本主题介绍示例体系结构的 HTTP 和 SOAP(Web 服务)适配器方案的威胁模型分析(TMA)。 下图显示了 HTTP 和 SOAP 适配器方案的示例体系结构。
图 1 HTTP/SOAP 适配器方案的示例体系结构
步骤 1. 收集背景信息(HTTP 和 SOAP 适配器方案)
本部分提供示例体系结构的 HTTP 和 SOAP(Web 服务)适配器方案的数据流关系图(DFD)。
对于所有使用方案,所有其他背景信息都是相同的,前面在 示例方案的后台信息中介绍。
数据流关系图
下图显示了使用 HTTP 和 SOAP(Web 服务)适配器时示例体系结构的 DFD。
图 2 HTTP/SOAP 适配器方案示例体系结构的 DFD
数据流如下所示:
合作伙伴或客户通过 HTTP、HTTPS 或 Web 服务发送消息。 消息路由到防火墙 1 的 IP 地址。
防火墙 1 使用反向代理通过防火墙 2 中继消息。
防火墙 2 将消息路由到 BizTalk Server,该服务器运行 HTTP 或 SOAP 接收适配器的隔离主机实例。 隔离主机处理消息并将其放入 MessageBox 数据库中。
具有邮件订阅的处理主机实例从 MessageBox 数据库选取消息,执行任何其他处理,并将消息放回 MessageBox 数据库中。
使用 HTTP 或 SOAP 发送适配器的隔离主机实例从 MessageBox 数据库中提取消息。 该消息将经过发送管道中的任何最终处理,并发送回合作伙伴或客户。
当消息发送到合作伙伴或客户时,它将使用反向代理通过防火墙 2 和防火墙 1 进行路由。
步骤 2. 创建和分析威胁模型(HTTP 和 SOAP 适配器方案)
本部分为示例体系结构的 HTTP 和 SOAP(Web 服务)适配器方案提供了 TMA 的结果。
标识入口点、信任边界和数据流 - 请参阅步骤 1 前面所述的背景 信息和示例方案的背景信息。
创建已识别威胁的列表 - 我们对 DFD 中的所有条目使用以下分类来识别对方案的潜在威胁: S身份欺骗、 T数据篡改、 R否认、 I信息泄露、 D拒绝服务和 E权限提升。 下表列出了使用 HTTP 和 SOAP 适配器向 BizTalk Server 发送和接收消息时确定的威胁。
表 1 威胁列表
| 威胁 | DESCRIPTION | 资产 | 影响 |
|---|---|---|---|
| 发送无限大小的消息 | 恶意用户可以发送无限大小的消息。 | BizTalk Server 环境 | 拒绝服务 |
| 发送大量消息来获取位置 | 恶意用户可以发送大量有效或无效的消息,并淹没应用程序。 | BizTalk Server 环境 | 拒绝服务 |
| 通过 HTTP 读取消息正文 | 恶意用户可以在从发送方前往防火墙 1 时截获该消息,并且可以读取该消息。 | 消息有效负载 | 信息泄露 |
| 从消息中读取用户凭据 | 如果使用基本身份验证,并且消息包含用户凭据,恶意用户可以获取对凭据的访问权限,并使用这些凭据访问应用程序。 | 用户凭据 | 信息泄露 权限提升 |
步骤 3. 查看威胁(HTTP 和 SOAP 适配器场景)
本部分提供针对示例体系结构的 HTTP 和 SOAP(Web 服务)适配器方案确定的威胁的风险分析结果。 在主要威胁模型会议后,我们回顾了威胁,并使用了以下影响类别来确定每个威胁的风险:破坏潜力、可再现性、可利用性、受影响的用户和可发现性。
下表列出了在使用 HTTP 和 SOAP 适配器向 BizTalk Server 发送和接收消息时所识别的威胁的风险评级。
表 2 威胁风险评级
| 威胁 | 影响 | 损害潜力 | 可再现性 | 可利用性 | 受影响的用户 | 可发现性 | 风险暴露 |
|---|---|---|---|---|---|---|---|
| 发送无限大小的消息 | 拒绝服务 | 2 | 3 | 2 | 3 | 2 | 2.4 |
| 发送大量消息来获取位置 | 拒绝服务 | 3 | 3 | 1 | 3 | 3 | 2.6 |
| 通过 HTTP 读取消息正文 | 信息泄露 | 3 | 3 | 2 | 3 | 3 | 2.8 |
| 从消息中读取用户凭据 | 信息泄露 权限提升 |
3 | 3 | 2 | 3 | 2 | 2.6 |
步骤 4. 识别缓解技术(HTTP 和 SOAP 适配器方案)
本部分介绍针对示例体系结构的 HTTP 和 SOAP(Web 服务)适配器方案确定的威胁的一些缓解技术。
下表列出了使用 HTTP 和 SOAP 适配器向 BizTalk Server 发送和接收消息时确定的威胁的缓解技术和技术。
表 3 缓解技术和技术
| 威胁 | 影响 | 风险暴露 | 缓解技术和技术 |
|---|---|---|---|
| 发送无限大小的消息 | 拒绝服务 | 2.4 | 限制每个 URL 传入消息的最大大小,并拒绝超过该最大值的消息。 有关详细信息,请参阅 缓解拒绝服务攻击。 |
| 发送大量消息来获取位置 | 拒绝服务 | 2.6 | SOAP 适配器利用 HTTP 向 BizTalk Server 发送和接收消息。 因此,必须遵循安全建议来帮助保护 Internet Information Services (IIS)。 如果使用 IIS,请确保遵循有关如何配置应用程序隔离的 IIS 建议。 有关详细信息,请参阅 IIS 体系结构简介。 使用客户端认证和参与方决策来限制正在处理的消息数量,仅限于有效和授权的消息。 |
| 通过 HTTP 读取消息正文 | 信息泄露 | 2.8 | 建议使用 S/MIME 来帮助保护发送到 BizTalk Server 和从 BizTalk Server 发送的消息内容。 建议使用安全套接字层(SSL)来帮助保护在 BizTalk Server 之间以及分布在环境中的 BizTalk Server 组件之间的数据传输。 |
| 从消息中读取用户凭据 | 信息泄露 权限提升 |
2.6 | 使用基本身份验证或不使用消息级别的加密时,我们建议你同时使用 SSL 来接收和发送消息,以确保未经授权的人员无法读取用户凭据。 |