示例 TMA:HTTP 和 SOAP 适配器

本主题对示例结构的 HTTP 和 SOAP (Web Services) 适配器方案进行威胁模型分析 (TMA)。 下图显示了 HTTP 和 SOAP 适配器方案的示例结构:

图 1 HTTP/SOAP 适配器方案的示例体系结构

HTTP 或 SOAP 适配器TDI_Sec_RefArch_HTTP的示例体系结构

步骤 1。 ) (HTTP 和 SOAP 适配器方案收集背景信息

本部分提供针对示例体系结构的 HTTP 和 SOAP (Web 服务) 适配器方案的 DFD (DFD) 的数据流关系图。

所有其他背景信息对于我们所有的使用方案都是相同的,前面在 示例方案的背景信息中已介绍。

数据流关系图

下图显示了使用 HTTP 和 SOAP (Web 服务) 适配器时示例体系结构的 DFD。

图 2 HTTP/SOAP 适配器方案的示例体系结构的 DFD

示例体系结构TDI_Sec_RefArch_DFD_HTTP的 DFD

数据流如下所示:

  1. 合作伙伴或客户通过 HTTP、HTTPS 或 Web 服务发送消息。 该消息随后路由到防火墙 1 的 IP 地址。

  2. 防火墙 1 使用反向代理通过防火墙 2 中继消息。

  3. 防火墙 2 将消息路由到运行 HTTP 或 SOAP 接收适配器的隔离主机实例的BizTalk Server。 独立主机处理消息并将其放入 MessageBox 数据库中。

  4. 已订阅该消息的处理主机实例将从 MessageBox 数据库中提取该消息并对其进行所需的任何其他处理,然后将该消息放回 MessageBox 数据库中。

  5. 具有 HTTP 或 SOAP 发送适配器的独立主机实例将从 MessageBox 数据库中提取该消息。 在发送管道中对该消息完成所有最终处理,然后将其发送回合作伙伴或客户。

  6. 消息在发送到合作伙伴或客户时是使用反向代理通过防火墙 2 和防火墙 1 来路由的。

步骤 2。 (HTTP 和 SOAP 适配器方案创建和分析威胁模型)

本部分提供对示例结构的 HTTP 和 SOAP (Web Services) 适配器方案执行 TMA 的结果。

  • 标识入口点、信任边界和数据流 - 请参阅步骤 1 前面所述的背景信息和 示例方案的背景信息

  • 创建已识别威胁的列表 - 我们对 DFD 中的所有条目使用以下分类来识别方案的潜在威胁: Spoofing 标识、 T与数据相加、 Repudiation、 Information 披露、服务的 Denial 和 权限的 E杠杆。 下表列出了使用 HTTP 和 SOAP 适配器与 BizTalk Server 之间收发消息时的威胁分类:

    表 1 威胁列表

威胁 说明 资产 影响
发送无限大的消息 恶意用户可能会发送无限大的消息。 BizTalk Server 环境 拒绝服务
向接收位置发送大量消息 恶意用户可能会发送大量有效或无效的消息,并导致应用程序溢出。 BizTalk Server 环境 拒绝服务
通过 HTTP 读取消息正文 恶意用户可能会在消息从发送程序传递到防火墙 1 时将其截获并进行读取。 消息有效负载 信息泄露
从消息中读取用户凭据 如果使用基本验证,而且消息包含用户凭据,则恶意用户可能会访问这些凭据,并使用其访问应用程序。 用户凭据 信息泄露

特权提升

步骤 3。 查看 HTTP 和 SOAP 适配器方案 (威胁)

本部分提供对示例结构的 HTTP 和 SOAP (Web Services) 适配器方案的相应威胁分类的风险分析结果。 在main威胁模型会议后,我们查看了威胁,并使用以下影响类别来确定每个威胁的风险:Damage 潜在、Reproducability、Exploitability、Affected users 和 Discoverability。

下表列出了使用 HTTP 和 SOAP 适配器与 BizTalk Server 之间收发消息时的各威胁分类的风险等级:

表 2 威胁的风险等级

威胁 影响 潜在损害 可再现性 可利用性 受影响的用户 可发现性 风险度
发送无限大的消息 拒绝服务 2 3 2 3 2 2.4
向接收位置发送大量消息 拒绝服务 3 3 1 3 3 2.6
通过 HTTP 读取消息正文 信息泄露 3 3 2 3 3 2.8
从消息中读取用户凭据 信息泄露

权限提升
3 3 2 3 2 2.6

步骤 4. 确定 HTTP 和 SOAP 适配器方案 (缓解技术)

本部分介绍对示例结构的 HTTP 和 SOAP (Web Services) 适配器方案的相应威胁分类的一些缓解措施。

下表列出了使用 HTTP 和 SOAP 适配器与 BizTalk Server 之间收发消息时的各威胁分类的缓解措施:

表 3 缓解措施

威胁 影响 风险度 缓解措施
发送无限大的消息 拒绝服务 2.4 限制每个 URL 的传入消息的最大大小,并拒绝超过该最大大小的消息。

有关详细信息,请参阅 缓解拒绝服务攻击
向接收位置发送大量消息 拒绝服务 2.6 SOAP 适配器充分利用 HTTP 与 BizTalk Server 之间收发消息。 因此,您必须遵循安全建议来帮助确保 Internet 信息服务 (IIS) 的安全。 如果使用 IIS,请确保您遵循有关如何配置应用程序隔离的 IIS 建议。

有关详细信息,请参阅 IIS 体系结构简介

使用客户端验证和参与方解析限制处理的消息数,以便仅包括有效且经过授权的消息。
通过 HTTP 读取消息正文 信息泄露 2.8 建议您使用 S/MIME 以帮助确保与 BizTalk Server 之间收发的消息内容的安全。

建议您使用安全套接字层 (SSL) 来帮助确保与 BizTalk Server 之间的数据传输以及您所在环境中 BizTalk Server 分布组件相互之间的数据传输的安全。
从消息中读取用户凭据 信息泄露

权限提升
2.6 如果使用基本验证或在消息层未使用加密,则建议您使用 SSL 收发消息,以确保未经授权的人员无法读取用户凭据。

另请参阅

威胁模型分析
威胁模型分析的示例方案
中小型公司的示例体系结构