Infrastruttura di sicurezza: sicurezza della comunicazione - Procedure di mitigazione

• Proteggere la comunicazione con l'hub eventi con SSL/TLS

• Verificare i privilegi dell'account del servizio e controllare che le pagine ASP.NET o i servizi personalizzati rispettino la sicurezza di CRM

• Usare il gateway di gestione dati durante la connessione di SQL Server locale ad Azure Data Factory

• Verificare che tutto il traffico verso Identity Server venga gestito su connessione HTTPS

• Verificare i certificati X.509 usati per autenticare le connessioni SSL, TLS e DTLS
• Configurare il certificato TLS/SSL per il dominio personalizzato nel servizio app Azure
• Forzare tutto il traffico verso il servizio app di Azure su una connessione HTTPS
• Abilitare HTTP Strict Transport Security (HSTS)

• Verificare la crittografia della connessione e la convalida dei certificati di SQL Server
• Forzare la comunicazione crittografata con SQL Server

• Verificare che per la comunicazione con Archiviazione di Azure venga usato HTTPS
• Convalidare l'hash MD5 dopo il download di BLOB se non è possibile abilitare HTTPS
• Usare un client compatibile con SMB 3.0 per garantire la crittografia dei dati in transito per condivisioni file di Azure

• Implementare l'associazione del certificato

• Abilitare HTTPS: canale di trasporto sicuro
• WCF: impostare il livello di protezione per la sicurezza dei messaggi su EncryptAndSign
• WCF: usare un account con privilegi minimi per eseguire il servizio WCF

• Forzare tutto il traffico verso le API Web su una connessione HTTPS

• Assicurarsi che la comunicazione con cache di Azure per Redis sia tramite TLS

• Proteggere la comunicazione da dispositivo a gateway sul campo

• Proteggere la comunicazione da dispositivo a gateway nel cloud con SSL/TLS

Lo strumento Gateway di gestione dati è necessario per la connessione a origini dati protette da un firewall o dalla rete aziendale.

1. Bloccando il computer si isola lo strumento Gateway di gestione dati impedendo a programmi che non funzionano correttamente di danneggiare o analizzare il computer dell'origine dati. Ad esempio, gli aggiornamenti più recenti devono essere installati, abilitare le porte minime necessarie, il provisioning degli account controllati, il controllo abilitato, la crittografia del disco abilitata e così via.
2. È necessario eseguire la rotazione della chiave del gateway dati a intervalli frequenti o a ogni rinnovo della password dell'account del servizio Gateway di gestione dati.
3. I transiti di dati attraverso il servizio di collegamento devono essere crittografati.

Le applicazioni che usano SSL, TLS o DTLS devono eseguire una verifica completa dei certificati X.509 delle entità a cui si connettono. Ciò include la verifica dei certificati in relazione a:

• Nome di dominio
• Date di validità (date sia di inizio che di scadenza)
• Stato di revoca
• Utilizzo (ad esempio, autenticazione server per i server o autenticazione client per i client)
• Catena di certificati. I certificati devono essere concatenati a un'autorità di certificazione radice (CA) considerata attendibile dalla piattaforma o configurata in modo esplicito dall'amministratore
• La lunghezza della chiave pubblica del certificato deve essere >di 2048 bit
• L'algoritmo di hash deve essere SHA256 o versione superiore

Nonostante Azure abiliti già HTTPS per i servizi app di Azure con un certificato con caratteri jolly per il dominio *.azurewebsites.net, non impone HTTPS. I visitatori possono comunque accedere all'app usando HTTP e questo potrebbe compromettere la sicurezza dell'app. È quindi necessario imporre HTTPS in modo esplicito. Le applicazioni ASP.NET MVC dovranno usare il filtro RequireHttps che forza il nuovo invio di una richiesta HTTP non protetta su HTTPS.

In alternativa, per imporre HTTPS è possibile usare il modulo URL Rewrite incluso con Servizio app di Azure. Il modulo URL Rewrite consente agli sviluppatori di definire le regole applicate alle richieste in ingresso prima che queste vengano passate all'applicazione. Le regole di URL Rewrite sono definite in un file web.config archiviato nella radice dell'applicazione.

HTTP Strict Transport Security (HSTS) è un miglioramento della sicurezza con consenso esplicito che viene specificato da un'applicazione Web usando una speciale intestazione della risposta. Quando un browser supportato riceve questa intestazione, impedisce l'invio tramite HTTP di qualsiasi comunicazione al dominio specificato e invia tutte le comunicazioni tramite HTTPS. Impedisce anche i messaggi di richiesta con click-through HTTPS nei browser.

Per implementare HSTS, è necessario configurare l'intestazione di risposta seguente per un sito Web a livello globale, nel codice o nella configurazione. Strict-Transport-Security: max-age=300; includeSubDomains HSTS risolve le minacce seguenti:

• L'utente imposta come segnalibro o digita manualmente https://example.com ed è soggetto a un attacco man-in-the-middle: HSTS reindirizza automaticamente le richieste HTTP a HTTPS per il dominio di destinazione
• Un'applicazione Web che dovrebbe essere esclusivamente HTTPS inavvertitamente contiene collegamenti HTTP o fornisce contenuti tramite HTTP: HSTS reindirizza automaticamente le richieste HTTP a HTTPS per il dominio di destinazione
• Un utente malintenzionato tenta con un attacco man-in-the-middle di intercettare il traffico da un utente vittima con un certificato non valido sperando che l'utente accetti tale certificato: HSTS non consente a un utente di eseguire l'override del messaggio di certificato non valido

Tutte le comunicazioni tra database SQL e un'applicazione client vengono crittografate con Transport Layer Security (TLS), noto in precedenza come Secure Sockets Layer (SSL) in qualsiasi momento. database SQL non supporta connessioni non crittografate. Per convalidare i certificati con gli strumenti o il codice dell'applicazione, richiedere una connessione crittografata in modo esplicito e non considerare attendibili i certificati del server. Se il codice dell'applicazione o gli strumenti non richiedono una connessione crittografata, riceveranno comunque connessioni crittografate.

Tuttavia, potrebbero non convalidare i certificati del server e pertanto saranno soggetti ad attacchi "man in the middle". Per convalidare i certificati con il codice dell'applicazione ADO.NET, impostare Encrypt=True e TrustServerCertificate=False nella stringa di connessione del database. Per convalidare i certificati tramite SQL Server Management Studio, aprire la finestra di dialogo Connetti al server. Fare clic su Crittografa connessione nella scheda Proprietà connessione.

Il servizio BLOB di Microsoft Azure offre meccanismi per garantire l'integrità dei dati sia al livello dell'applicazione che al livello trasporto. Se per qualsiasi motivo è necessario usare HTTP anziché HTTPS e si usano BLOB in blocchi, è possibile usare il controllo MD5 per verificare l'integrità dei BLOB in fase di trasferimento.

Ciò contribuisce a proteggere dagli errori a livello di rete/trasporto, ma non necessariamente dalle violazioni. Se è possibile utilizzare HTTPS, che fornisce la protezione a livello di trasporto, il controllo MD5 è ridondante e superfluo.

L'associazione del certificato protegge da attacchi man-in-the-middle. L'associazione è il processo con cui un host viene associato alla chiave pubblica o al certificato X509 previsto. Quando per un host è noto o visibile un certificato o una chiave pubblica, questo viene associato all'host.

Pertanto, quando un avversario tenta di eseguire un attacco TLS MITM, durante l'handshake TLS la chiave dal server dell'utente malintenzionato sarà diversa dalla chiave del certificato aggiunto e la richiesta verrà eliminata, impedendo così l'aggiunta del certificato MITM può essere ottenuta implementando il delegato di ServerCertificateValidationCallback ServicePointManager.

• SPIEGAZIONE: se un'applicazione che gestisce informazioni riservate non usa la crittografia a livello di messaggio, all'applicazione deve essere consentita la comunicazione solo tramite un canale di trasporto crittografato.
• RACCOMANDAZIONI: verificare che il trasporto HTTP sia disabilitato e abilitare invece il trasporto HTTPS. Ad esempio, sostituire il tag <httpTransport/> con il tag <httpsTransport/>. Non basarsi su una configurazione di rete (firewall) per garantire che l'applicazione sia accessibile solo tramite un canale sicuro. Da un punto di vista teorico, l'applicazione non deve dipendere dalla rete per la sicurezza.

Da un punto di vista pratico, le persone responsabili della protezione della rete non sempre tengono traccia dell'evoluzione dei requisiti di sicurezza dell'applicazione.

• SPIEGAZIONE: quando il livello di protezione è impostato su "None", la protezione dei messaggi verrà disabilitata. La riservatezza e l'integrità si ottengono con il livello di impostazione appropriato.
• RACCOMANDAZIONI:
  • Quando Mode=None, la protezione dei messaggi è disabilitata
  • Quando Mode=Sign, il messaggio viene firmato ma non crittografato. Questa impostazione deve essere usata quando è importante l'integrità dei dati
  • Quando Mode=EncryptAndSign, il messaggio viene firmato e crittografato

Quando è sufficiente convalidare l'integrità delle informazioni senza problemi di riservatezza, valutare la possibilità di disattivare la crittografia e limitarsi alla firma del messaggio. Questo può risultare utile per contratti di operazione o di servizio in cui è necessario convalidare il mittente originale ma non vengono trasmessi dati sensibili. Quando si riduce il livello di protezione, prestare attenzione che il messaggio non contenga dati personali.

• SPIEGAZIONE: non eseguire i servizi WCF con un account amministratore o con privilegi elevati, che comporterebbe un alto impatto in caso di compromissione dei servizi.
• RACCOMANDAZIONI: per ospitare il servizio WCF usare un account con privilegi minimi, in modo da ridurre la superficie di attacco dell'applicazione e il potenziale danno in caso di attacco. Se l'account del servizio richiede diritti di accesso aggiuntivi per risorse dell'infrastruttura come MSMQ, il registro eventi, i contatori delle prestazioni e il file system, è necessario concedere autorizzazioni appropriate a tali risorse in modo da consentire la corretta esecuzione del servizio WCF.

Se il servizio deve accedere a risorse specifiche per conto del chiamante originale, usare la rappresentazione e la delega per trasferire l'identità del chiamante per un controllo di autorizzazione downstream. In uno scenario di sviluppo, usare l'account del servizio di rete locale, ovvero un account predefinito speciale con privilegi ridotti. In uno scenario di produzione, creare un account di servizio del dominio personalizzato con privilegi minimi.