Rekommendationer för hotanalys
Gäller för denna checklista för Azure Well-Architected Framework Security:
| SE:02 | Upprätta en säkerhetsbaslinje som är anpassad efter efterlevnadskrav, branschstandarder och plattformsrekommendationer. Mät regelbundet din arbetsbelastningsarkitektur och dina åtgärder mot baslinjen för att upprätthålla eller förbättra din säkerhetsstatus över tid. |
|---|
Relaterad guide: Rekommendationer för att skydda en utvecklingslivscykel
En omfattande analys för att identifiera hot, attacker, sårbarheter och motåtgärder är avgörande under designfasen av en arbetsbelastning. Hotmodellering är en teknisk övning som omfattar att definiera säkerhetskrav, identifiera och minimera hot och verifiera dessa åtgärder. Du kan använda den här tekniken i valfritt skede av programutveckling eller produktion, men den är mest effektiv under designstegen för nya funktioner.
Den här guiden beskriver rekommendationerna för att modellera hot så att du snabbt kan identifiera säkerhetsluckor och utforma ditt säkerhetsskydd.
Definitioner
| Period | Definition |
|---|---|
| Livscykel för programvaruutveckling (SDLC) | En multistage, systematisk process för utveckling av programvarusystem. |
| STEG | En Microsoft-definierad taxonomi för kategorisering av typer av hot. |
| Hotmodellering | En process för att identifiera potentiella säkerhetsrisker i programmet och systemet, minimera risker och verifiera säkerhetskontroller. |
Viktiga designstrategier
Hotmodellering är en viktig process som en organisation bör integrera i sitt SDLC. Hotmodellering är inte bara en utvecklares uppgift. Det är ett delat ansvar mellan:
- Arbetsbelastningsteamet, som ansvarar för de tekniska aspekterna av systemet.
- Affärsintressenter, som förstår affärsresultaten och har ett egenintresse för säkerhet.
Det finns ofta en koppling mellan organisationsledning och tekniska team när det gäller affärskrav för kritiska arbetsbelastningar. Den här frånkopplingen kan leda till oönskade resultat, särskilt för säkerhetsinvesteringar.
När arbetsbelastningsteamet utför en hotmodelleringsövning bör den ta hänsyn till både affärs- och tekniska krav. Arbetsbelastningsteamet och affärsintressenter måste komma överens om säkerhetsspecifika behov för arbetsbelastningen så att de kan göra tillräckliga investeringar i motåtgärderna.
Säkerhetskrav fungerar som vägledning för hela processen för hotmodellering. För att göra det till en effektiv övning bör arbetsbelastningsteamet ha ett säkerhetstänk och tränas i verktyg för hotmodellering.
Förstå omfånget för övningen
En tydlig förståelse av omfånget är avgörande för effektiv hotmodellering. Det hjälper dig att fokusera insatser och resurser på de mest kritiska områdena. Den här strategin omfattar att definiera systemets gränser, inventera de tillgångar som behöver skyddas och förstå den investeringsnivå som krävs i säkerhetskontroller.
Samla in information om varje komponent
Ett arbetsbelastningsarkitekturdiagram är en startpunkt för att samla in information eftersom det ger en visuell representation av systemet. Diagrammet visar systemets tekniska dimensioner. Den visar till exempel användarflöden, hur data rör sig genom nätverket, känslighetsnivåer för data och informationstyper samt sökvägar för identitetsåtkomst.
Den här detaljerade analysen kan ofta ge insikter om potentiella sårbarheter i designen. Det är viktigt att förstå funktionerna i varje komponent och dess beroenden.
Utvärdera potentiella hot
Analysera varje komponent utifrån. Hur enkelt kan till exempel en angripare få åtkomst till känsliga data? Kan angripare få åtkomst till miljön i sidled och eventuellt komma åt eller till och med manipulera andra resurser? De här frågorna hjälper dig att förstå hur en angripare kan utnyttja arbetsbelastningstillgångar.
Klassificera hoten med hjälp av en branschmetodik
En metod för att klassificera hot är STRIDE, som Microsoft Security Development Lifecycle använder. Genom att klassificera hot kan du förstå arten av varje hot och använda lämpliga säkerhetskontroller.
Minimera hoten
Dokumentera alla identifierade hot. För varje hot definierar du säkerhetskontroller och svar på en attack om dessa kontroller misslyckas. Definiera en process och tidslinje som minimerar exponeringen för identifierade säkerhetsrisker i arbetsbelastningen, så att dessa sårbarheter inte kan lämnas oadresserade.
Använd metoden för att anta intrång . Det kan hjälpa dig att identifiera kontroller som behövs i designen för att minska risken om en primär säkerhetskontroll misslyckas. Utvärdera hur troligt det är att den primära kontrollen misslyckas. Vad är omfattningen av den potentiella organisationsrisken om den misslyckas? Hur effektiv är den kompenserande kontrollen? Baserat på utvärderingen tillämpar du djupgående skyddsåtgärder för att åtgärda eventuella fel i säkerhetskontroller.
Här är ett exempel:
| Ställ den här frågan | För att fastställa kontroller som... |
|---|---|
| Autentiseras anslutningar via Microsoft Entra-ID, TLS (Transport Layer Security) med ömsesidig autentisering eller något annat modernt säkerhetsprotokoll som säkerhetsteamet har godkänt: – Mellan användare och programmet? – Mellan programkomponenter och tjänster? |
Förhindra obehörig åtkomst till programkomponenter och data. |
| Begränsar du åtkomsten till endast konton som behöver skriva eller ändra data i programmet? | Förhindra obehörig datamanipulering eller ändring. |
| Loggas programaktiviteten och matas in i ett SIEM-system (säkerhetsinformation och händelsehantering) via Azure Monitor eller en liknande lösning? | Identifiera och undersöka attacker snabbt. |
| Är kritiska data skyddade med kryptering som säkerhetsteamet har godkänt? | Förhindra obehörig kopiering av vilande data. |
| Krypteras inkommande och utgående nätverkstrafik via TLS? | Förhindra obehörig kopiering av data under överföring. |
| Är programmet skyddat mot DDoS-attacker (Distributed Denial of Service) via tjänster som Azure DDoS Protection? | Identifiera attacker som är utformade för att överbelasta programmet så att det inte kan användas. |
| Lagrar programmet inloggningsuppgifter eller nycklar för att komma åt andra program, databaser eller tjänster? | Identifiera om ett angrepp kan använda ditt program för att attackera andra system. |
| Gör programkontrollerna att du kan uppfylla regelkraven? | Skydda användarnas privata data och undvik efterlevnadsböter. |
Spåra hotmodelleringsresultat
Vi rekommenderar starkt att du använder ett verktyg för hotmodellering. Verktyg kan automatisera processen för att identifiera hot och skapa en omfattande rapport över alla identifierade hot. Se till att förmedla resultaten till alla intresserade team.
Spåra resultaten som en del av arbetsbelastningsteamets kvarvarande uppgifter för att möjliggöra ansvarstagande i tid. Tilldela uppgifter till personer som ansvarar för att minimera en viss risk som hotmodellering har identifierat.
När du lägger till nya funktioner i lösningen uppdaterar du hotmodellen och integrerar den i kodhanteringsprocessen. Om du hittar ett säkerhetsproblem kontrollerar du att det finns en process för att sortera problemet baserat på allvarlighetsgrad. Processen bör hjälpa dig att avgöra när och hur du åtgärdar problemet (till exempel i nästa versionscykel eller i en snabbare version).
Granska regelbundet affärskritiska arbetsbelastningskrav
Träffa regelbundet chefssponsorer för att definiera krav. Dessa granskningar ger en möjlighet att anpassa förväntningarna och säkerställa driftsresursallokering till initiativet.
Azure-underlättande
Microsoft Security Development Lifecycle tillhandahåller ett verktyg för hotmodellering för att hjälpa till med hotmodelleringsprocessen. Det här verktyget är tillgängligt utan extra kostnad. Mer information finns på sidan Hotmodellering.
Exempel
Det här exemplet bygger på IT-miljön (Information Technology) som upprättas i säkerhetsbaslinjen (SE:01). Den här metoden ger en bred förståelse för hotlandskapet i olika IT-scenarier.
Utvecklingslivscykelpersonas. Det finns många personer som är involverade i en utvecklingslivscykel, inklusive utvecklare, testare, slutanvändare och administratörer. Alla kan komprometteras och utsätta din miljö för risker genom sårbarheter eller hot som skapats avsiktligt.
Potentiella angripare. Angripare anser att en mängd olika verktyg är tillgängliga som är enkla att använda när som helst för att utforska dina sårbarheter och starta en attack.
Säkerhetskontroller. Som en del av hotanalysen identifierar du Azure-säkerhetstjänster som ska användas för att skydda din lösning och hur effektiva dessa lösningar är.
Loggsamling. Loggar från Azure-resurser och vissa lokala komponenter kan skickas till Azure Log Analytics så att du kan förstå hur din lösning har utvecklats och försöka fånga upp de första säkerhetsriskerna.
Siem-lösning (Security Information Event Management). Microsoft Sentinel kan läggas till även i ett tidigt skede av lösningen så att du kan skapa vissa analysfrågor för att minimera hot och sårbarheter och förutse din säkerhetsmiljö när du är i produktion.
Microsoft Defender för molnet kan ge vissa säkerhetsrekommendationer för att förbättra säkerhetsstatusen.
Relaterade länkar
Community-länkar
Open Web Application Security Project (OWASP) har dokumenterat en hotmodelleringsmetod för program.
Säkerhetskontrollista
Se den fullständiga uppsättningen rekommendationer.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för