Biztonsági keret: Naplózás és naplózás | Enyhítése
Bizalmas entitások azonosítása a megoldásban és változásnaplózás implementálása
| Cím | Részletek |
|---|---|
| Összetevő | Dynamics CRM |
| SDL-fázis | Létrehozás |
| Alkalmazható technológiák | Általános |
| Attribútumok | N/A |
| Hivatkozások | N/A |
| Lépések | A megoldásban található, bizalmas adatokat tartalmazó entitások azonosítása és változásnaplózás megvalósítása ezen entitásokon és mezőkön |
Győződjön meg arról, hogy a naplózás és a naplózás kényszerítve van az alkalmazásban
| Cím | Részletek |
|---|---|
| Összetevő | Webalkalmazás |
| SDL-fázis | Létrehozás |
| Alkalmazható technológiák | Általános |
| Attribútumok | N/A |
| Hivatkozások | N/A |
| Lépések | Az összes összetevő naplózásának és naplózásának engedélyezése. Az auditnaplóknak rögzítenie kell a felhasználói környezetet. Azonosítsa az összes fontos eseményt, és naplózza ezeket az eseményeket. Központosított naplózás implementálása |
Győződjön meg arról, hogy a napló rotálása és elkülönítése érvényben van
| Cím | Részletek |
|---|---|
| Összetevő | Webalkalmazás |
| SDL-fázis | Létrehozás |
| Alkalmazható technológiák | Általános |
| Attribútumok | N/A |
| Hivatkozások | N/A |
| Lépések | A naplórotálás a rendszerfelügyeletben használt automatizált folyamat, amelyben a rendszer archiválja a dátummal rendelkező naplófájlokat. A nagy alkalmazásokat futtató kiszolgálók gyakran naplóznak minden kérést: a tömeges naplók esetében a naplórotációval korlátozhatja a naplók teljes méretét, miközben továbbra is lehetővé teszi a legutóbbi események elemzését. A naplóelválasztás alapvetően azt jelenti, hogy a naplófájlokat egy másik partíción kell tárolnia, mint ahol az operációs rendszer/alkalmazás fut, hogy elhárítsa a szolgáltatásmegtagadási támadást vagy az alkalmazás teljesítményének visszaminősítését |
Győződjön meg arról, hogy az alkalmazás nem naplózza a bizalmas felhasználói adatokat
| Cím | Részletek |
|---|---|
| Összetevő | Webalkalmazás |
| SDL-fázis | Létrehozás |
| Alkalmazható technológiák | Általános |
| Attribútumok | N/A |
| Hivatkozások | N/A |
| Lépések | Ellenőrizze, hogy nem naplózza-e a felhasználó által a webhelyére beküldött bizalmas adatokat. Ellenőrizze a szándékos naplózást, valamint a tervezési problémák által okozott mellékhatásokat. A bizalmas adatok például a következők:
|
Győződjön meg arról, hogy a naplózási és naplófájlok korlátozott hozzáféréssel rendelkeznek
| Cím | Részletek |
|---|---|
| Összetevő | Webalkalmazás |
| SDL-fázis | Létrehozás |
| Alkalmazható technológiák | Általános |
| Attribútumok | N/A |
| Hivatkozások | N/A |
| Lépések | Ellenőrizze, hogy a naplófájlok hozzáférési jogosultságai megfelelően vannak-e beállítva. Az alkalmazásfiókoknak írásvédett hozzáféréssel kell rendelkezniük, és az operátoroknak és a támogatási személyzetnek szükség szerint írásvédett hozzáféréssel kell rendelkezniük. A rendszergazdai fiókok az egyetlen olyan fiókok, amelyeknek teljes hozzáféréssel kell rendelkezniük. Ellenőrizze a Windows ACL-t a naplófájlokon, hogy azok megfelelően legyenek korlátozva:
|
Győződjön meg arról, hogy a felhasználókezelési események naplózva vannak
| Cím | Részletek |
|---|---|
| Összetevő | Webalkalmazás |
| SDL-fázis | Létrehozás |
| Alkalmazható technológiák | Általános |
| Attribútumok | N/A |
| Hivatkozások | N/A |
| Lépések | Győződjön meg arról, hogy az alkalmazás figyeli a felhasználókezelési eseményeket, például a sikeres és sikertelen felhasználói bejelentkezéseket, a jelszó-visszaállításokat, a jelszómódosításokat, a fiókzárolást, a felhasználói regisztrációt. Ez segít észlelni és reagálni a potenciálisan gyanús viselkedésre. Emellett lehetővé teszi a műveleti adatok gyűjtését is; például annak nyomon követéséhez, hogy ki fér hozzá az alkalmazáshoz |
Győződjön meg arról, hogy a rendszer beépített védelmet nyújt a visszaélések ellen
| Cím | Részletek |
|---|---|
| Összetevő | Webalkalmazás |
| SDL-fázis | Létrehozás |
| Alkalmazható technológiák | Általános |
| Attribútumok | N/A |
| Hivatkozások | N/A |
| Lépések | Olyan vezérlőket kell bevetni, amelyek kivételt képeznek az alkalmazás helytelen használata esetén. Ha például a bemeneti ellenőrzés folyamatban van, és egy támadó olyan rosszindulatú kódot próbál beszúrni, amely nem felel meg a regexnek, biztonsági kivételt lehet kibocsátani, amely a rendszer helytelen használatát jelezheti Javasoljuk például, hogy naplózza a biztonsági kivételeket, és hajtsa végre a következő problémákat:
|
Diagnosztikai naplózás engedélyezése webalkalmazásokhoz a Azure App Service
| Cím | Részletek |
|---|---|
| Összetevő | Webalkalmazás |
| SDL-fázis | Létrehozás |
| Alkalmazható technológiák | Általános |
| Attribútumok | EnvironmentType – Azure |
| Hivatkozások | N/A |
| Lépések | Az Azure beépített diagnosztikát biztosít egy App Service-webalkalmazás hibakereséséhez. Az API-alkalmazásokra és mobilalkalmazásokra is vonatkozik. App Service webalkalmazások diagnosztikai funkciókat biztosítanak a webkiszolgálóról és a webalkalmazásból származó adatok naplózásához. Ezek logikailag elkülönülnek a webkiszolgálók diagnosztikáitól és az alkalmazásdiagnosztikáktól |
Győződjön meg arról, hogy a bejelentkezési naplózás engedélyezve van a SQL Server
| Cím | Részletek |
|---|---|
| Összetevő | Adatbázis |
| SDL-fázis | Létrehozás |
| Alkalmazható technológiák | Általános |
| Attribútumok | N/A |
| Hivatkozások | Bejelentkezési naplózás konfigurálása |
| Lépések | Az adatbázis-kiszolgáló bejelentkezési naplózását engedélyezni kell a jelszó-találgatásos támadások észleléséhez/megerősítéséhez. Fontos rögzíteni a sikertelen bejelentkezési kísérleteket. A sikeres és a sikertelen bejelentkezési kísérletek rögzítése további előnyökkel jár a kriminalisztikai vizsgálatok során |
Fenyegetésészlelés engedélyezése Azure SQL
| Cím | Részletek |
|---|---|
| Összetevő | Adatbázis |
| SDL-fázis | Létrehozás |
| Alkalmazható technológiák | SQL Azure |
| Attribútumok | SQL-verzió – V12 |
| Hivatkozások | A fenyegetésészlelés SQL Database – első lépések |
| Lépések | A fenyegetésészlelés rendellenes adatbázis-tevékenységeket észlel, amelyek az adatbázis potenciális biztonsági fenyegetéseit jelzik. Ez egy új biztonsági réteget biztosít, amely lehetővé teszi az ügyfelek számára, hogy észleljék és reagáljanak a potenciális fenyegetésekre a rendellenes tevékenységekre vonatkozó biztonsági riasztások biztosításával. A felhasználók az adatbázis-naplózás Azure SQL segítségével vizsgálhatják meg a gyanús eseményeket, és megállapíthatják, hogy az adatbázis adatainak elérésére, megsértésére vagy kihasználására tett kísérletből erednek-e. A fenyegetésészlelés egyszerűvé teszi az adatbázis potenciális fenyegetéseinek kezelését anélkül, hogy biztonsági szakértőnek kellene lennie, vagy fejlett biztonsági monitorozási rendszereket kellene kezelnie |
Az Azure Storage hozzáférésének naplózása az Azure Storage Analytics használatával
| Cím | Részletek |
|---|---|
| Összetevő | Azure Storage |
| SDL-fázis | Üzembe helyezés |
| Alkalmazható technológiák | Általános |
| Attribútumok | N/A |
| Hivatkozások | A Storage Analytics használata az engedélyezési típus figyeléséhez |
| Lépések | Az egyes tárfiókok esetében engedélyezheti az Azure Storage Analytics számára a naplózást és a metrikaadatok tárolását. A tárolóelemzési naplók olyan fontos információkat tartalmaznak, mint például a tárterület elérésekor használt hitelesítési módszer. Ez nagyon hasznos lehet, ha szigorúan őrzi a tárterülethez való hozzáférést. A Blob Storage-ban például beállíthatja az összes tárolót privátra, és implementálhatja egy SAS-szolgáltatás használatát az alkalmazásokban. Ezután rendszeresen ellenőrizheti a naplókat, és ellenőrizheti, hogy a blobok a tárfiókkulcsok használatával érhetők-e el, ami a biztonság megsértésére utalhat, vagy hogy a blobok nyilvánosak-e, de nem szabad. |
Megfelelő naplózás implementálása
| Cím | Részletek |
|---|---|
| Összetevő | WCF |
| SDL-fázis | Létrehozás |
| Alkalmazható technológiák | .NET-keretrendszer |
| Attribútumok | N/A |
| Hivatkozások | MSDN, Fortify Kingdom |
| Lépések | A biztonsági incidens utáni megfelelő auditnapló hiánya akadályozhatja a kriminalisztikai erőfeszítéseket. A Windows Communication Foundation (WCF) lehetővé teszi a sikeres és/vagy sikertelen hitelesítési kísérletek naplózását. A sikertelen hitelesítési kísérletek naplózása figyelmeztetheti a rendszergazdákat a lehetséges találgatásos támadásokra. Hasonlóképpen, a sikeres hitelesítési események naplózása hasznos naplózási naplót nyújthat, ha egy megbízható fiók biztonsága sérül. A WCF szolgáltatásbiztonsági naplózási funkciójának engedélyezése |
Példa
Az alábbiakban egy példakonfiguráció látható, amelyen engedélyezve van a naplózás
<system.serviceModel>
<behaviors>
<serviceBehaviors>
<behavior name=""NewBehavior"">
<serviceSecurityAudit auditLogLocation=""Default""
suppressAuditFailure=""false""
serviceAuthorizationAuditLevel=""SuccessAndFailure""
messageAuthenticationAuditLevel=""SuccessAndFailure"" />
...
</behavior>
</servicebehaviors>
</behaviors>
</system.serviceModel>
Megfelelő naplózási hibakezelés implementálása
| Cím | Részletek |
|---|---|
| Összetevő | WCF |
| SDL-fázis | Létrehozás |
| Alkalmazható technológiák | .NET-keretrendszer |
| Attribútumok | N/A |
| Hivatkozások | MSDN, Fortify Kingdom |
| Lépések | A kifejlesztett megoldás úgy van konfigurálva, hogy ne hozzon létre kivételt, ha nem tud naplóba írni. Ha a WCF úgy van konfigurálva, hogy ne adjon kivételt, amikor nem tud naplóba írni, a program nem kap értesítést a hibáról, és előfordulhat, hogy a kritikus biztonsági események naplózása nem történik meg. |
Példa
Az <behavior/> alábbi WCF konfigurációs fájl eleme arra utasítja a WCF-et, hogy ne értesítse az alkalmazást, ha a WCF nem tud naplóba írni.
<behaviors>
<serviceBehaviors>
<behavior name="NewBehavior">
<serviceSecurityAudit auditLogLocation="Application"
suppressAuditFailure="true"
serviceAuthorizationAuditLevel="Success"
messageAuthenticationAuditLevel="Success" />
</behavior>
</serviceBehaviors>
</behaviors>
Konfigurálja a WCF-et, hogy értesítse a programot, ha nem tud naplóba írni. A programnak alternatív értesítési sémával kell rendelkeznie, amely figyelmezteti a szervezetet, hogy a naplókat nem tartják karban.
Győződjön meg arról, hogy a naplózás és a naplózás kényszerítve van a webes API-n
| Cím | Részletek |
|---|---|
| Összetevő | Webes API |
| SDL-fázis | Létrehozás |
| Alkalmazható technológiák | Általános |
| Attribútumok | N/A |
| Hivatkozások | N/A |
| Lépések | A webes API-k naplózásának és naplózásának engedélyezése. Az auditnaplóknak rögzítenie kell a felhasználói környezetet. Azonosítsa az összes fontos eseményt, és naplózza ezeket az eseményeket. Központosított naplózás implementálása |
Győződjön meg arról, hogy a megfelelő naplózás és naplózás kényszerítve van a Field Gatewayen
| Cím | Részletek |
|---|---|
| Összetevő | IoT-mezőátjáró |
| SDL-fázis | Létrehozás |
| Alkalmazható technológiák | Általános |
| Attribútumok | N/A |
| Hivatkozások | N/A |
| Lépések | Ha több eszköz csatlakozik egy mezőátjáróhoz, győződjön meg arról, hogy az egyes eszközök csatlakozási kísérletei és hitelesítési állapota (sikeres vagy sikertelen) naplózása és karbantartása a mezőátjárón történik. Azokban az esetekben is, amikor a Field Gateway az egyes eszközök IoT Hub hitelesítő adatait tartja fenn, győződjön meg arról, hogy a naplózás a hitelesítő adatok lekérésekor történik. Dolgozzon ki egy folyamatot, amely rendszeres időközönként feltölti a naplókat Azure IoT Hub/tárolóba a hosszú távú megőrzés érdekében. |
Győződjön meg arról, hogy a megfelelő naplózás és naplózás kényszerítve van a Cloud Gatewayen
| Cím | Részletek |
|---|---|
| Összetevő | IoT Cloud Gateway |
| SDL-fázis | Létrehozás |
| Alkalmazható technológiák | Általános |
| Attribútumok | N/A |
| Hivatkozások | A IoT Hub műveletek monitorozásának bemutatása |
| Lépések | Tervezés az IoT Hub Operations Monitoring használatával gyűjtött auditadatok gyűjtésére és tárolására. Engedélyezze a következő figyelési kategóriákat:
|
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: