Design para proteger a integridade
Evite a corrupção do projeto, implementação, operações e dados para evitar interrupções que podem impedir o sistema de fornecer a utilidade pretendida ou fazer com que ele opere fora dos limites prescritos. O sistema deve fornecer garantias de informação ao longo de todo o ciclo de vida da carga de trabalho. |
---|
A chave é implementar controles que impeçam a adulteração da lógica de negócios, fluxos, processos de implantação, dados e até mesmo os componentes de pilha inferior, como o sistema operacional e a sequência de inicialização. A falta de integridade pode introduzir vulnerabilidades que podem levar a quebras de confidencialidade e disponibilidade.
Cenário de exemplo
A Contoso Paint Systems cria sistemas de deteção de vapor e controle de ventilação para máquinas industriais de pintura por pulverização. O sistema também é usado para capturar automaticamente dados de qualidade do ar para fins de relatório de impacto ambiental. Eles têm um aplicativo baseado em nuvem que apoia seus dispositivos IoT que são distribuídos por cabines de pintura. Os componentes locais do aplicativo são executados no Azure Stack HCI e em dispositivos IoT personalizados. O sistema está em fase inicial de protótipo, e a equipe de carga de trabalho planeja lançar a versão de produção dentro de um ano.
Defenda a sua cadeia de abastecimento
Proteja-se continuamente contra vulnerabilidades e detete-as em sua cadeia de suprimentos para impedir que invasores injetem falhas de software em sua infraestrutura, sistema de compilação, ferramentas, bibliotecas e outras dependências. As vulnerabilidades devem ser verificadas durante o tempo de compilação e o tempo de execução
Conhecer a origem do software e verificar a sua autenticidade ao longo do ciclo de vida proporcionará previsibilidade. Você saberá sobre as vulnerabilidades com bastante antecedência para que possa corrigi-las proativamente e manter o sistema seguro na produção.
O desafio da Contoso
- A equipe de engenharia está implementando seus pipelines de compilação e lançamento, mas ainda não abordou a integridade do sistema de compilação.
- Eles optaram por usar algumas soluções de código aberto tanto no firmware quanto nos componentes de nuvem.
- Eles ouviram como um comprometimento da cadeia de suprimentos ou insiders mal-intencionados podem corromper o código que pode ser usado para interromper sistemas ou até mesmo exfiltrar dados. Se os relatórios ambientais do cliente forem afetados de tal forma que resultem em uma falha na comunicação ou em uma deturpação encontrada em uma auditoria, o efeito sobre a Contoso e seu cliente pode ser catastrófico.
Aplicação da abordagem e dos resultados
- A equipe modifica seus processos de compilação para firmware e sistemas de nuvem de back-end, e agora inclui etapas de verificação de segurança para alertar sobre vulnerabilidades e exposições comuns conhecidas (CVEs) em dependências. Além disso, eles agora incluem a verificação de malware do código e pacotes também.
- Eles também examinam as opções antimalware para execução no Azure Stack HCI, como o Controle de Aplicativo do Windows Defender.
- Essas medidas ajudam a aumentar a confiança de que o firmware e o software implantados como parte dessa solução não executarão ações inesperadas, afetando a integridade do sistema ou os requisitos de relatórios ambientais do cliente.
Empregar mecanismos criptográficos fortes
Estabeleça confiança e verifique usando técnicas de criptografia como assinatura de código, certificados e criptografia. Proteja esses mecanismos permitindo uma desencriptação respeitável.
Ao adotar essa abordagem, você saberá que as alterações nos dados ou no acesso ao sistema são verificadas por uma fonte confiável.
Mesmo que os dados criptografados sejam intercetados em trânsito por um ator mal-intencionado, o ator não será capaz de desbloquear ou decifrar o conteúdo. Você pode usar assinaturas digitais para garantir que os dados não foram adulterados durante a transmissão.
O desafio da Contoso
- Os dispositivos selecionados para deteção e transferência de dados não são atualmente capazes de poder de processamento suficiente para suportar HTTPS ou mesmo criptografia personalizada.
- A equipe de carga de trabalho planeja usar os limites de rede como técnica de isolamento principal.
- Uma análise de risco destacou que a comunicação não criptografada entre dispositivos IoT e sistemas de controle pode levar a adulterações, e a segmentação da rede não deve ser considerada suficiente.
Aplicação da abordagem e dos resultados
- Trabalhando com o fabricante de seu dispositivo IoT personalizado, a equipe decide usar um dispositivo de maior potência que suporta não apenas a comunicação baseada em certificado, mas também suporta a validação de assinatura de código no chip, para que apenas o firmware assinado seja executado.
Otimize a segurança dos seus backups
Certifique-se de que os dados de backup sejam imutáveis e criptografados quando os dados forem replicados ou transferidos.
Ao adotar essa abordagem, você poderá recuperar dados com a confiança de que os dados de backup não foram alterados em repouso, inadvertidamente ou maliciosamente.
O desafio da Contoso
- Todos os meses é gerado o relatório de emissões da Agência de Proteção do Ambiente, mas estes relatórios só têm de ser apresentados três vezes por ano.
- O relatório é gerado e, em seguida, armazenado em uma conta de Armazenamento do Azure até que seja necessário enviá-lo. Isso é feito como um backup no caso de o sistema de relatórios sofrer um desastre.
- O relatório de backup em si não é criptografado, mas é transferido por HTTPs para a conta de armazenamento.
Aplicação da abordagem e dos resultados
- Depois de realizar uma análise de falha de segurança, a equipe vê que deixar o backup não criptografado é um risco que deve ser abordado. A equipe aborda o risco criptografando o relatório e armazenando-o na opção de armazenamento imutável Write One, Read Many (WORM) do Azure blob Storage.
- A nova abordagem garante que a integridade do backup seja mantida.
- Como medida adicional de integridade, o relatório gerado a partir do sistema principal agora compara um hash SHA com o backup autorizado para detetar qualquer adulteração na fonte de dados primária.