V1.14.1 Configuration Architecture

Requirement:

Verify the segregation of components of differing trust levels through well-defined security controls, firewall rules, API gateways, reverse proxies, cloud-based security groups, or similar mechanisms.

Explanation:

Данное требование направлено на обеспечение разделения компонентов с разным уровнем доверия в архитектуре приложения. Это достигается за счет реализации четко определенных контролей безопасности и механизмов, предотвращающих несанкционированный доступ или взаимодействие между компонентами с разным уровнем доверия.

1 Components of Differing Trust Levels:

• В архитектуре приложения могут присутствовать различные компоненты с разным уровнем доверия.
• Уровни доверия указывают на степень уверенности в безопасности и целостности компонента..

2 Segregation and Isolation:

• Сегрегация предполагает разделение компонентов с различными уровнями доверия для предотвращения несанкционированного взаимодействия между ними.
• Изоляция позволяет уменьшить потенциальную площадь атаки за счет ограничения путей взаимодействия между компонентами.

3 Security Controls:

• Контроли безопасности - это меры, принимаемые для обеспечения разделения и изоляции компонентов.
• Эти меры гарантируют, что компоненты с более высоким уровнем доверия не могут быть скомпрометированы в результате взаимодействия с компонентами с более низким уровнем доверия.

4 Mechanisms for Segregation:

• Для разделения могут использоваться различные механизмы, в том числе:
  • Firewall rules: Ограничение сетевого трафика между компонентами с помощью конфигураций брандмауэра.
  • API gateways: Контроль и защита API-коммуникаций между компонентами.
  • Reverse proxies: Выступают в роли посредников между компонентами, обрабатывая обмен данными и обеспечивая соблюдение правил безопасности.
  • Cloud-based security groups: Виртуальные межсетевые экраны, контролирующие входящий и исходящий трафик для облачных ресурсов.

Remediation:

Для выполнения этого требования выполните следующие действия:

Identify Trust Levels:

• Определите уровни доверия для компонентов приложения.
• Определите, какие компоненты являются более критичными и нуждаются в повышенной безопасности.

Security Controls:

• Внедрите необходимые контроли безопасности на основе определенных уровней доверия.
• Используйте строгую аутентификацию, авторизацию, шифрование и принципы наименьших привилегий.

Firewall Rules:

• Настройте правила межсетевого экрана для ограничения трафика между компонентами различных уровней доверия.
• Настройте правила таким образом, чтобы они разрешали только необходимый обмен данными и блокировали несанкционированный доступ.

API Gateways and Reverse Proxies:

• Используйте API-шлюзы и обратные прокси для управления и контроля доступа к API вашего приложения.
• Эти компоненты позволяют применять политики безопасности и обеспечивают дополнительный уровень защиты.

Cloud-Based Security Groups:

• Если приложение размещается в облачной среде, используйте security groups для определения правил доступа к сети для инстансов.
• Группируйте инстансы на основе уровней доверия и ограничивайте взаимодействие между группами.

Network Segmentation:

• Физически или логически разделите компоненты на отдельные сети или подсети на основе уровней доверия.
• Ограничение связи между этими сегментами с помощью сетевых элементов управления.

Microservices Architecture:

• Выделите микросервисы в отдельные контейнеры или инстансы для сервисов с разным уровнем доверия.
• Защитите взаимодействие между сервисами с помощью безопасных API.

Data Segregation:

• Разделяйте хранилища данных по степени их критичности.
• Реализуйте контроль доступа, чтобы обеспечить доступ к данным только для авторизованных компонентов.

Regular Auditing and Monitoring:

• Проводите постоянный мониторинг и аудит взаимодействия между компонентами с целью выявления несанкционированного доступа или анональных действий.

Security Testing:

• Проведение анализа безопасности, например, тестирования на проникновение и анализа кода, для обеспечения надлежащей реализации контролей безопасности.

Пример реализации требования для приложения, состоящее из следующих компонентов:  

• Frontend (Low Trust):

  • Serves static web pages to users.

• API Gateway (Medium Trust):

  • Acts as an intermediary for API requests from the frontend to backend services.

• Payment Service (High Trust):

  • Processes payment transactions.

• User Service (Medium Trust):

  • Manages user accounts and authentication.

• Database (High Trust):

  • Stores sensitive user and payment data.

Implementation:

1 Firewall Rules and API Gateway: Настроить правила брандмауэра таким образом, чтобы разрешить обмен данными только между шлюзом API и платежным сервисом для проведения платежных операций.Реализовать шлюз API, обеспечивающий аутентификацию и авторизацию запросов API. 2 Network Segmentation: Разместить платежный сервис и базу данных в отдельном сегменте сети с ограниченным доступом.Разрешить только необходимые соединения между платежным сервисом и базой данных. 3 Cloud-Based Security Groups: Если приложение размещается в облачной среде, ограничить доступ к инстансам платежного сервиса и базы данных с помощью групп безопасности. 4 Data Segregation: Шифровать конфиденциальные данные о пользователях и платежах, хранящиеся в базе данных.Реализовать строгий контроль доступа для ограниченного круга лиц, имеющих доступ к базе данных.

Additional:

https://cwe.mitre.org/data/definitions/923.html

https://www.opencve.io/cve?cwe=CWE-923