¿La configuración de seguridad de WCF o Java Metro está dentro del alcance de su departamento de seguridad; ¿deberia ser?

2

Windows Communication Foundation (WCF) es un conjunto de tecnologías que exponen el código y los datos ejecutables del lado del servidor a través de Internet.

Dada la capacidad de puerto compartido de IIS, o incluso que un desarrollador web puede alojar una aplicación WCF sin que el equipo de seguridad de TI lo sepa, creo que el equipo de seguridad de TI debería tener cierto control sobre lo que está expuesto y su configuración.

Los ejemplos de configuración de WCF incluyen: elección de protocolo, método de cifrado y métodos ejecutables expuestos.

  1. ¿Está de acuerdo en que esta tecnología debe considerarse dentro del alcance del equipo de seguridad de TI?
  2. ¿Cómo vendería esto a la administración para su inclusión (dado que usted no es un gerente)?
  3. ¿Qué procesos implementaría para auditar e implementar esta tecnología?
  4. ¿Cómo definiría los límites de soporte con el equipo de la aplicación?
  5. ... otros artículos

Parte de la razón por la que hago esta pregunta es que en las grandes empresas para las que trabajé, la seguridad de SOAP estaba fuera de los límites para el mismo grupo que manejaba la seguridad del perímetro (a menudo el mismo grupo que manejaba los cortafuegos y enrutadores).

Tal vez el tamaño de la organización debería tenerse en cuenta al hacer esta pregunta. ¿Es irrazonable esperar que un administrador de Firewall también entienda WCF / Metro?

    
pregunta random65537 22.11.2010 - 22:29
fuente

2 respuestas

1
  1. Sí, más o menos. (OMI) Debería ser responsabilidad de ese equipo definir los requisitos mínimos; p.ej. qué métodos de encriptación usar, pero no deben bloquear los gustos de los métodos expuestos. Eso debería pertenecer a desarrolladores de arquitectos de seguridad. A menos que, por supuesto, el equipo de seguridad de TI tenga desarrolladores.

EDITAR: es poco esperar que un administrador de firewall (o una función similar) entienda WCF / metro. Deben entender que funciona sobre HTTP / S / TCP y la estructura de datos básica de un mensaje SOAP, pero no mucho más allá de eso. Es demasiado específico del dominio.

    
respondido por el Steve 22.11.2010 - 22:56
fuente
2

Sí, por supuesto.
Es lo mismo que una revisión de código o una inspección de implementación.
Durante CR, esperaría que los archivos de configuración formen parte de la base de código que se examina; y durante una inspección de despliegue, todas las configuraciones que pueda obtener deben abrirse y examinarse.

Eso también responde no.2 - explique al gerente que es parte de las revisiones anteriores.
3. Nuevamente, igual que arriba: si tiene un proceso alrededor de CR o DI, estos deberían ser parte de eso. 4. Límites: y aquí hay una aclaración necesaria: el equipo de desarrollo es responsable de realizar la configuración, SecTeam tiene supervisión, verificación y, por supuesto, también tiene un estado de asesoría / educación.

Comentó la adición de su edición, los tipos de seguridad de red / sistema operativo realmente no pueden hacer nada con WCF, y no debería esperarse que lo hagan. Me refería al equipo de AppSec, a la arquitectura de seguridad, o como quiera que los llamemos.
Lo mismo ocurre con (la mayoría de los aspectos de) SOAP, es un protocolo de aplicación, los usuarios de la red simplemente no saben qué hacer con él.

    
respondido por el AviD 22.11.2010 - 22:54
fuente

Lea otras preguntas en las etiquetas