旨在保護可用性的設計
 使用強式安全性控制,防止或最小化系統與工作負載停機,並在發生安全性事件時降低。 您必須在事件期間和系統復原之後維護資料完整性。 |
|---|
您需要平衡可用性結構選擇與安全性結構選擇。 系統應該具有可用性保證,以確保使用者能夠存取資料,且可存取該資料。 從安全性觀點來看,使用者應該在允許的存取範圍內運作,而且資料必須受到信任。 安全性控制應封鎖不良執行者,但不應封鎖合法使用者存取系統和資料。
範例案例
Contoso Concierge 會執行在美國超過 50 個旅館品牌中使用的旅館管理軟體系統。 它會負責預訂、來賓辦理入住,以及追蹤來賓服務和內務處理員工的配置。 它是一個雲端式系統,在美國兩個區域執行。 它主要裝載在虛擬機擴展集上。 旅館的用戶端是以瀏覽器為基礎。
透過強固的安全性增強可靠性
使用安全性控件和設計模式來防止攻擊和程式碼缺陷造成資源耗盡和封鎖存取。
採用這種方法有助於確保系統不會經歷惡意動作 (例如分散式阻斷服務 (DDoS) 攻擊) 所造成的停機時間。
Contoso 的挑戰
- 工作負載小組和工作負載的利害關係人認為此系統的可靠性非常重要,因為旅館來賓在商務和休閒旅行時必須依賴它。 它必須運作良好旅館才能營業。
- 小組已投入大量資源來測試功能和非功能性需求,以確保可靠性保持高水平,包括使用安全部署做法可靠地釋放應用程式更新。
- 雖然他們非常注重可靠性,但小組對安全性卻不太關注。 最近發行的一個更新包含一個程式碼缺陷,攻擊者利用該缺陷讓多間旅館的整個系統癱瘓。 這個攻擊讓一個區域中的應用程式伺服器在某一晚有四個多小時不知所措,造成客戶和旅館來賓的問題。
- 攻擊者使用 Contoso 應用程式伺服器將要求 Proxy 到區域儲存體帳戶,以接收預先產生的 folio 資訊。 由於產生異常大量的惡意 folio,應用程式伺服器在載入記憶體時會耗盡應用程式伺服器上的資源,而用戶端重試會將問題分散到所有應用程式伺服器。
套用方法和結果
- 小組調查了設計模式,以從 folio 要求流程中移除其應用程式伺服器,改為選擇 [限時金鑰] 方法。 雖然這不會阻止問題,但它會隔離影響。
- 它們還在系統中新增了更多的輸入驗證來清理輸入,這將有助於防止將來出現類似的惡意嘗試。
- 有了輸入清理和強化的設計,一種類型的風險已經降低。
主動限制攻擊媒介
實作攻擊媒介的預防性措施,以惡意探索應用程式程式碼、網路通訊協定、身分識別系統、惡意程式碼防護和其他領域的弱點。
實作程式碼掃描器、套用最新的安全性修補程式、更新軟體,並持續使用有效的反惡意程式碼軟體來保護系統。 這樣做有助於減少受攻擊面,以確保商務持續性。
Contoso 的挑戰
- 用來裝載系統的 VM 是具有最新 Ubuntu 作業系統的 Azure Marketplace 映像。 VM 的啟動載入流程會設定一些憑證、調整一些 SSH 設定,並安裝應用程式程式碼,但不會使用反惡意程式碼軟體工具。
- 雖然 Azure 應用程式閘道提供了解決方案,但它只會作為網際網路閘道使用;目前未啟用 Web 應用程式防火牆 (WAF) 函式。
- 這兩種設定選擇都無法保護計算環境免受程式碼弱點或惡意程式碼意外安裝的影響。
套用方法和結果
- 在 Contoso 中諮詢安全性小組之後,虛擬機器現在已在企業管理的防毒解決方案中註冊。
- 小組還決定啟用和調整 WAF 函式,透過消除閘道層級的已知風險要求 (例如 SQL 插入式嘗試),以協助保護應用程式程式碼。
- 應用程式和應用程式平台現在有額外的深度防禦,以協助防範可能會影響系統可用性的惡意探索。
確保您有復原策略
在復原資源和流程中至少套用與主環境中相同等級的安全性嚴格程度,包括安全性控制與備份頻率。
您應該具有災害復原中可用的保留安全系統狀態。 如果您有此狀態,您可以容錯移轉至安全的次要系統或位置,並還原不會造成威脅的備份。
設計良好的流程可防止安全性事件阻礙復原流程。 無法解密的已損毀備份資料或加密資料可能會減緩復原速度。
Contoso 的挑戰
- 雖然系統在跨區域運作為主動-主動,但小組已備妥災害復原計劃,以協助在最壞的情況下還原商務持續性。
- 此計劃的一部分包括將備份寄送到美國第三個區域。
- 不幸的是,備份會登陸在非經常監視且具有相對寬鬆安全性控制的系統。 在演習期間,他們意識到所有備份都已感染惡意程式碼。 如果他們當時發生真正的災難,那麽將無法成功復原。
套用方法和結果
- 小組投入時間和精力來保護備份位置,新增額外的網路和身分識別控制來保護資料。 備份現在也會儲存在不可變儲存體中,以防止竄改。
- 在檢閱其安全性控制之後,小組會發現在復原流程中,應用程式會在一段時間內沒有 WAF 執行。 他們會變更作業順序,以縮小該差距。
- 現在小組確信系統的備份和復原流程不再是容易遭攻擊的攻擊媒介。