WCFまたはJava Metroセキュリティ構成はセキュリティ部門の範囲内ですか?そうする必要がありますか?
Windows Communication Foundation(WCF)は、サーバー側の実行可能コードとデータをインターネット経由で公開する一連のテクノロジです。
IISのポート共有機能、またはWeb開発者がITセキュリティチームに知られていないWCFアプリケーションをホストできることを考えると、ITセキュリティチームは公開されるものとその構成をある程度制御する必要があると思います。
WCF構成の例には、プロトコルの選択、暗号化方式、および公開される実行可能方式が含まれます。
- このテクノロジーはITセキュリティチームの範囲内と見なされるべきであることに同意しますか。
- これをどのように経営陣に売り込んで含めるか(あなたがマネージャーではない場合)
- このテクノロジーを監査および展開するために、どのようなプロセスを導入しますか?
- アプリケーションチームとのサポート境界をどのように定義しますか?
- ... 他の項目
私がこの質問をする理由の一部は、私が働いていた大企業では、SOAPセキュリティは境界セキュリティを処理した同じグループ(多くの場合、処理した同じグループ)の範囲外だったということですファイアウォールとルーター)。
この質問をするときは、おそらく組織の規模を考慮に入れる必要があります。ファイアウォール管理者がWCF/Metroも理解することを期待するのは不合理ですか?
- はい-ある種。 (IMO)最小要件を定義するのはそのチーム次第です。例えばどの暗号化方式を使用するかですが、公開された方式のようなものをロックダウンするべきではありません。それは開発者のセキュリティアーキテクトのものでなければなりません。もちろん、ITセキュリティチームに開発者がいない限り。
編集:ファイアウォール管理者(または同様の役割)がWCF /メトロを理解することを期待するのは少しです。 HTTP/S/TCPおよびSOAPメッセージの基本的なデータ構造で機能することを理解する必要がありますが、それを超えることはあまりありません。ドメイン固有です。
はい、もちろん。
これは、コードレビューまたはデプロイメント検査と同じです。
CRの間、構成ファイルは検査されるコードベースの一部であると思います。また、展開の検査中に、手に入れることができるすべての構成を開いて検査する必要があります。
それはまた2番目の答えです-以前のレビューの一部であることをマネージャーに説明してください。
3。繰り返しますが、上記と同じです。CRまたはDIに関するプロセスがある場合、それらはその一部である必要があります。
4。境界:そしてここに必要な説明があります-開発チームは構成を実行する責任があり、SecTeamは監視、検証を行い、もちろんさらに助言/教育的ステータスにあります。
あなたの編集を追加すると、ネットワーク/ OSのセキュリティ担当者は実際にはWCFで何もできず、期待されるべきではありません。私はAppSecチーム、セキュリティアーキテクチャ、またはあなたがそれらと呼びたいものすべてについて言及していました。
同じことがSOAP(のほとんどの側面)にも当てはまります。SOAPはそのアプリケーションプロトコルであり、ネットワーク担当者はそれをどうするかわからないだけです。