다음을 통해 공유


샘플 TMA: HTTP 및 SOAP 어댑터

이 항목에서는 HTTP 및 SOAP(웹 서비스) 어댑터 시나리오의 샘플 아키텍처에 대한 TMA(위협 모델 분석)를 제공합니다. 다음 그림은 HTTP 및 SOAP 어댑터 시나리오의 샘플 아키텍처를 보여 줍니다.

그림 1 HTTP/SOAP 어댑터 시나리오의 샘플 아키텍처

HTTP 또는 SOAP 어댑터 TDI_Sec_RefArch_HTTP 대한 샘플 아키텍처

1단계: 백그라운드 정보 수집(HTTP 및 SOAP 어댑터 시나리오)

이 섹션에서는 HTTP 및 SOAP(웹 서비스) 어댑터 시나리오의 샘플 아키텍처에 대한 DFD(데이터 흐름 다이어그램)를 제공합니다.

다른 모든 배경 정보는 모든 사용 시나리오에서 동일하며 샘플 시나리오에 대한 배경 정보에서 이전에 설명했습니다.

데이터 흐름 다이어그램

다음 그림은 HTTP 및 SOAP(웹 서비스) 어댑터 사용 시 샘플 아키텍처의 DFD를 보여 줍니다.

그림 2 HTTP/SOAP 어댑터 시나리오의 샘플 아키텍처에 대한 DFD

샘플 아키텍처 TDI_Sec_RefArch_DFD_HTTP 대한 DFD

데이터 흐름은 다음과 같습니다.

  1. 파트너 또는 고객이 HTTP, HTTPS 또는 웹 서비스를 통해 보내는 메시지가 방화벽 1의 IP 주소로 라우팅됩니다.

  2. 방화벽 1에서 역방향 프록시를 사용하여 방화벽 2를 통해 메시지를 릴레이합니다.

  3. 방화벽 2에서 HTTP 또는 SOAP 수신 어댑터에 대해 Isolated 호스트 인스턴스를 실행하는 BizTalk Server로 메시지를 라우팅합니다. 그러면 Isolated 호스트가 메시지를 처리하여 MessageBox 데이터베이스에 넣습니다.

  4. 메시지가 등록되어 있는 처리 호스트 인스턴스가 MessageBox 데이터베이스에서 해당 메시지를 선택하고 추가 처리를 수행한 후 MessageBox 데이터베이스에 다시 넣습니다.

  5. HTTP 또는 SOAP 송신 어댑터가 있는 Isolated 호스트 인스턴스가 MessageBox 데이터베이스에서 메시지를 선택합니다. 이 메시지는 송신 파이프라인에서 최종 처리를 거친 다음 파트너 또는 고객에게 다시 보내집니다.

  6. 메시지를 파트너 또는 고객에게 보낼 때 역방향 프록시를 사용하여 방화벽 1과 2를 통해 라우팅됩니다.

2단계. 위협 모델 만들기 및 분석(HTTP 및 SOAP 어댑터 시나리오)

이 섹션에서는 HTTP 및 SOAP(웹 서비스) 어댑터 시나리오의 샘플 아키텍처에 대해 수행한 TMA 결과를 제공합니다.

  • 진입점, 신뢰 경계 및 데이터 흐름 식별 - 1단계의 앞부분에서 설명한 배경 정보 및 샘플 시나리오에 대한 배경 정보를 참조하세요.

  • 식별된 위협 목록 만들기 - 시나리오에 대한 잠재적 위협을 식별하기 위해 DFD의 모든 항목에 대해 다음 분류를 사용했습니다. Spoofing identify, 데이터로 앰퍼링, R사용, I형식 공개, 서비스의 Denial 및 E권한 부과. 다음 표는 HTTP 및 SOAP 어댑터를 사용하여 BizTalk Server와 메시지를 보내고 받을 때 식별한 위협을 보여 줍니다.

    표 1 위협 목록

위협 설명 자산 영향
무한 크기의 메시지 보내기 악의적인 사용자가 무한 크기의 메시지를 보낼 수 있습니다. BizTalk Server 환경 서비스 거부
수신 위치로 많은 메시지 전송 악의적인 사용자가 유효하거나 유효하지 않은 많은 메시지를 보내 응용 프로그램 장애를 일으킬 수 있습니다. BizTalk Server 환경 서비스 거부
HTTP를 통해 메시지 본문 읽기 보낸 사람이 보낸 메시지가 방화벽 1로 이동할 때 악의적인 사용자가 메시지를 가로채 읽을 수 있습니다. 메시지 페이로드 정보 공개
메시지에서 사용자 자격 증명 읽기 기본 인증을 사용하는 경우 메시지에 사용자 자격 증명이 포함되어 있으면 악의적인 사용자가 자격 증명 액세스 권한을 얻어 해당 자격 증명을 사용해 응용 프로그램에 액세스할 수 있습니다. 사용자 자격 증명 정보 공개

권한 상승

3단계. 위협 검토(HTTP 및 SOAP 어댑터 시나리오)

이 섹션에서는 HTTP 및 SOAP(웹 서비스) 어댑터 시나리오의 샘플 아키텍처에서 식별한 위협에 대한 위험 분석 결과를 제공합니다. 기본 위협 모델 모임이 끝난 후 위협을 검토하고 영향 범주를 사용하여 각 위협에 대한 위험을 식별했습니다. D아메지 잠재력, R재현성, Exploitability,ffected users 및 Discoverability.

다음 표는 HTTP 및 SOAP 어댑터를 사용하여 BizTalk Server와 메시지를 보내고 받을 때 식별한 위협의 위험 등급을 나열합니다.

표 2 위협의 위험 등급

위협 영향 잠재적 손상 재현 가능성 악용 가능성 영향을 받는 사용자 검색 기능 위험 노출
무한 크기의 메시지 보내기 서비스 거부 2 3 2 3 2 2.4
수신 위치로 많은 메시지 전송 서비스 거부 3 3 1 3 3 2.6
HTTP를 통해 메시지 본문 읽기 정보 공개 3 3 2 3 3 2.8
메시지에서 사용자 자격 증명 읽기 정보 공개

권한 상승
3 3 2 3 2 2.6

4단계. 완화 기술 식별(HTTP 및 SOAP 어댑터 시나리오)

이 섹션에서는 HTTP 및 SOAP(웹 서비스) 어댑터 시나리오의 샘플 아키텍처에서 식별한 위협에 대한 몇 가지 완화 방법을 제공합니다.

다음 표는 HTTP 및 SOAP 어댑터를 사용하여 BizTalk Server와 메시지를 보내고 받을 때 식별한 위협에 대한 완화 방법 및 기술을 나열합니다.

표 3 완화 방법 및 기술

위협 영향 위험 노출 완화 방법 및 기술
무한 크기의 메시지 보내기 서비스 거부 2.4 URL당 들어오는 메시지의 최대 크기를 제한하고 이 최대 크기를 초과하는 메시지를 거부합니다.

자세한 내용은 서비스 거부 공격 완화를 참조하세요.
수신 위치로 많은 메시지 전송 서비스 거부 2.6 SOAP 어댑터는 HTTP를 사용하여 BizTalk Server와 메시지를 보내고 받습니다. 따라서 IIS(인터넷 정보 서비스)의 보안을 유지하려면 보안 권장 사항을 따라야 합니다. IIS를 사용하는 경우에는 응용 프로그램 격리 구성 방법에 대한 IIS 권장 사항을 따르십시오.

자세한 내용은 IIS 아키텍처 소개를 참조하세요.

클라이언트 인증 및 party resolution 기능을 사용하여 처리되는 메시지 수를 유효하며 권한이 부여된 메시지만으로 제한합니다.
HTTP를 통해 메시지 본문 읽기 정보 공개 2.8 S/MIME을 사용하여 BizTalk Server와 보내고 받는 메시지 콘텐츠를 보호하는 것이 좋습니다.

SSL(Secure Sockets Layer)을 사용하여 작업 환경에 분산되어 있는 BizTalk Server 구성 요소 간의 데이터 전송 및 BizTalk Server와의 데이터 전송을 보호하는 것이 좋습니다.
메시지에서 사용자 자격 증명 읽기 정보 공개

권한 상승
2.6 기본 인증을 사용하거나 메시지 수준에서 암호화를 사용하지 않는 경우에는 권한 없는 사람이 사용자 자격 증명을 읽을 수 없도록 수신 메시지와 송신 메시지 모두에 대해 SSL을 사용하는 것이 좋습니다.

참고 항목

위협 모델 분석
위협 모델 분석 샘플 시나리오
중소기업을 위한 샘플 아키텍처