Esempi per architetture di sicurezza (Web)

1

Ho appena iniziato a lavorare sulla mia tesi per finire i miei studi. Comunque il campo in cui scrivo la mia tesi è praticamente nuovo per me. Ho il compito di creare una "strategia / architettura di accesso remoto" per creare una connessione end-to-end sicura.

Un endpoint della connessione è BI (ovvero: numeri, web, server di database, LDAP).

L'altra estremità dovrebbe essere uno smartphone (iOS o Android).

Ho iniziato la mia ricerca con molte letture riguardanti gli standard di sicurezza come ISO27k, BSI Grundschutz e così via. Non posso perdere la sensazione che quegli standard di sicurezza siano un po 'troppo ampi per l'inizio della mia ricerca.

Questi standard offrono un ottimo inizio alla sicurezza commerciale, ma coprono anche la sicurezza sotto forma di disastri naturali.

Sto cercando alcuni documenti di sicurezza che mostrano l'architettura di sicurezza di siti Web o servizi web, mostrano quali tecnologie sono in uso (SSL, DMZ, firewall, terminazione SSL).

Il mio piano è analizzare queste architetture e imparare da esse.

Conosci qualche buon libro, studi o altro materiale di sicurezza che potrebbe darmi un buon inizio in questo argomento?

P.S. So che la sicurezza web / webserice non copre la perdita del dispositivo (che probabilmente sarebbe un grosso rischio in un ambiente mobile)

    
posta theXs 12.09.2012 - 09:56
fonte

1 risposta

1

È un errore cercare di concentrarsi su un'architettura che funzioni per tutto. Questo semplicemente non esiste. La soluzione deve corrispondere al problema e ai requisiti di una particolare applicazione. Quindi, il mio consiglio è: non perdere tempo a cercare un'architettura "taglia unica"; invece, osserva le esigenze specifiche di un'applicazione e cerca una soluzione che funzioni bene per quell'applicazione.

Se si desidera un canale di comunicazione sicuro end-to-end, utilizzare TLS. Non è necessaria alcuna architettura di sicurezza di fantasia. Se questo non è quello che stai cercando, probabilmente dovrai modificare la tua domanda per identificare i tuoi requisiti in modo più chiaro.

Se il tuo obiettivo è capire meglio alcuni modi per proteggere le applicazioni web, allora quello che vuoi non è "un'architettura", ma solo un'indagine sul lavoro in quest'area. In tal caso, dovresti anche dedicare del tempo a leggere i materiali di OWASP. Dovresti anche controllare le risorse collegate a Materiali per principianti per la sicurezza web . Un altro consiglio: usa la barra di "ricerca" nella parte superiore destra di questo sito e puoi trovare molte più informazioni sulla sicurezza web.

Non iniziarei leggendo i documenti standard. Probabilmente non sono la migliore risorsa per iniziare a conoscere quest'area.

P.S. Potrei essere eccessivamente sensibile, ma devo ammettere di essere scettico se le persone si concentrano troppo sull'architettura, piuttosto che concentrarsi sulla soluzione del problema. Quindi, solo un piccolo suggerimento: potresti iniziare identificando quale è il problema che vuoi risolvere. Ciò ti aiuterà a essere sicuro di concentrarti su un problema reale. Quindi, puoi porsi domande come: quali sono i requisiti di sicurezza? quali sono le risorse che devono essere protette? qual è il modello di minaccia? quali sono alcuni controlli o attenuazioni disponibili che aiutano a rispondere a tali minacce?

    
risposta data 14.09.2012 - 09:25
fonte

Leggi altre domande sui tag