È la configurazione di sicurezza WCF o Java Metro in-scope per il tuo dipartimento di sicurezza; dovrebbe essere?

2

Windows Communication Foundation (WCF) è un insieme di tecnologie che espongono codice e dati eseguibili sul lato server su Internet.

Viste le capacità di condivisione delle porte di IIS, o anche che uno sviluppatore web può ospitare un'applicazione WCF all'insaputa del team di sicurezza IT, penso che il team di sicurezza IT dovrebbe avere il controllo su ciò che è esposto e sulla sua configurazione.

Esempi di configurazione di WCF includono: scelta del protocollo, metodo di crittografia e quali metodi eseguibili sono esposti.

  1. Sei d'accordo sul fatto che questa tecnologia debba essere considerata nell'ambito del team IT Security.
  2. Come venderesti questo alla gestione per l'inclusione (dato che non sei un gestore)
  3. Quali processi metteresti in atto per il controllo e l'implementazione di questa tecnologia?
  4. Come definiresti i limiti del supporto con il team dell'applicazione?
  5. ... altri elementi

Parte del motivo per cui ho posto questa domanda è che presso le grandi aziende per cui ho lavorato, la sicurezza SOAP era fuori limite per lo stesso gruppo che gestiva la sicurezza perimetrale (spesso lo stesso gruppo che gestiva i firewall e i router).

Forse la dimensione dell'organizzazione dovrebbe essere presa in considerazione quando si fa questa domanda. È irragionevole aspettarsi che un amministratore di Firewall capisca anche WCF / Metro?

    
posta random65537 22.11.2010 - 22:29
fonte

2 risposte

1
  1. Sì - una specie di. (IMO) Dovrebbe spettare a quel gruppo definire i requisiti minimi; per esempio. quali metodi di crittografia utilizzare, ma non dovrebbero bloccare metodi simili a quelli esposti. Questo dovrebbe appartenere agli architetti di sicurezza degli sviluppatori. A meno che il team di sicurezza IT non abbia sviluppatori su di esso.

EDIT: È un po 'troppo aspettarsi che un amministratore del firewall (o un ruolo simile) comprenda WCF / metro. Devono capire che funziona su HTTP / S / TCP e la struttura di base dei dati di un messaggio SOAP, ma non troppo oltre. È troppo specifico per il dominio.

    
risposta data 22.11.2010 - 22:56
fonte
2

Sì, certo.
È lo stesso di una revisione del codice o di un'ispezione di implementazione.
Durante il CR, mi aspetto che i file di configurazione facciano parte della base di codice che viene esaminata; e durante un'ispezione di implementazione, tutte le configurazioni su cui è possibile mettere le mani devono essere aperte ed esaminate.

Anche questo risponde alla domanda n. 2 - spiega al manager la sua parte delle recensioni precedenti.
3. Ancora, come sopra - se si ha un processo attorno a CR o DI, questi dovrebbero farne parte.
4. Confini: ed ecco un chiarimento necessario - il team di sviluppo è responsabile per l'esecuzione della configurazione, SecTeam ha supervisione, verifica e, naturalmente, è anche in uno stato di consulenza / istruzione.

Wrt l'aggiunta della tua modifica, sicurezza di rete / OS, i ragazzi non possono fare nulla con WCF, e non dovrebbe essere previsto. Mi riferivo al team AppSec, all'architettura di sicurezza o a qualsiasi altra cosa tu voglia chiamarli.
Lo stesso vale per (la maggior parte degli aspetti di) SOAP, è un protocollo di applicazione, i ragazzi della rete non sanno cosa fare con esso.

    
risposta data 22.11.2010 - 22:54
fonte

Leggi altre domande sui tag