dzięki temu można zmniejszyć obszar ataków w celu zapewnienia ciągłości działania.
Wyzwanie firmy Contoso
- Maszyny wirtualne używane do hostowania systemu to obrazy witryny Azure Marketplace z najnowszym systemem operacyjnym Ubuntu. Procesy uruchamiania maszyny wirtualnej konfigurują kilka certyfikatów, dostrajają konfigurację SSH i instalują kod aplikacji, ale nie są stosowane żadne narzędzia chroniące przed złośliwym kodem.
- Chociaż usługa aplikacja systemu Azure Gateway jest frontem rozwiązania, jest używana tylko jako brama internetowa; funkcja zapory aplikacji internetowej (WAF) nie jest obecnie włączona.
- Obie te opcje konfiguracji powodują, że środowisko obliczeniowe nie jest chronione przed lukami w zabezpieczeniach w kodzie lub niezamierzoną instalacją złośliwego oprogramowania.
Stosowanie podejścia i wyników
- Po konsultacji z zespołem ds. zabezpieczeń w firmie Contoso maszyny wirtualne są teraz zarejestrowane w rozwiązaniu antywirusowym zarządzanym przez przedsiębiorstwo.
- Zespół decyduje się również włączyć i dostroić funkcję zapory aplikacji internetowej, aby ułatwić ochronę kodu aplikacji, eliminując znane ryzykowne żądania, takie jak próby wstrzyknięcia kodu SQL, na poziomie bramy.
- Platforma aplikacji i aplikacji ma teraz dodatkową ochronę w głębi systemu, aby chronić przed programami wykorzystującymi luki w zabezpieczeniach, które mogą mieć wpływ na dostępność systemu.
Zabezpieczanie strategii odzyskiwania
Zastosuj co najmniej ten sam poziom rygoru zabezpieczeń w zasobach i procesach odzyskiwania, co w środowisku podstawowym, w tym mechanizmy kontroli zabezpieczeń i częstotliwość tworzenia kopii zapasowych.
Zachowany bezpieczny stan systemu powinien być dostępny w odzyskiwaniu po awarii. W takim przypadku możesz przejść w tryb failover do bezpiecznego systemu pomocniczego lub lokalizacji i przywrócić kopie zapasowe, które nie będą powodować zagrożenia.
Dobrze zaprojektowany proces może uniemożliwić incydencie bezpieczeństwa utrudnianie procesu odzyskiwania. Uszkodzone dane kopii zapasowej lub zaszyfrowane dane, których nie można odszyfrować, mogą spowolnić odzyskiwanie.
Wyzwanie firmy Contoso
- Mimo że system działa jako aktywny-aktywny w różnych regionach, zespół ma plan odzyskiwania po awarii, aby pomóc przywrócić ciągłość działalności biznesowej w najgorszych scenariuszach.
- Część tego planu obejmuje wysyłanie kopii zapasowych do trzeciego regionu w Stanach Zjednoczonych.
- Niestety, kopie zapasowe były lądowane w systemie, który nie był często monitorowany i miał stosunkowo łagodny mechanizm kontroli zabezpieczeń. Podczas przechodzenia do szczegółów zdali sobie sprawę, że wszystkie kopie zapasowe zostały zainfekowane złośliwym oprogramowaniem. Gdyby w tym czasie doszło do prawdziwej awarii, nie udałoby się pomyślnie odzyskać.
Stosowanie podejścia i wyników
- Zespół zainwestował czas i wysiłek, aby zabezpieczyć lokalizację kopii zapasowej, dodając dodatkowe mechanizmy kontroli sieci i tożsamości w celu ochrony danych. Kopie zapasowe są teraz również przechowywane w niezmiennym magazynie, aby zapobiec manipulowaniu.
- Po przejrzeniu mechanizmów kontroli zabezpieczeń zespół stwierdza, że podczas procesu odzyskiwania aplikacja działa bez zapory aplikacji internetowej przez pewien czas. Zmieniają kolejność operacji, aby zamknąć tę lukę.
- Teraz zespół jest przekonany, że kopie zapasowe i proces odzyskiwania systemu nie są już łatwym do wykorzystania wektorem ataku.