示例 TMA:HTTP 和 SOAP 适配器
本主题对示例结构的 HTTP 和 SOAP (Web Services) 适配器方案进行威胁模型分析 (TMA)。 下图显示了 HTTP 和 SOAP 适配器方案的示例结构:
图 1 HTTP/SOAP 适配器方案的示例体系结构
步骤 1。 ) (HTTP 和 SOAP 适配器方案收集背景信息
本部分提供针对示例体系结构的 HTTP 和 SOAP (Web 服务) 适配器方案的 DFD (DFD) 的数据流关系图。
所有其他背景信息对于我们所有的使用方案都是相同的,前面在 示例方案的背景信息中已介绍。
数据流关系图
下图显示了使用 HTTP 和 SOAP (Web 服务) 适配器时示例体系结构的 DFD。
图 2 HTTP/SOAP 适配器方案的示例体系结构的 DFD
数据流如下所示:
合作伙伴或客户通过 HTTP、HTTPS 或 Web 服务发送消息。 该消息随后路由到防火墙 1 的 IP 地址。
防火墙 1 使用反向代理通过防火墙 2 中继消息。
防火墙 2 将消息路由到运行 HTTP 或 SOAP 接收适配器的隔离主机实例的BizTalk Server。 独立主机处理消息并将其放入 MessageBox 数据库中。
已订阅该消息的处理主机实例将从 MessageBox 数据库中提取该消息并对其进行所需的任何其他处理,然后将该消息放回 MessageBox 数据库中。
具有 HTTP 或 SOAP 发送适配器的独立主机实例将从 MessageBox 数据库中提取该消息。 在发送管道中对该消息完成所有最终处理,然后将其发送回合作伙伴或客户。
消息在发送到合作伙伴或客户时是使用反向代理通过防火墙 2 和防火墙 1 来路由的。
步骤 2。 (HTTP 和 SOAP 适配器方案创建和分析威胁模型)
本部分提供对示例结构的 HTTP 和 SOAP (Web Services) 适配器方案执行 TMA 的结果。
标识入口点、信任边界和数据流 - 请参阅步骤 1 前面所述的背景信息和 示例方案的背景信息。
创建已识别威胁的列表 - 我们对 DFD 中的所有条目使用以下分类来识别方案的潜在威胁: Spoofing 标识、 T与数据相加、 Repudiation、 Information 披露、服务的 Denial 和 权限的 E杠杆。 下表列出了使用 HTTP 和 SOAP 适配器与 BizTalk Server 之间收发消息时的威胁分类:
表 1 威胁列表
威胁 | 说明 | 资产 | 影响 |
---|---|---|---|
发送无限大的消息 | 恶意用户可能会发送无限大的消息。 | BizTalk Server 环境 | 拒绝服务 |
向接收位置发送大量消息 | 恶意用户可能会发送大量有效或无效的消息,并导致应用程序溢出。 | BizTalk Server 环境 | 拒绝服务 |
通过 HTTP 读取消息正文 | 恶意用户可能会在消息从发送程序传递到防火墙 1 时将其截获并进行读取。 | 消息有效负载 | 信息泄露 |
从消息中读取用户凭据 | 如果使用基本验证,而且消息包含用户凭据,则恶意用户可能会访问这些凭据,并使用其访问应用程序。 | 用户凭据 | 信息泄露 特权提升 |
步骤 3。 查看 HTTP 和 SOAP 适配器方案 (威胁)
本部分提供对示例结构的 HTTP 和 SOAP (Web Services) 适配器方案的相应威胁分类的风险分析结果。 在main威胁模型会议后,我们查看了威胁,并使用以下影响类别来确定每个威胁的风险:Damage 潜在、Reproducability、Exploitability、Affected users 和 Discoverability。
下表列出了使用 HTTP 和 SOAP 适配器与 BizTalk Server 之间收发消息时的各威胁分类的风险等级:
表 2 威胁的风险等级
威胁 | 影响 | 潜在损害 | 可再现性 | 可利用性 | 受影响的用户 | 可发现性 | 风险度 |
---|---|---|---|---|---|---|---|
发送无限大的消息 | 拒绝服务 | 2 | 3 | 2 | 3 | 2 | 2.4 |
向接收位置发送大量消息 | 拒绝服务 | 3 | 3 | 1 | 3 | 3 | 2.6 |
通过 HTTP 读取消息正文 | 信息泄露 | 3 | 3 | 2 | 3 | 3 | 2.8 |
从消息中读取用户凭据 | 信息泄露 权限提升 |
3 | 3 | 2 | 3 | 2 | 2.6 |
步骤 4. 确定 HTTP 和 SOAP 适配器方案 (缓解技术)
本部分介绍对示例结构的 HTTP 和 SOAP (Web Services) 适配器方案的相应威胁分类的一些缓解措施。
下表列出了使用 HTTP 和 SOAP 适配器与 BizTalk Server 之间收发消息时的各威胁分类的缓解措施:
表 3 缓解措施
威胁 | 影响 | 风险度 | 缓解措施 |
---|---|---|---|
发送无限大的消息 | 拒绝服务 | 2.4 | 限制每个 URL 的传入消息的最大大小,并拒绝超过该最大大小的消息。 有关详细信息,请参阅 缓解拒绝服务攻击。 |
向接收位置发送大量消息 | 拒绝服务 | 2.6 | SOAP 适配器充分利用 HTTP 与 BizTalk Server 之间收发消息。 因此,您必须遵循安全建议来帮助确保 Internet 信息服务 (IIS) 的安全。 如果使用 IIS,请确保您遵循有关如何配置应用程序隔离的 IIS 建议。 有关详细信息,请参阅 IIS 体系结构简介。 使用客户端验证和参与方解析限制处理的消息数,以便仅包括有效且经过授权的消息。 |
通过 HTTP 读取消息正文 | 信息泄露 | 2.8 | 建议您使用 S/MIME 以帮助确保与 BizTalk Server 之间收发的消息内容的安全。 建议您使用安全套接字层 (SSL) 来帮助确保与 BizTalk Server 之间的数据传输以及您所在环境中 BizTalk Server 分布组件相互之间的数据传输的安全。 |
从消息中读取用户凭据 | 信息泄露 权限提升 |
2.6 | 如果使用基本验证或在消息层未使用加密,则建议您使用 SSL 收发消息,以确保未经授权的人员无法读取用户凭据。 |