Design för att skydda tillgänglighet
Förhindra eller minimera system- och arbetsbelastningsavbrott och försämring i händelse av en säkerhetsincident med hjälp av starka säkerhetskontroller. Du måste upprätthålla dataintegriteten under incidenten och när systemet har återställts. |
---|
Du måste balansera alternativ för tillgänglighetsarkitektur med alternativ för säkerhetsarkitektur. Systemet bör ha tillgänglighetsgarantier för att säkerställa att användarna har åtkomst till data och att data kan nås. Ur ett säkerhetsperspektiv bör användarna arbeta inom det tillåtna åtkomstomfånget och data måste vara betrodda. Säkerhetskontroller bör blockera dåliga aktörer, men de bör inte blockera legitima användare från att komma åt systemet och data.
Exempelscenario
Contoso Concierge kör ett programvarusystem för hotellhantering som används i över 50 hotellmärken i USA. Den ansvarar för bokning, gäst incheckning och spårar gästtjänster och städpersonal. Det är ett molnbaserat system som får slut på två regioner i USA. Den finns främst på VM-skalningsuppsättningar. Klienterna på hotellen är webbläsarbaserade.
Förbättra tillförlitligheten genom robust säkerhet
Använd säkerhetskontroller och designmönster för att förhindra attacker och kodfel från att orsaka resursöverbelastning och blockera åtkomst.
Genom att använda den här metoden ser du till att systemet inte upplever driftstopp som orsakas av skadliga åtgärder, till exempel DDoS-attacker (Distributed Denial of Service).
Contosos utmaning
- Arbetsbelastningsteamet och arbetsbelastningens intressenter anser att systemets tillförlitlighet är av yttersta vikt eftersom så många hotellgäster är beroende av det för affärs- och fritidsresor. Det måste vara upp till hotellen att driva sin verksamhet.
- Teamet har investerat stora resurser i att testa funktionella och icke-funktionella krav för att säkerställa att tillförlitligheten förblir hög, inklusive att använda säkra distributionsmetoder för att på ett tillförlitligt sätt släppa programuppdateringar.
- Även om de har fokuserat mycket på tillförlitlighet har teamet varit mindre uppmärksamma på säkerhet. Nyligen släpptes en uppdatering som innehöll ett kodfel som utnyttjades av en angripare för att få ner hela systemet för många hotell. Attacken överbelastade programservrarna i en region i över fyra timmar en kväll, vilket orsakade problem för kunder och hotellgäster.
- Angriparen använde Contoso-programservrarna för att proxybegäranden till ett regionalt lagringskonto för att ta emot förgenererad folio-information. En omåttligt stor skadlig folio genererades som gjorde att programservrarna tömde resurser på programservern när den lästes in i minnet, och klientförsök spred problemet över alla programservrar.
Tillämpa metoden och resultaten
- Teamet tittade på ett designmönster för att ta bort sina programservrar från folio-begärandeflödet och valde istället en Valet Key-metod. Även om detta inte skulle ha förhindrat problemet, skulle det ha isolerat effekten.
- De har också lagt till mer indataverifiering i systemet för att sanera indata, vilket hjälper till att förhindra skadliga försök som detta i framtiden.
- Nu med indatasanering och en förstärkt design har en typ av risk minimerats.
Proaktivt begränsa attackvektorer
Implementera förebyggande åtgärder för attackvektorer som utnyttjar sårbarheter i programkod, nätverksprotokoll, identitetssystem, skydd mot skadlig kod och andra områden.
Implementera kodskannrar, tillämpa de senaste säkerhetskorrigeringarna, uppdatera programvara och skydda systemet med effektiva program mot skadlig kod kontinuerligt. Detta bidrar till att minska attackytan för att säkerställa affärskontinuitet.
Contosos utmaning
- De virtuella datorer som används som värd för systemet är Azure Marketplace-avbildningar med det senaste Ubuntu-operativsystemet. Startprocesserna för en virtuell dator konfigurerar några certifikat, justerar en del SSH-konfiguration och installerar programkoden, men inga verktyg för program mot skadlig kod används.
- Azure Application Gateway frontar lösningen, men den används bara som en Internetgateway. funktionen för brandväggen för webbprogram (WAF) är inte aktiverad för närvarande.
- Båda dessa konfigurationsalternativ lämnar beräkningsmiljön oskyddad från säkerhetsrisker i koden eller genom oavsiktlig installation av skadlig kod.
Tillämpa metoden och resultaten
- Efter samråd med säkerhetsteamet i Contoso registreras de virtuella datorerna nu i en företagshanterad antiviruslösning.
- Teamet bestämmer sig också för att aktivera och finjustera WAF-funktionen för att skydda programkoden genom att eliminera kända riskfyllda begäranden, till exempel SQL-inmatningsförsök, på gatewaynivå.
- Program- och programplattformen har nu ytterligare skydd på djupet för att skydda mot kryphål som kan påverka systemets tillgänglighet.
Skydda din återställningsstrategi
Använd minst samma säkerhetsnivå i dina återställningsresurser och processer som du gör i den primära miljön, inklusive säkerhetskontroller och säkerhetskopieringsfrekvens.
Du bör ha ett bevarat säkert systemtillstånd i haveriberedskap. Om du gör det kan du redundansväxla till ett säkert sekundärt system eller en säker plats och återställa säkerhetskopior som inte medför något hot.
En väl utformad process kan förhindra att en säkerhetsincident hindrar återställningsprocessen. Skadade säkerhetskopierade data eller krypterade data som inte kan dechiffreras kan göra återställningen långsammare.
Contosos utmaning
- Systemet fungerar som aktivt över regioner, men teamet har en plan för haveriberedskap som hjälper till att återställa affärskontinuitet i värsta fall.
- En del av den här planen omfattar leveranssäkerhetskopior till en tredje region i USA.
- Tyvärr landade säkerhetskopiorna i ett system som inte övervakades ofta och som hade relativt slappa säkerhetskontroller. Under en övning insåg de att alla säkerhetskopior har smittats av skadlig kod. Om de hade haft en verklig katastrof vid den tiden skulle de inte ha kunnat återhämta sig framgångsrikt.
Tillämpa metoden och resultaten
- Teamet investerade tid och arbete för att skydda säkerhetskopieringsplatsen och lade till ytterligare nätverks- och identitetskontroller för att skydda data. Säkerhetskopior lagras nu också i oföränderlig lagring för att förhindra manipulering.
- När de har granskat sina säkerhetskontroller upptäcker teamet att programmet körs utan waf under en viss tidsperiod under återställningsprocessen. De ändrar ordningen på åtgärder för att stänga det gapet.
- Nu är teamet övertygade om att säkerhetskopieringarna och återställningsprocessen för systemet inte längre är en lättanvänd attackvektor.