Marco de seguridad: seguridad de comunicación | Mitigaciones

• Protección de la comunicación con el centro de eventos mediante SSL/TLS

• Compruebe los privilegios de la cuenta de servicio y compruebe que los servicios personalizados o ASP.NET Pages respetan la seguridad de CRM.

• Uso de Data Management Gateway al conectar SQL Server local a Azure Data Factory

• Asegúrese de que todo el tráfico a Identity Server se realiza a través de la conexión HTTPS

• Comprobación de los certificados X.509 usados para autenticar conexiones SSL, TLS y DTLS
• Configuración del certificado TLS/SSL para un dominio personalizado en Azure App Service
• Forzar todo el tráfico a Azure App Service a través de la conexión HTTPS
• Habilitación de la seguridad de transporte estricta HTTP (HSTS)

• Asegurar el cifrado de la conexión de SQL Server y la validación de certificados
• Forzar la comunicación cifrada con SQL Server

• Asegúrese de que la comunicación con Azure Storage se realiza a través de HTTPS
• Validar el hash MD5 después de descargar el blob si no se puede habilitar HTTPS
• Utilice un cliente compatible con SMB 3.0 para garantizar el cifrado de datos en tránsito hacia los recursos compartidos de archivos de Azure

• Implementación de asignación de certificados

• Habilitación de HTTPS: canal de transporte seguro
• WCF: establezca el nivel de protección de seguridad de mensajes en EncryptAndSign.
• WCF: usar una cuenta con privilegios mínimos para ejecutar el servicio WCF

• Direccionamiento forzoso de todo el tráfico a API web a través de una conexión HTTPS

• Asegúrese de que la comunicación con Azure Cache for Redis se realiza a través de TLS

• Protección de la comunicación entre el dispositivo y la puerta de enlace de campo

• Protección de la comunicación de dispositivo a puerta de enlace en la nube mediante SSL/TLS

La herramienta Data Management Gateway (DMG) es necesaria para conectarse a orígenes de datos que están protegidos detrás de una red corporativa o un firewall.

1. Bloquear la máquina aísla la herramienta DMG y evita que los programas defectuosos dañen o espíen en la máquina del origen de datos. (Por ejemplo, las actualizaciones más recientes deben instalarse, habilitar los puertos mínimos necesarios, el aprovisionamiento controlado de cuentas, la auditoría habilitada, el cifrado de disco, etc.)
2. La clave de puerta de enlace de datos debe rotarse a intervalos frecuentes o cada vez que se renueva la contraseña de la cuenta de servicio DMG.
3. Los tránsitos de datos a través del servicio Link deben cifrarse

Las aplicaciones que usan SSL, TLS o DTLS deben comprobar completamente los certificados X.509 de las entidades a las que se conectan. Esto incluye la comprobación de los certificados para:

• Nombre de dominio
• Fechas de validez (fechas de inicio y expiración)
• Estado de revocación
• Uso (por ejemplo, Autenticación de servidor para servidores, Autenticación de cliente para clientes)
• Cadena de confianza. Los certificados deben encadenar a una entidad de certificación (CA) raíz que sea de confianza para la plataforma o configurada explícitamente por el administrador.
• La longitud de clave de la clave pública del certificado debe ser >de 2048 bits
• El algoritmo hash debe ser SHA256 y versiones posteriores

Aunque Azure ya habilita HTTPS para los servicios de aplicaciones de Azure con un certificado comodín para el dominio *.azurewebsites.net, no aplica HTTPS. Los visitantes todavía pueden acceder a la aplicación mediante HTTP, lo que puede poner en peligro la seguridad de la aplicación y, por lo tanto, HTTPS debe aplicarse explícitamente. Las aplicaciones MVC de ASP.NET deben usar el filtro RequireHttps que obliga a reenviar una solicitud HTTP no segura a través de HTTPS.

Como alternativa, el módulo reescritura de direcciones URL, que se incluye con Azure App Service, se puede usar para aplicar HTTPS. El módulo Reescritura de direcciones URL permite a los desarrolladores definir reglas que se aplican a las solicitudes entrantes antes de que las solicitudes se entreguen a la aplicación. Las reglas de reescritura de direcciones URL se definen en un archivo web.config almacenado en la raíz de la aplicación.

HTTP Strict Transport Security (HSTS) es una mejora en la seguridad optativa especificada por una aplicación web a través de un encabezado de respuesta especial. Una vez que un explorador compatible recibe este encabezado, ese explorador impedirá que las comunicaciones se envíen a través de HTTP al dominio especificado y en su lugar enviarán todas las comunicaciones a través de HTTPS. También evita que aparezcan en los exploradores elementos click-through HTTPS.

Para implementar HSTS, el siguiente encabezado de respuesta debe configurarse para un sitio web globalmente, ya sea en el código o en la configuración. Strict-Transport-Security: max-age=300; includeSubDomains HSTS aborda las siguientes amenazas:

• El usuario guarda marcadores o escribe manualmente https://example.com y es vulnerable a un atacante de intermediario; HSTS redirige automáticamente las solicitudes HTTP a HTTPS para el dominio de destino.
• La aplicación web que está pensada para ser puramente HTTPS contiene accidentalmente vínculos HTTP o sirve contenido a través de HTTP: HSTS redirige automáticamente las solicitudes HTTP a HTTPS para el dominio de destino.
• Un atacante de tipo "man in the middle" intenta interceptar el tráfico de un usuario víctima mediante un certificado no válido y espera que el usuario acepte el certificado incorrecto: HSTS no permite que un usuario invalide el mensaje de certificado no válido.

Todas las comunicaciones entre SQL Database y una aplicación cliente se cifran mediante la seguridad de la capa de transporte (TLS), anteriormente conocida como Capa de sockets seguros (SSL), en todo momento. SQL Database no admite conexiones sin cifrar. Para validar certificados con código de aplicación o herramientas, solicite explícitamente una conexión cifrada y no confíe en los certificados de servidor. Si el código o las herramientas de la aplicación no solicitan una conexión cifrada, seguirán recibiendo conexiones cifradas.

Sin embargo, es posible que no validen los certificados de servidor y, por tanto, serán susceptibles a ataques de intermediario. Para validar certificados con ADO.NET código de aplicación, establezca Encrypt=True y TrustServerCertificate=False en la cadena de conexión de la base de datos. Para validar certificados a través de SQL Server Management Studio, abra el cuadro de diálogo Conectar con el servidor. Haga clic en Cifrar conexión en la pestaña Propiedades de conexión.

Blob service de Windows Azure proporciona mecanismos para garantizar la integridad de los datos tanto en las capas de aplicación como de transporte. Si por algún motivo necesita usar HTTP en lugar de HTTPS y está trabajando con blobs en bloques, puede usar la comprobación md5 para ayudar a comprobar la integridad de los blobs que se transfieren.

Esto ayudará a proteger los errores de la capa de red o transporte, pero no necesariamente con ataques intermedios. Si puede usar HTTPS, que proporciona seguridad de nivel de transporte, el uso de la comprobación md5 es redundante e innecesario.

La asignación de certificados protege frente a ataques de tipo "man in the middle". La asignación es el proceso de asociar un host a su certificado X509 o clave pública esperados. Una vez que se conoce o ve un certificado o una clave pública para un host, el certificado o la clave pública está asociado o "anclado" al host.

De este modo, cuando un atacante intenta realizar un ataque de tipo "man in the middle" TLS, durante el protocolo de enlace TLS, la clave del servidor del atacante será distinta a la clave del certificado asignado, por lo que la solicitud se descartará, lo que evita que pueda realizarse una asignación de certificados mediante ataque de tipo "man in the middle" al implementar el delegado ServerCertificateValidationCallback de ServicePointManager.

• EXPLICACIÓN: Si una aplicación controla la información confidencial y no usa el cifrado de nivel de mensaje, solo debe permitirse comunicarse a través de un canal de transporte cifrado.
• RECOMENDACIONES: Asegúrese de que el transporte HTTP está deshabilitado y habilite el transporte HTTPS en su lugar. Por ejemplo, reemplace la etiqueta <httpTransport/> con la etiqueta <httpsTransport/>. No confíe en una configuración de red (firewall) para garantizar que solo se pueda acceder a la aplicación a través de un canal seguro. Desde un punto de vista filósofo, la aplicación no debe depender de la red para su seguridad.

Desde un punto de vista práctico, las personas responsables de proteger la red no siempre realizan un seguimiento de los requisitos de seguridad de la aplicación a medida que evolucionan.

• EXPLICACIÓN: Cuando el nivel de protección se establece en "none", deshabilitará la protección de mensajes. La confidencialidad y la integridad se logran con el nivel de configuración adecuado.
• RECOMENDACIONES:
  • when Mode=None : deshabilita la protección de mensajes
  • cuando Mode=Sign : firma pero no cifra el mensaje; debe usarse cuando la integridad de los datos sea importante.
  • when Mode=EncryptAndSign : firma y cifra el mensaje

Considere la posibilidad de desactivar el cifrado y firmar solo el mensaje cuando solo necesite validar la integridad de la información sin preocuparse de la confidencialidad. Esto puede ser útil para operaciones o contratos de servicio en los que necesita validar el remitente original, pero no se transmite ningún dato confidencial. Al reducir el nivel de protección, tenga cuidado de que el mensaje no contenga ningún dato personal.

• EXPLICACIÓN: No ejecute servicios WCF en una cuenta de administrador o con privilegios elevados. Esto tendría una gran incidencia en caso de que los servicios se vieran comprometidos.
• RECOMENDACIONES: Use una cuenta con privilegios mínimos para hospedar el servicio WCF, ya que reducirá la superficie expuesta a ataques de la aplicación y reducirá el posible daño si se le ataca. Si la cuenta de servicio requiere derechos de acceso adicionales en recursos de infraestructura como MSMQ, el registro de eventos, los contadores de rendimiento y el sistema de archivos, se deben conceder permisos adecuados a estos recursos para que el servicio WCF pueda ejecutarse correctamente.

Si su servicio necesita acceder a recursos específicos en nombre del autor de la llamada original, utilice la suplantación y la delegación para transferir la identidad del autor de la llamada y realizar una comprobación de autorización en un sistema descendente. En un escenario de desarrollo, use la cuenta de servicio de red local, que es una cuenta integrada especial que tiene privilegios reducidos. En un escenario de producción, cree una cuenta de servicio de dominio personalizado con privilegios mínimos.