¿Existe un idioma específico del dominio para las políticas de seguridad?

4

¿Existe un lenguaje específico de dominio popular para definir políticas de seguridad que sean aplicables en todos los sistemas, dominios o empresas?

Editar: Normalmente, para expresar políticas de seguridad a nivel de red para firewalls, etc.

    
pregunta sashank 06.09.2012 - 16:44
fuente

5 respuestas

6

He usado políticas XML en su mayoría. Pero ese es el mundo de los servicios web, aunque no tengo un análogo en ningún otro espacio tecnológico. Las opciones incluyen:

Estoy bastante seguro de que hay otros en el espacio del servicio web, pero no tengo enlaces a mano.

En las capas inferiores, como los firewalls de capa inferior, no tengo análogos preparados. No soy tan experto en este espacio, pero parece que la comunicación de la implementación de políticas depende del proveedor.

La aplicabilidad, por lo que puedo decir, tiene más que ver con los límites organizativos y la autoridad del mundo real que las opciones tecnológicas. Una de las cosas más interesantes de las políticas web es que pueden variar entre grupos, por lo que mi servidor de gama alta puede tener una política más estricta que un servidor de gama baja que ofrece un servicio similar.

    
respondido por el bethlakshmi 06.09.2012 - 18:09
fuente
6

Aunque no estoy seguro de lo que significaría el lenguaje específico del dominio en este caso, creo que lo que desea es el Protocolo de automatización de contenido de seguridad SCAP con los idiomas OVAL y OCIL como componentes de este (basado en XML). Pero quizás desee adoptar SCAP como un todo en lugar de tomar partes de él.

    
respondido por el akostadinov 06.09.2012 - 22:26
fuente
1

Creo que COBIT puede tener tu cobertura.

    
respondido por el schroeder 07.09.2012 - 00:25
fuente
0

El lenguaje de la política de factor para el control de acceso (también conocido como autorización) es XACML, el lenguaje de marcado de control de acceso eXtensible.

Érase una vez una alternativa de Microsoft Research llamada SecPal. Nunca se recogió y se prefirió XACML en su lugar.

MS Windows Server 2012 (Server 8) también tiene su propio lenguaje de políticas llamado SDDL, pero es específico de ese servidor y su sistema de archivos.

Tanto en XACML como en SDDL, los bloques de construcción de las políticas son atributos (o reclamos) que describen al usuario, el recurso, la acción y posiblemente el contexto.

En principio, XACML se puede aplicar a cualquier cosa (aplicaciones, API, bases de datos, redes ...) ya que es, ante todo,

  1. una arquitectura abstracta que define un punto de decisión de política (el componente que decide si se otorgará el acceso) y un punto de aplicación de política (el componente que protege su aplicación, db, red ...)
  2. un lenguaje de políticas que define una sintaxis clara para definir reglas negativas y positivas basadas en atributos.
  3. un esquema de solicitud / respuesta que define la estructura de las solicitudes de autorización y las respuestas.

Hay soluciones de código abierto y proveedor que implementan XACML y proporcionan autorización para diferentes capas (por ejemplo, Cisco está investigando el uso de XACML para el control de acceso a la red; Axiomatics proporciona XACML para aplicaciones y bases de datos ...)

XACML está definido por OASIS (organización para el avance de los estándares de información estructurada). Puede encontrar más información aquí .

    
respondido por el David Brossard 16.04.2014 - 16:50
fuente
0

Content-Security-Policy es también un lenguaje específico del dominio para indicar al navegador desde qué orígenes se acepta qué tipo de contenido (principalmente scripts, pero también css, imágenes ...). Es posible que esto no sea lo que pretendía, pero describe una política a nivel de red y, de hecho, podría usarse dentro de firewalls de inspección profunda para hacer cumplir la política para navegadores estúpidos como MSIE que aún no la comprenden (completamente).

Tal vez también obtenga de este ejemplo que no habrá una política universal, porque el tema y las capacidades de los dispositivos de seguridad difieren enormemente. Mientras que para algunos, basta con bloquear el puerto 80 (http), a otros les gusta filtrar por URL o aplicación web y otros quieren asegurarse de que se encuentre un malware con una aceptación específica de falsos positivos y que los ataques XSS o CSRF se mitiguen o que evitará la fuga de datos (lo que sea que esto signifique exactamente para una empresa específica). La mayoría de estas cosas que los firewalls más simples no pueden hacer.

    
respondido por el Steffen Ullrich 16.04.2014 - 22:16
fuente

Lea otras preguntas en las etiquetas