1. krok – návrh
Fáze návrhu je výchozím bodem činností spojených s modelováním hrozeb. Shromážděte co nejvíce dat o tom, co vytváříte a co používáte k jejich sestavení.
Cíle
- Vytvoření jasného obrázku o funkci systému
- Vytvoření seznamu všech služeb používaných systémem
- Vyjmenování všech předpokladů týkajících se prostředí a výchozí konfigurace zabezpečení
- Vytvoření diagramu toku dat, který používá správnou úroveň hloubky kontextu
Důležité
Pokud tuto fázi nedokončíte, můžete přehlédnout důležité aspekty návrhu zabezpečení pro váš systém, které můžou ohrozit vaše zákazníky.
Otázky k vašemu systému
Položte si co nejvíce otázek ohledně vašeho systému. Tady jsou příklady otázek:
| Plocha | Otázky |
|---|---|
| Popis systému | Co dělá systém? Jaké obchodní procesy služba zajišťuje? Jsou jasně definované? |
| Prostředí systému | Bude systém postaven na cloudu nebo v místním prostředí? Ve kterém operačním systému je sestaven? Používá kontejnery? Představuje systém aplikaci, službu nebo něco úplně jiného? |
| Scénáře | Jak se bude systém používat? Jak se nebude používat? |
| Oprávnění | Má systém požadavky na spouštění skriptů, data nebo hardwarové přístupy? Pokud ano, které to jsou? |
| Poskytovatel cloudu | Který poskytovatel cloudu používá systém? Jaké výchozí možnosti konfigurace zabezpečení nabízí poskytovatel? Jak tyto možnosti ovlivňují požadavky na zabezpečení systému? |
| Operační systém | Jaký operační systém bude systém používat? Jaké výchozí možnosti konfigurace zabezpečení nabízí operační systém? Jak tyto možnosti ovlivňují požadavky na zabezpečení systému? |
| Vlastní služby a služby třetích stran | Jaké vlastní služby a služby třetích stran bude systém používat? Jaké tyto služby nabízejí výchozí možnosti konfigurace zabezpečení? Jak tyto možnosti ovlivňují požadavky na zabezpečení systému? |
| Obchodní vztahy | Jaké typy účtů systém používá, jako jsou uživatelé a správci? Jsou tyto účty místní nebo cloudové? Jaký přístup potřebují a proč? |
| Správa identit a přístupu | Jak systém pomáhá zabezpečit tyto účty? Spoléhá na Microsoft Entra ID? Používá funkce, jako jsou seznamy řízení přístupu (ACL), vícefaktorové ověřování (MFA) a řízení relací? |
| Tokeny a relace | Bude systém zpracovávat požadavky, jako je protokol SOAP nebo rozhraní REST API? Jak zpracovává různé relace? |
| Použití alternativní metody | Bude systém používat nebo vyžadovat zadní dveře? Pokud ano, jak to obejití funguje? |
| Přihlašování, monitorování a zálohování | Jaké mechanismy systém používá k protokolování událostí zabezpečení, monitorování anomálií a zálohování systémových dat? Které typy událostí zachytává? |
| Síť | Jaké systémy se budou používat ke zjišťování vniknutí a k ochraně? Jak je komunikace šifrovaná? |
| Data | Jaký typ dat systém vytvoří nebo zpracuje? Jaké budou typy klasifikovaných dat? Jak systém důvěřuje zdrojům dat? Jak parsuje data? Jaké jsou očekávané chování vstupu a výstupu? Jak se zpracovává ověřování? Jak se data šifrují ve všech státech? |
| Správa tajných kódů | Jak systém zpracovává klíče, certifikáty a přihlašovací údaje? |
Důležité
Tento seznam je rozsáhlý, ale není vyčerpávající. Pokud chcete zachytit všechny důležité souvislosti týkající se systému, promluvte si se svými spolupracovníky a bezpečnostním týmem.
Poznámka:
Pokud máte vyhrazený bezpečnostní tým, naplánujte s nimi relaci tabulí, aby prošla počátečním návrhem. Tento kontakt vám může ušetřit značné množství času.
Vytvoření diagramu toku dat
Použijte odpovědi k vytvoření diagramu toku dat. Diagram znázorňuje data v jednotlivých fázích životního cyklu dat a zahrnuje změny v zónách důvěryhodnosti. Příkladem může být:
- Uživatelé, kteří se přihlašují k webové aplikaci hostované v Azure pro přístup k datům
- Správa istrátory mění výchozí konfigurace zabezpečení pro elastické prostředky používané webovou aplikací.
- Automatizované denní skripty monitorují protokoly aktivit pro webovou aplikaci a upozorňují správce na případné anomálie.
Technické týmy Microsoftu odesílají diagramy toku dat jako součást požadavků na dodržování předpisů zabezpečení. Tyto diagramy usnadňují vedení rozhovorů o zabezpečení.
Nástroje pro diagramy
Technici Microsoftu doporučují použít jeden ze dvou nástrojů, které jsou dnes k dispozici:
- Threat Modeling Tool
- Visio
Prvky diagramu
Diagram toku dat znázorňuje tok dat v daném systému. Diagram obvykle začíná požadavky uživatelů nebo datových úložišť a končí těmito úložišti nebo analytickými službami. Diagram toku dat používá zvláštní obrazce, které znázorňují jednotlivé prvky.
| Element (Prvek) | Tvar | Definice |
|---|---|---|
| Zpracovat | 
|
Úloha, která přijímá, mění nebo přesměrovává vstup na výstup, například webová služba. |
| Úložiště dat | 
|
Trvalé nebo dočasné úložiště dat, třeba webová mezipaměť nebo databáze spravované v Azure. |
| Externí entita | 
|
Úloha, entita nebo úložiště dat mimo vaši přímou kontrolu, třeba uživatelé nebo rozhraní API třetích stran. |
| Tok dat | 
|
Přesun dat mezi procesy, úložišti dat nebo externími entitami, třeba připojovací řetězce nebo datové části. |
| Hranice důvěryhodnosti |  
|
Zóna důvěryhodnosti se mění při průchodu dat systémem, jako jsou uživatelé používající internet pro přístup k zabezpečené podnikové síti. |
Prvky diagramu toku dat také potřebují kontext, aby ostatní rozuměli způsobu jejich použití a zabezpečení v systému.
Informace k zahrnutí v diagramu toku dat
Množství informací, které můžete zahrnout do diagramu toku dat, závisí na několika důležitých faktorech:
| Faktor | Vysvětlení |
|---|---|
| Typ vytvářeného systému | Systémy, které nezpracují citlivá data nebo se používají jenom interně, nemusí potřebovat tolik kontextu jako externě orientovaný systém. |
| Požadovaný kontext získaný od bezpečnostního týmu | Bezpečnostní týmy přesně ví, co v modelech hrozeb hledat. Bezpečnostní tým by vám měl potvrdit požadovanou hloubku modelu. |
Pokud neuvedete správný kontext, povede to k neúplným bezpečnostním prvkům, což může ohrozit systémy.
Vrstvy diagramu
Abyste si udělali představu, kolik informací uvést, zvolte některou ze čtyř úrovní hloubky kontextu:
| Hloubka vyjádřená vrstvou | Titulek | Popis |
|---|---|---|
| 0 | Systémová | Výchozí bod libovolného systému. Diagram toku dat obsahuje hlavní části systému a dostatečný kontext, který umožňuje pochopit, jak jednotlivé části fungují a vzájemně spolupracují. |
| 0 | Zpracovat | Zaměřte se na diagramy toku dat pro každou část systému pomocí dalších diagramů toku dat. Tuto vrstvu použijte pro každý systém, zejména pokud zpracovává citlivá data. Kontext v této vrstvě vám pomůže identifikovat hrozby a způsoby, jak efektivněji omezit nebo eliminovat rizika. |
| 2 | Podproces | V diagramu toku dat se zaměřte na každou dílčí část, která je částí systému. Používá se pro systémy považované za kritické. K příkladům patří systémy zabezpečených prostředí, systémy zpracovávající vysoce citlivá data nebo systémy obsahující data hodnocená jako vysoce riziková. |
| 3 | Nižší úroveň | Zaměřte se na nejkritičtější systémy a systémy na úrovni jádra. Diagramy toku dat popisují každý podproces s podrobností na minuty. |
Poznámka:
Většina diagramů toku dat by měla obsahovat vrstvy úrovně 0 a úrovně 1. Bezpečnostní tým by vám měl potvrdit požadovanou hloubku.