Ramka zabezpieczeń: Zabezpieczenia komunikacji | Środki zaradcze

• Bezpieczna komunikacja z centrum zdarzeń przy użyciu protokołu SSL/TLS

• Sprawdź uprawnienia konta usługi i sprawdź, czy usługi niestandardowe lub strony ASP.NET przestrzegają zabezpieczeń programu CRM

• Używanie bramy zarządzania danymi podczas łączenia lokalnego programu SQL Server z usługą Azure Data Factory

• Upewnij się, że cały ruch do usługi Identity Server odbywa się za pośrednictwem połączenia HTTPS

• Weryfikowanie certyfikatów X.509 używanych do uwierzytelniania połączeń SSL, TLS i DTLS
• Konfigurowanie certyfikatu TLS/SSL dla domeny niestandardowej w usłudze Azure App Service
• Wymuszenie przekierowania całego ruchu do usługi Azure App Service przez połączenie HTTPS
• Włączanie protokołu HTTP Strict Transport Security (HSTS)

• Upewnij się, że połączenia z serwerem SQL są szyfrowane i że walidacja certyfikatu jest przeprowadzana
• Wymuszanie zaszyfrowanej komunikacji z serwerem SQL

• Upewnij się, że komunikacja z usługą Azure Storage odbywa się za pośrednictwem protokołu HTTPS
• Zweryfikuj skrót MD5 po pobraniu obiektu blob, jeśli nie można włączyć protokołu HTTPS
• Użyj klienta zgodnego z SMB 3.0, aby zapewnić szyfrowanie danych przesyłanych do Azure File Shares

• Implementacja przypinania certyfikatu

• Włączanie protokołu HTTPS — bezpieczny kanał transportu
• WCF: ustaw poziom zabezpieczeń komunikatów na EncryptAndSign
• WCF: uruchamianie usługi WCF przy użyciu konta z najniższymi uprawnieniami

• Wymuszanie całego ruchu do internetowych interfejsów API za pośrednictwem połączenia HTTPS

• Upewnij się, że komunikacja z usługą Azure Cache for Redis odbywa się za pośrednictwem protokołu TLS

• Zabezpieczanie komunikacji urządzenia z usługą Field Gateway

• Zabezpieczanie komunikacji urządzenia z usługą Cloud Gateway przy użyciu protokołu SSL/TLS

Narzędzie Data Management Gateway (DMG) jest wymagane do łączenia się ze źródłami danych, które są chronione za wewnętrzną siecią korporacyjną lub zaporą.

1. Blokowanie maszyny izoluje narzędzie DMG i uniemożliwia wadliwym działającym programom uszkodzenie lub szpiegowanie maszyny, która jest źródłem danych. (Np. należy zainstalować najnowsze aktualizacje, włączyć minimalną wymaganą liczbę portów, aprowizować kontrolowane konta, włączyć inspekcję, włączyć szyfrowanie dysków itp.)
2. Klucz bramy danych musi być obracany w częstych odstępach czasu lub za każdym razem, gdy hasło konta usługi DMG jest odnawiane
3. Dane przesyłane za pośrednictwem usługi linku muszą być szyfrowane

Aplikacje korzystające z protokołu SSL, TLS lub DTLS muszą w pełni zweryfikować certyfikaty X.509 jednostek, z którymi się łączą. Obejmuje to weryfikację certyfikatów dla:

• Nazwa domeny
• Daty ważności (daty rozpoczęcia i wygaśnięcia)
• Stan odwołania
• Użycie (na przykład uwierzytelnianie serwera dla serwerów, uwierzytelnianie klienta dla klientów)
• Łańcuch zaufania. Certyfikaty muszą być powiązane z głównym urzędem certyfikacji zaufanym przez platformę lub jawnie skonfigurowanym przez administratora
• Długość klucza publicznego certyfikatu musi wynosić >2048 bitów
• Algorytm haszowania musi być SHA256 lub wyższy

Chociaż platforma Azure już włącza protokół HTTPS dla usług aplikacji platformy Azure z certyfikatem wieloznacznikowym dla domeny *.azurewebsites.net, nie wymusza protokołu HTTPS. Odwiedzający mogą nadal uzyskiwać dostęp do aplikacji przy użyciu protokołu HTTP, co może naruszyć bezpieczeństwo aplikacji, dlatego protokół HTTPS musi być wymuszany jawnie. ASP.NET aplikacje MVC powinny używać filtru RequireHttps , który wymusza ponowne wysyłanie niezabezpieczonego żądania HTTP za pośrednictwem protokołu HTTPS.

Alternatywnie moduł ponownego zapisywania adresów URL, który jest dołączony do usługi Azure App Service, może służyć do wymuszania protokołu HTTPS. Moduł ponownego zapisywania adresów URL umożliwia deweloperom definiowanie reguł stosowanych do żądań przychodzących przed przekazaniem żądań do aplikacji. Reguły ponownego zapisywania adresów URL są definiowane w pliku web.config przechowywanym w katalogu głównym aplikacji

HTTP Strict Transport Security (HSTS) jest dobrowolnym rozszerzeniem bezpieczeństwa, które jest określane przez aplikację internetową poprzez wykorzystanie specjalnego nagłówka odpowiedzi. Gdy obsługiwana przeglądarka odbierze ten nagłówek, przeglądarka uniemożliwi wysyłanie jakiejkolwiek komunikacji za pośrednictwem protokołu HTTP do określonej domeny i zamiast tego wyśle całą komunikację za pośrednictwem protokołu HTTPS. Zapobiega to również kliknięciu protokołu HTTPS za pośrednictwem monitów w przeglądarkach.

Aby zaimplementować moduł HSTS, następujący nagłówek odpowiedzi musi być skonfigurowany globalnie dla witryny internetowej w kodzie lub w konfiguracji. Strict-Transport-Security: max-age=300; includeSubDomains HSTS rozwiązuje następujące zagrożenia:

• Zakładki użytkownika lub ręcznie wpisuje https://example.com i są narażeni na atak typu man-in-the-middle: HSTS automatycznie przekierowuje żądania HTTP do protokołu HTTPS dla domeny docelowej
• Aplikacja internetowa przeznaczona wyłącznie do niezamierzonego stosowania protokołu HTTPS zawiera linki HTTP lub udostępnia zawartość za pośrednictwem protokołu HTTP: usługa HSTS automatycznie przekierowuje żądania HTTP do protokołu HTTPS dla domeny docelowej
• Atakujący typu man-in-the-middle próbuje przechwycić ruch ofiary przy użyciu nieprawidłowego certyfikatu, mając nadzieję, że użytkownik zaakceptuje zły certyfikat: HSTS nie zezwala użytkownikowi na zastąpienie komunikatu o nieprawidłowym certyfikacie.

Cała komunikacja między usługą SQL Database a aplikacją kliencką jest szyfrowana przy użyciu protokołu Transport Layer Security (TLS), wcześniej znanego jako Secure Sockets Layer (SSL), przez cały czas. Usługa SQL Database nie obsługuje niezaszyfrowanych połączeń. Aby zweryfikować certyfikaty przy użyciu kodu aplikacji lub narzędzi, jawnie zażądaj zaszyfrowanego połączenia i nie ufaj certyfikatom serwera. Jeśli kod aplikacji lub narzędzia nie żądają zaszyfrowanego połączenia, nadal będą odbierać szyfrowane połączenia

Mogą jednak nie weryfikować certyfikatów serwera i w związku z tym będą podatne na ataki typu "człowiek w środku". Aby zweryfikować certyfikaty za pomocą kodu aplikacji ADO.NET, ustaw Encrypt=True i TrustServerCertificate=False w parametrach połączenia bazy danych. Aby zweryfikować certyfikaty za pośrednictwem programu SQL Server Management Studio, otwórz okno dialogowe Łączenie z serwerem. Kliknij pozycję Szyfruj połączenie na karcie Właściwości połączenia

Usługa Windows Azure Blob Service udostępnia mechanizmy zapewniające integralność danych zarówno w warstwach aplikacji, jak i transportu. Jeśli z jakiegokolwiek powodu musisz użyć protokołu HTTP zamiast protokołu HTTPS i pracujesz z blokowymi obiektami blob, możesz użyć sprawdzania MD5, aby pomóc zweryfikować integralność przesyłanych obiektów blob

Pomoże to w ochronie przed błędami warstwy sieci/transportu, ale niekoniecznie przed atakami pośredniczącymi. Jeśli możesz użyć protokołu HTTPS, który zapewnia zabezpieczenia na poziomie transportu, użycie sprawdzania MD5 jest nadmiarowe i niepotrzebne.

Przypinanie certyfikatu broni przed atakami man-in-The-Middle (MITM). Przypinanie to proces przypisywania hostowi oczekiwanego certyfikatu X509 lub klucza publicznego. Gdy certyfikat lub klucz publiczny jest znany lub widoczny dla hosta, certyfikat lub klucz publiczny jest skojarzony lub "przypięty" do hosta.

W związku z tym, gdy osoba atakująca próbuje przeprowadzić atak TLS MITM, podczas uzgadniania protokołu TLS klucz z serwera atakującego będzie inny niż klucz przypiętego certyfikatu. W wyniku tego żądanie zostanie odrzucone, co zapobiega atakom typu MITM. Przypinanie certyfikatów można osiągnąć poprzez zaimplementowanie delegata programu ServicePointManager ServerCertificateValidationCallback.

• WYJAŚNIENIE: Jeśli aplikacja obsługuje poufne informacje i nie używa szyfrowania na poziomie komunikatów, powinno być dozwolone tylko komunikowanie się za pośrednictwem szyfrowanego kanału transportu.
• ZALECENIA: Upewnij się, że transport HTTP jest wyłączony i włącz zamiast tego transport HTTPS. Na przykład zastąp element tagiem <httpTransport/><httpsTransport/> . Nie należy polegać na konfiguracji sieci (zapory), aby zagwarantować, że dostęp do aplikacji można uzyskać tylko za pośrednictwem bezpiecznego kanału. Z filozoficznego punktu widzenia aplikacja nie powinna zależeć od sieci w celu zapewnienia jej bezpieczeństwa.

Z praktycznego punktu widzenia osoby odpowiedzialne za zabezpieczanie sieci nie zawsze śledzą wymagania dotyczące zabezpieczeń aplikacji w miarę ich rozwoju.

• WYJAŚNIENIE: Po ustawieniu poziomu ochrony na wartość "none" zostanie wyłączona ochrona komunikatów. Poufność i integralność są osiągane przy użyciu odpowiedniego poziomu ustawienia.
• ZALECENIA:
  • when Mode=None — wyłącza ochronę komunikatów
  • when Mode=Sign — podpisuje, ale nie szyfruje wiadomości. Należy użyć, gdy ważna jest integralność danych.
  • when Mode=EncryptAndSign — podpisuje i szyfruje komunikat

Rozważ wyłączenie szyfrowania i podpisywanie wiadomości tylko wtedy, gdy wystarczy zweryfikować integralność informacji bez obaw o poufność. Może to być przydatne w przypadku operacji lub kontraktów usług, w których trzeba zweryfikować oryginalnego nadawcę, ale nie są przesyłane żadne poufne dane. Podczas zmniejszania poziomu ochrony należy zachować ostrożność, że wiadomość nie zawiera żadnych danych osobowych.

• WYJAŚNIENIE: Nie uruchamiaj usług WCF w ramach konta administratora lub konta z wysokim poziomem uprawnień. w przypadku naruszenia zabezpieczeń usług będzie to miało duży wpływ.
• ZALECENIA: Użyj konta z najniższymi uprawnieniami, aby hostować usługę WCF, ponieważ zmniejszy ona obszar ataków aplikacji i zmniejszy potencjalne szkody w przypadku ataku. Jeśli konto usługi wymaga dodatkowych praw dostępu do zasobów infrastruktury, takich jak MSMQ, dziennik zdarzeń, liczniki wydajności i system plików, odpowiednie uprawnienia powinny zostać przyznane tym zasobom, aby usługa WCF mogła działać pomyślnie.

Jeśli Usługa musi uzyskać dostęp do określonych zasobów w imieniu oryginalnego obiektu wywołującego, użyj personifikacji i delegowania, aby przekazać tożsamość obiektu wywołującego do kontroli autoryzacji podrzędnej. W scenariuszu programistycznym użyj lokalnego konta usługi sieciowej, które jest specjalnym wbudowanym kontem z ograniczonymi uprawnieniami. W scenariuszu produkcyjnym utwórz niestandardowe konto usługi domeny z najniższymi uprawnieniami.