深度安全
我们来看一下另一个IT安全要求:深度安全。简单来说,深度安全是一系列建立防御的措施,即使某个防御失效,另外有防御机制可以阻止攻击者的攻击。银行安全控制是一个深度安全的典型实例。银行中设有各种防盗门,摄像头和配有武器的警卫。银行设有严格的时间要求和对其中内容的访问权限控制的保险箱。银行的职员们手头只有有限的现金和签署资金的权限。当然银行职员都有不靠谱的态度——首先盗贼不会来这里找麻烦。
银行安全的另外一个基础原则是:银行绝不会花费比所要保护的内容还要高的代价去保证安全。如果这样做了,其他人不会做他们的工作了。
在那一方面,我们的工作也是一样。在我们开始保护一些东西之前,需要去评判一下我们所要保护东西的价值。对确定是否需要保护之前需要进行定量分析。一个不仅精通技术,又能了解整个生产过程花费的安全专家是一个公司宝贵的财富。如上所述,使存在的技术和特征发挥最大的作用是成功的关键,这也是我在本书中想要讨论的内容。
有杠杆作用的EFS
现在看来将EFS进入到我们的模型好像最合适不过了。从某方面来说,EFS的配置过程有些复杂。因此,理解每个部分的配置分支很重要。正如我们第一个里程碑所做出的努力,我们将继续一步一步地达到我们的最终目标。不仅将继续研究基于HTTP协议的安全的远程获取文件的方式,而且会增加新的特性使用户在任何地方通过浏览器能具有丰富的对个人文件的读写权限,完全基于HTTP协议和完全安全的方式进行。我相信你一定觉得很酷。
首先我们假设Greg和Steve可以从外部获取内部文件,因此他们可能需要安全的检索文件的机制。这几乎不是一个让人眼花缭乱的特性,但是至少我们已经朝着正确的方向开始了应用。我们开始配置一个真实世界的不需要大量管理的情况(吸引了我们的一些关注)。Greg和Steve显然需要对他们共享内容的读写权限,我们赋予G所在组以读写权限。这样不仅Grey和Steve获得了对对方文件的读写权限(在商业中通常如此),由于MyWebApp的用户作为G所在组的组员,也具有对他们文件的读写权限。
这给我们提供令人感兴趣的管理方面的一些解决方案。但远非将某个目录设置为组内都可以访问这么简单,因为这样违背“最小权限”标准。这不是一个严格正确或错误的方式,就是一个最少花费获得最大利益的方式。尽管我们能记录每个用户的对每个目录的权限,并且能限制MyWEbApp的用户只具有读权限,这样用户在操作需要时仍然具有所有文件的读权限。或许有人认为你能对MyWebApp用户进行深度探讨,去限制用户的列出文件内容的权利,但是情况会变得更加复杂。一个应用需要对包含web.config文件的所有目录的完全的读权限,如果用户不能打开web.config文件或者其他一些不得不读取内容的文件,你们的应用将会马上抛出一个服务器错误异常。也就是说,你确实可以手动设置那些仅需要列出文件名的用户赋予列出文件夹内容的权限。但是在实际产品中,你很可能不得不涉及到读权限。
EFS和服务用户
当web应用的中一个错误或一些其他脆弱性允许攻击者在web应用的文本中执行脚本函数,这将变成一个真实世界的安全威胁。如果攻击者发现这样一个安全漏洞,他将能够获得MyWebApp可以获取的任何文件的读权限。这就为什么正确配置用户权限如此重要:权限的范围应该精确分配。只要用户对用户目录有开放的读权限,就可能有风险。因此我们开始探索另外的途径。
如果我们能很好地发挥EFS的杠杆作用,对每个用户的所有文件进行透明加密处理。经加密后,不管对这些文件具有权限的哪些用户,都不能看到文件内容,除非解密这些文件需要的私匙,然后MyWebApp不能获得。这项技术的应用起源于web上对文件的获取。这项应用能部署到各种各样的环境中。关于我们的例子,应用将能充分发挥函数的作用,但是所有的加密文件完全除外。这种策略的额外好处是直接的管理好处,我们能使顶级用户目录权限集改变成在组层次的读写权限,但是仍能保证所有用户的文件不被泄露该MyWebApp用户和其他用户。这是一个好的策略。
3204
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
