保護完整性的設計
 防止設計、實作、作業和資料損毀,以避免因中斷而導致系統無法提供預定的功用,或導致其運作超出指定的限制。 此系統應該在整個工作負載生命週期中提供資訊保證。 |
|---|
關鍵是實作控制項,以防止商業邏輯、流程、部署程序、資料,甚至是較低的堆疊元件遭到竄改,例如作業系統和開機順序。 缺乏完整性可能會引發弱點,導致機密性和可用性缺口。
範例案例
Contoso Paint Systems 為工業噴漆機建立蒸汽感應和通風控制系統。 此系統也會用來自動擷取空氣品質資料,以用於環境影響報告目的。 他們擁有雲端式應用程式,可支援其分散在各個繪畫間的 IoT 裝置。 此應用程式的內部部署元件會在 Azure Stack HCI 和自訂 IoT 裝置上執行。 此系統還處於早期原型階段,而工作負載團隊計劃在一年內發行生產版本。
保護供應鏈
持續防範弱點,並偵測供應鏈中的弱點,以防止攻擊者將軟體錯誤插入基礎結構、組建系統、工具、程式庫和其他相依性。 在組建時間和執行階段期間應掃描弱點
了解軟體的來源,而在整個生命週期中驗證其真實性將提供可預測性。 您將事先掌握弱點,以便主動補救弱點,並確保系統在生產環境中的安全。
Contoso 的挑戰
- 工程團隊正在實作其組建和發行管線,但尚未處理組建系統的完整性。
- 他們選擇在韌體和雲端元件中使用一些開放原始碼解決方案。
- 他們聽說供應鏈如何受損或惡意內部人員如何損毀程式碼,然後可用來中斷系統,甚至是將資料外流。 如果客戶的環境報告受到這類影響,導致無法報告或在稽核中發現不實陳述,則對 Contoso 及其客戶的影響可能是非常嚴重的。
套用方法和結果
- 團隊會針對韌體和後端雲端系統修改其組建程序,並立即納入安全性掃描步驟,以警示相依性中的已知常見弱點和暴露風險 (CVE)。 此外,他們現在也納入程式碼和套件的惡意程式碼掃描。
- 他們也研究在 Azure Stack HCI 上執行的反惡意程式碼軟體選項,例如 Windows Defender 應用程式控制。
- 這些措施有助於增加信心,作為此解決方案一部分而部署的韌體和軟體不會執行非預期的動作,而影響系統的完整性或客戶的環境報告要求。
運用強式密碼編譯機制
使用程式碼簽署、憑證和加密等密碼編譯技術建立信任和進行驗證。 透過允許信譽良好的解密來保護那些機制。
透過採用這種方法,您將知道對資料所做的變更或系統存取權是由受信任的來源加以驗證。
即使惡意執行者攔截傳輸中的加密資料,執行者也無法將內容解除鎖定或解密。 您可以使用數位簽章,來確保資料不會在傳輸期間遭到竄改。
Contoso 的挑戰
- 選取用於感應和資料傳輸的裝置目前沒有足夠的處理能力,無法支援 HTTPS,甚至是自訂加密。
- 工作負載團隊計劃使用網路界限作為主要隔離技術。
- 風險分析檢閱強調,IoT 裝置與控制系統之間的未加密通訊可能會導致竄改,而不應認為網路分割是足夠的。
套用方法和結果
- 團隊會與自訂 IoT 裝置的製造商合作,決定使用較高效能的裝置,不僅支援以憑證為基礎的通訊,也支援晶片上的程式碼簽署驗證,因此只有已簽署的韌體能夠執行。
最佳化備份的安全性
請確定備份資料在複寫或傳輸資料時是不可變,且為加密狀態。
藉由採用這種方法,您就能復原資料,確保備份資料未在待用時、不小心或惡意遭到變更。
Contoso 的挑戰
- 每個月都會產生環境保護局的排放報告,但這些報告每年只需要提交三次。
- 在需要傳送前,報告會產生,然後儲存在 Azure 儲存體帳戶中。 這麼做是為了在報告系統發生災害時當作備份。
- 備份報告本身不會經過加密,而是透過 HTTP 傳輸至儲存體帳戶。
套用方法和結果
- 執行安全性差距分析之後,團隊便會了解讓備份保持在未加密的狀態是應處理的風險。 此團隊會藉由加密報告並將其儲存在 Azure Blob 儲存體的單寫多讀 (WORM) 不可變儲存體選項中來處理風險。
- 新的方法可確保維護備份的完整性。
- 作為額外的完整性度量,從主要系統產生的報告現在會比較 SHA 雜湊與授權備份,以偵測對主要資料來源的任何竄改。