Design zum Schutz der Integrität

Abgeschlossen
Verhindern Sie die Beschädigung von Design, Implementierung, Vorgängen und Daten, um Störungen zu vermeiden, die dazu führen können, dass das System seinen vorgesehenen Zweck nicht erfüllt oder außerhalb der vorgeschriebenen Grenzwerte arbeitet. Das System sollte während des gesamten Lebenszyklus der Workload Informationssicherheit bieten.

Entscheidend ist, dass Sie Kontrollen implementieren, die eine Manipulation der Geschäftslogik, der Flows, der Bereitstellungsprozesse, der Daten und sogar der Komponenten des unteren Stapels, wie des Betriebssystems und der Boot-Sequenz, verhindern. Ein Mangel an Integrität kann Sicherheitslücken verursachen, die zu Beeinträchtigungen der Vertraulichkeit und Verfügbarkeit führen können.

Beispielszenario

Contoso Paint Systems entwickelt Dampferkennungs- und Belüftungssteuerungssysteme für industrielle Spritzlackiermaschinen. Das System wird auch zur automatischen Erfassung von Luftqualitätsdaten für die Berichterstattung über Umweltauswirkungen verwendet. Es gibt eine cloudbasierte Anwendung zur Unterstützung der IoT-Geräte, die in den Lackierkabinen verteilt sind. Lokale Komponenten der Anwendung laufen auf Azure Stack HCI und maßgeschneiderten IoT-Geräten. Das System befindet sich in der frühen Prototyp-Phase, und das Workload-Team plant, die Produktionsversion innerhalb eines Jahres zu veröffentlichen.

Schützen Ihrer Lieferkette

Schützen Sie sich kontinuierlich vor Sicherheitslücken und erkennen Sie diese in Ihrer Lieferkette, um Angreifer*innen daran zu hindern, Softwarefehler in Ihre Infrastruktur, Ihr Build-System, Ihre Tools, Bibliotheken und andere Abhängigkeiten einzuschleusen. Sicherheitslücken sollten bei der Buildzeit und während der Laufzeit gescannt werden.

Die Kenntnis der Herkunft der Software und die Überprüfung ihrer Authentizität während des gesamten Lebenszyklus sorgen für Vorhersehbarkeit. Sie werden frühzeitig über Sicherheitslücken informiert, so dass Sie diese proaktiv beheben und das Produktivsystem schützen können.

Herausforderung von Contoso

  • Das Entwicklungsteam implementiert seine Build- und Release-Pipelines, hat sich aber noch nicht mit der Integrität des Build-Systems befasst.
  • Das Team hat sich für einige Open-Source-Lösungen entschieden, sowohl bei der Firmware als auch bei den Cloud-Komponenten.
  • Es ist bekannt, wie eine Manipulation der Lieferkette oder böswillige Insider den Code verändern können, wodurch die Systeme gestört oder sogar Daten exfiltriert werden können. Sollte die Umweltberichterstattung ihrer Kund*innen derart beeinträchtigt werden, dass die Berichterstattung unterbleibt oder bei einer Prüfung falsche Angaben gemacht werden, könnten die Auswirkungen für Contoso und die Kund*innen schwerwiegend sein.

Anwenden des Ansatzes und Umsetzen der Ergebnisse

  • Das Team ändert seine Build-Prozesse sowohl für die Firmware als auch für die Back-End-Cloud-Systeme und führt nun Sicherheitsscans durch, um auf bekannte Sicherheitslücken und -risiken (CVEs) in Abhängigkeiten hinzuweisen. Darüber hinaus umfassen diese jetzt auch die Überprüfung des Codes und der Pakete auf Schadsoftware.
  • Sie sehen sich auch Optionen zum Schutz vor Schadsoftware für die Ausführung auf Azure Stack HCI an, wie z. B. Windows Defender Application Control.
  • Diese Maßnahmen tragen dazu bei, das Vertrauen darauf zu erhöhen, dass die Firmware und die Software, die als Teil dieser Lösung bereitgestellt werden, keine unerwarteten Aktionen durchführen, die die Integrität des Systems oder die Anforderungen von Kund*innen an die Umweltberichterstattung beeinträchtigen.

Verwenden von starken kryptografischen Mechanismen

Schaffen Sie Vertrauen und verifizieren Sie, indem Sie Kryptographietechniken wie Codesignatur, Zertifikate und Verschlüsselung verwenden. Schützen Sie diese Mechanismen, indem Sie eine seriöse Entschlüsselung ermöglichen.

Wenn Sie diesen Ansatz wählen, wissen Sie, dass Änderungen an Daten oder der Zugriff auf das System von einer vertrauenswürdigen Quelle überprüft werden.

Selbst wenn verschlüsselte Daten während der Übertragung von einem böswilligen Eindringling abgefangen werden, wird dieser nicht in der Lage sein, den Inhalt zu entschlüsseln. Sie können digitale Signaturen verwenden, um sicherzustellen, dass die Daten während der Übertragung nicht manipuliert wurden.

Herausforderung von Contoso

  • Die für die Erkennung und Datenübertragung ausgewählten Geräte verfügen derzeit nicht über genügend Rechenleistung, um HTTPS oder sogar eine benutzerdefinierte Verschlüsselung zu unterstützen.
  • Das Workload-Team plant die Verwendung von Netzwerkgrenzen als primäre Isolationstechnik.
  • Eine Risikoanalyse hat gezeigt, dass eine unverschlüsselte Kommunikation zwischen IoT-Geräten und Kontrollsystemen zu Manipulationen führen kann und eine Netzwerksegmentierung nicht als ausreichend angesehen werden sollte.

Anwenden des Ansatzes und Umsetzen der Ergebnisse

  • In Zusammenarbeit mit dem Hersteller des maßgeschneiderten IoT-Geräts beschließt das Team, ein leistungsstärkeres Gerät zu verwenden, das nicht nur die zertifikatsbasierte Kommunikation unterstützt, sondern auch die Codesignatur-Validierung auf dem Chip, so dass nur signierte Firmware ausgeführt werden kann.

Optimieren der Sicherheit Ihrer Sicherungen

Stellen Sie sicher, dass die Sicherungsdaten unveränderlich und verschlüsselt sind, wenn die Daten repliziert oder übertragen werden.

Mit diesem Ansatz können Sie Daten wiederherstellen und sicher sein, dass die Sicherungsdaten nicht versehentlich oder böswillig verändert wurden.

Herausforderung von Contoso

  • Der Emissionsbericht der Umweltbehörde wird jeden Monat erstellt, aber diese Berichte müssen nur dreimal im Jahr eingereicht werden.
  • Der Bericht wird erstellt und dann in einem Azure Storage-Konto gespeichert, bis er gesendet werden muss. Dies geschieht als Sicherung für den Fall, dass das Berichtssystem von einer Katastrophe betroffen ist.
  • Der gesicherte Bericht selbst ist nicht verschlüsselt, sondern wird über HTTPs an das Speicherkonto übertragen.

Anwenden des Ansatzes und Umsetzen der Ergebnisse

  • Nach einer Analyse der Sicherheitslücken stellt das Team fest, dass die unverschlüsselte Sicherung ein Risiko darstellt, das behoben werden sollte. Das Team behebt dieses Risiko, indem es den Bericht verschlüsselt und in der unveränderlichen Speicheroption „Write One, Read Many“ (WORM) von Azure Blob Storage speichert.
  • Der neue Ansatz gewährleistet, dass die Integrität der Sicherung erhalten bleibt.
  • Als zusätzliche Integritätsmaßnahme vergleicht der aus dem Hauptsystem generierte Bericht nun einen SHA-Hash mit der maßgeblichen Sicherung, um jegliche Manipulation der primären Datenquelle zu erkennen.

Überprüfen Sie Ihr Wissen

1.

Welcher der folgenden Punkte ist ein Grund für die Einführung von Bedrohungsüberprüfungen in Ihrer Lieferkette

2.

Was sind Beispiele für kryptografische Kontrollen?

3.

Wie hat Contoso sichergestellt, dass ihre Berichtssicherung unveränderlich ist?