Esporre in modo sicuro WebService dalla rete aziendale al client Internet

3

(proveniente da stackoverflow )

Esistono standard (o soluzioni certificate) per esporre un servizio (Web) a Internet da una rete molto sensibile alla sicurezza (ad esempio, Banking / Finance)?

Non sto parlando specificamente di WS- * o di qualsiasi altra sicurezza a livello di trasporto SSL / TLS, piuttosto di standard importanti o certificazioni che devono essere rispettate.

Esistono prodotti noti (provenienti da un ambiente SAP) che possono fornire un "proxy ad alta sicurezza" di qualche tipo per esporre servizi Web specifici a Internet?

Qualche parola d'ordine che un CIO / CTO è a conoscenza di questo argomento?

    
posta hotzen 07.02.2012 - 08:54
fonte

2 risposte

3

Anche se la risposta data da AaronS ne dà il succo (piuttosto duramente se posso dirlo), penso che il principio generale che si applica a qualsiasi soluzione sicura sia la difesa in profondità. Ossia, usando diversi livelli di sicurezza per prevenire attacchi, compromissioni o perdita di dati.

Non entrerò nel dibattito di quale percentuale di attacchi / perdite è interna , ma qualunque essa sia, questa non dovrebbe essere dimenticata o ignorata. Potresti seguire il suggerimento di AaronS e 'non aprire mai la tua LAN su Internet' e mettere il server sulla DMZ, e un dipendente potrebbe ancora essere in grado di scaricare il tuo database su una memory stick e uscire dalla porta con esso.

Quindi, se stai cercando parole d'ordine, vorrei iniziare assicurandoti di avere la protezione della rete (ad esempio Firewall , Rilevazione delle intrusioni / Prevenzione ) prima, applica tutte le patch e gli aggiornamenti necessari per il software e il sistema operativo ( Hardening ). Utilizza Segregation di rete per separare le tue applicazioni in modo che il flusso di dati sia strettamente controllato (DMZ è un esempio comune, ma funzionano anche altri modelli di segmentazione di rete). Assicurati che il servizio web sia sviluppato in modo sicuro , testato e riesaminato dal codice. Anche con il miglior firewall e DMZ del mondo, se l'applicazione stessa è vulnerabile, la maggior parte di questa protezione potrebbe avere un effetto limitato. Dal momento che il servizio web esterno probabilmente consuma dati o comunica in qualche modo con i componenti interni, assicurati che gli stessi metodi si applichino anche a loro. Assicurati che Autenticazione e Autorizzazione siano utilizzati per controllare l'accesso ai dati. Assicurati di avere un solido monitoraggio e registrazione sul posto ... L'elenco potrebbe continuare. Questo non è affatto un sostituto di un'architettura / analisi di sicurezza adeguata, che le persone della sicurezza della vostra organizzazione dovrebbero essere in grado di eseguire.

Per quanto riguarda il "proxy ad alta sicurezza" di cui ti chiedevi - ci sono alcuni prodotti che forniscono protezione a livello di applicazione, vedi Application Firewall su Wikipedia. Questi possono anche essere aggiunti al mix, ma non mi affiderei esclusivamente a questi per la tua sicurezza.

    
risposta data 07.02.2012 - 10:49
fonte
2

Non lo fai , soprattutto nel settore bancario / finanziario.

La LAN aziendale non dovrebbe mai essere aperta su Internet.

Dovresti mettere il tuo server in DMZ.

A

    
risposta data 07.02.2012 - 09:02
fonte

Leggi altre domande sui tag