Esiste una lingua specifica per il dominio per la definizione delle politiche di sicurezza applicabili a sistemi, domini o imprese?
Modifica: tipicamente per esprimere le politiche di sicurezza a livello di rete per i firewall ecc.
Ho usato principalmente criteri XML. Ma questo è il mondo dei servizi web, anche se non ho un analogo in nessun altro spazio tecnologico. Le opzioni includono:
Sono abbastanza sicuro che ce ne siano altri nello spazio del servizio web, ma non abbiamo collegamenti prontamente disponibili.
Nei livelli inferiori, come i firewall di livello inferiore, non ho analoghi pronti. Non sono un esperto in questo spazio, ma sembra che la comunicazione dell'implementazione delle policy sia dipendente dal fornitore.
L'applicabilità, per quanto posso dire - riguarda più i confini organizzativi e l'autorità del mondo reale che le opzioni tecnologiche. Uno degli aspetti più interessanti delle politiche Web è che possono essere variati tra i gruppi, quindi il mio server di fascia alta può avere una politica più severa rispetto a un server di fascia bassa che offre un servizio simile.
Anche se non sono sicuro di quale linguaggio specifico di dominio significherebbe in questo caso, penso che quello che vuoi sia il protocollo di sicurezza del contenuto di sicurezza SCAP con le lingue OVAL e OCIL che ne sono componenti (basato su XML). Ma forse vorresti adottare SCAP nel suo complesso, invece di prenderne parte.
Il linguaggio dei criteri de factor per il controllo degli accessi (noto anche come autorizzazione) è XACML, l'eXtensible Access Control Markup Language.
C'era una volta un'alternativa di Microsoft Research chiamata SecPal. Non è mai stato scelto e XACML è stato preferito, invece.
MS Windows Server 2012 (Server 8) ha anche il proprio linguaggio delle policy chiamato SDDL ma è specifico per quel server e il suo filesystem.
Sia in XACML che in SDDL, i blocchi costitutivi delle politiche sono attributi (o attestazioni) che descrivono l'utente, la risorsa, l'azione e possibilmente il contesto.
In linea di principio, XACML può essere applicato a qualsiasi cosa (applicazioni, API, database, reti ...) poiché è prima di tutto:
Esistono soluzioni open source e vendor che implementano XACML e forniscono l'autorizzazione per diversi livelli (Cisco per esempio sta ricercando l'uso di XACML per il controllo dell'accesso alla rete, Axiomatics fornisce XACML per applicazioni e database ...)
XACML è definito da OASIS (organizzazione per il progresso degli standard strutturati di informazione). Puoi trovare ulteriori informazioni qui .
Content-Security-Policy è anche una lingua specifica del dominio per indicare al browser da quale origine è accettabile il tipo di contenuto (principalmente script, ma anche css, immagini ...). Forse non è quello che intendevi, ma descrive una politica a livello di rete e potrebbe essere effettivamente utilizzata all'interno di firewall di ispezione profonda per applicare la policy a browser muti come MSIE che non lo capiscono ancora (completamente).
Forse anche da questo esempio non ci sarà una politica universale, perché l'argomento e le funzionalità dei dispositivi di sicurezza dell'applicazione sono molto diversi. Mentre per alcuni semplicemente il blocco della porta 80 (http) è sufficiente, ad altri piace filtrare per URL o applicazione web e altri ancora vogliono assicurarsi che il malware venga trovato con una specifica accettazione di falsi positivi e che gli attacchi XSS o CSRF siano mitigati o che impedirà la perdita di dati (qualunque cosa ciò significhi esattamente per una società specifica). La maggior parte di queste cose non possono fare i firewall più semplici.
Leggi altre domande sui tag corporate-policy