1. krok – návrh
Fáze návrhu je výchozím bodem činností spojených s modelováním hrozeb. Shromážděte co nejvíce dat o tom, co vytváříte a co používáte k jejich sestavení.
Cíle
- Vytvoření jasného obrázku o funkci systému
- Vytvoření seznamu všech služeb používaných systémem
- Vyjmenování všech předpokladů týkajících se prostředí a výchozí konfigurace zabezpečení
- Vytvoření diagramu toku dat, který používá správnou úroveň hloubky kontextu
Důležité
Pokud tuto fázi nedokončíte, můžete přehlédnout důležité aspekty návrhu zabezpečení pro váš systém, které můžou ohrozit vaše zákazníky.
Otázky k vašemu systému
Položte si co nejvíce otázek ohledně vašeho systému. Tady jsou příklady otázek:
Plocha | Otázky |
---|---|
Popis systému | Co dělá systém? Jaké obchodní procesy služba zajišťuje? Jsou jasně definované? |
Prostředí systému | Bude systém postaven na cloudu nebo v místním prostředí? Ve kterém operačním systému je sestaven? Používá kontejnery? Představuje systém aplikaci, službu nebo něco úplně jiného? |
Scénáře | Jak se bude systém používat? Jak se nebude používat? |
Oprávnění | Má systém požadavky na spouštění skriptů, data nebo hardwarové přístupy? Pokud ano, které to jsou? |
Poskytovatel cloudu | Který poskytovatel cloudu používá systém? Jaké výchozí možnosti konfigurace zabezpečení nabízí poskytovatel? Jak tyto možnosti ovlivňují požadavky na zabezpečení systému? |
Operační systém | Jaký operační systém bude systém používat? Jaké výchozí možnosti konfigurace zabezpečení nabízí operační systém? Jak tyto možnosti ovlivňují požadavky na zabezpečení systému? |
Vlastní služby a služby třetích stran | Jaké vlastní služby a služby třetích stran bude systém používat? Jaké tyto služby nabízejí výchozí možnosti konfigurace zabezpečení? Jak tyto možnosti ovlivňují požadavky na zabezpečení systému? |
Obchodní vztahy | Jaké typy účtů systém používá, jako jsou uživatelé a správci? Jsou tyto účty místní nebo cloudové? Jaký přístup potřebují a proč? |
Správa identit a přístupu | Jak systém pomáhá zabezpečit tyto účty? Spoléhá na Microsoft Entra ID? Používá funkce, jako jsou seznamy řízení přístupu (ACL), vícefaktorové ověřování (MFA) a řízení relací? |
Tokeny a relace | Bude systém zpracovávat požadavky, jako je protokol SOAP nebo rozhraní REST API? Jak zpracovává různé relace? |
Použití alternativní metody | Bude systém používat nebo vyžadovat zadní dveře? Pokud ano, jak to obejití funguje? |
Přihlašování, monitorování a zálohování | Jaké mechanismy systém používá k protokolování událostí zabezpečení, monitorování anomálií a zálohování systémových dat? Které typy událostí zachytává? |
Síť | Jaké systémy se budou používat ke zjišťování vniknutí a k ochraně? Jak je komunikace šifrovaná? |
Data | Jaký typ dat systém vytvoří nebo zpracuje? Jaké budou typy klasifikovaných dat? Jak systém důvěřuje zdrojům dat? Jak parsuje data? Jaké jsou očekávané chování vstupu a výstupu? Jak se zpracovává ověřování? Jak se data šifrují ve všech státech? |
Správa tajných kódů | Jak systém zpracovává klíče, certifikáty a přihlašovací údaje? |
Důležité
Tento seznam je rozsáhlý, ale není vyčerpávající. Pokud chcete zachytit všechny důležité souvislosti týkající se systému, promluvte si se svými spolupracovníky a bezpečnostním týmem.
Poznámka:
Pokud máte vyhrazený bezpečnostní tým, naplánujte s nimi relaci tabulí, aby prošla počátečním návrhem. Tento kontakt vám může ušetřit značné množství času.
Vytvoření diagramu toku dat
Použijte odpovědi k vytvoření diagramu toku dat. Diagram znázorňuje data v jednotlivých fázích životního cyklu dat a zahrnuje změny v zónách důvěryhodnosti. Příkladem může být:
- Uživatelé, kteří se přihlašují k webové aplikaci hostované v Azure pro přístup k datům
- Správa istrátory mění výchozí konfigurace zabezpečení pro elastické prostředky používané webovou aplikací.
- Automatizované denní skripty monitorují protokoly aktivit pro webovou aplikaci a upozorňují správce na případné anomálie.
Technické týmy Microsoftu odesílají diagramy toku dat jako součást požadavků na dodržování předpisů zabezpečení. Tyto diagramy usnadňují vedení rozhovorů o zabezpečení.
Nástroje pro diagramy
Technici Microsoftu doporučují použít jeden ze dvou nástrojů, které jsou dnes k dispozici:
- Threat Modeling Tool
- Visio
Prvky diagramu
Diagram toku dat znázorňuje tok dat v daném systému. Diagram obvykle začíná požadavky uživatelů nebo datových úložišť a končí těmito úložišti nebo analytickými službami. Diagram toku dat používá zvláštní obrazce, které znázorňují jednotlivé prvky.
Element (Prvek) | Tvar | Definice |
---|---|---|
Zpracovat | Úloha, která přijímá, mění nebo přesměrovává vstup na výstup, například webová služba. | |
Úložiště dat | Trvalé nebo dočasné úložiště dat, třeba webová mezipaměť nebo databáze spravované v Azure. | |
Externí entita | Úloha, entita nebo úložiště dat mimo vaši přímou kontrolu, třeba uživatelé nebo rozhraní API třetích stran. | |
Tok dat | Přesun dat mezi procesy, úložišti dat nebo externími entitami, třeba připojovací řetězce nebo datové části. | |
Hranice důvěryhodnosti | Zóna důvěryhodnosti se mění při průchodu dat systémem, jako jsou uživatelé používající internet pro přístup k zabezpečené podnikové síti. |
Prvky diagramu toku dat také potřebují kontext, aby ostatní rozuměli způsobu jejich použití a zabezpečení v systému.
Informace k zahrnutí v diagramu toku dat
Množství informací, které můžete zahrnout do diagramu toku dat, závisí na několika důležitých faktorech:
Faktor | Vysvětlení |
---|---|
Typ vytvářeného systému | Systémy, které nezpracují citlivá data nebo se používají jenom interně, nemusí potřebovat tolik kontextu jako externě orientovaný systém. |
Požadovaný kontext získaný od bezpečnostního týmu | Bezpečnostní týmy přesně ví, co v modelech hrozeb hledat. Bezpečnostní tým by vám měl potvrdit požadovanou hloubku modelu. |
Pokud neuvedete správný kontext, povede to k neúplným bezpečnostním prvkům, což může ohrozit systémy.
Vrstvy diagramu
Abyste si udělali představu, kolik informací uvést, zvolte některou ze čtyř úrovní hloubky kontextu:
Hloubka vyjádřená vrstvou | Titulek | Popis |
---|---|---|
0 | Systémová | Výchozí bod libovolného systému. Diagram toku dat obsahuje hlavní části systému a dostatečný kontext, který umožňuje pochopit, jak jednotlivé části fungují a vzájemně spolupracují. |
0 | Zpracovat | Zaměřte se na diagramy toku dat pro každou část systému pomocí dalších diagramů toku dat. Tuto vrstvu použijte pro každý systém, zejména pokud zpracovává citlivá data. Kontext v této vrstvě vám pomůže identifikovat hrozby a způsoby, jak efektivněji omezit nebo eliminovat rizika. |
2 | Podproces | V diagramu toku dat se zaměřte na každou dílčí část, která je částí systému. Používá se pro systémy považované za kritické. K příkladům patří systémy zabezpečených prostředí, systémy zpracovávající vysoce citlivá data nebo systémy obsahující data hodnocená jako vysoce riziková. |
3 | Nižší úroveň | Zaměřte se na nejkritičtější systémy a systémy na úrovni jádra. Diagramy toku dat popisují každý podproces s podrobností na minuty. |
Poznámka:
Většina diagramů toku dat by měla obsahovat vrstvy úrovně 0 a úrovně 1. Bezpečnostní tým by vám měl potvrdit požadovanou hloubku.