当我们说技术架构安全评审的时候,我们在说什么?

原文链接:https://mawei.blog/post/architecture-security-review/

“技术架构安全评审”是个什么活动?它解决什么问题?看上去给人感觉是个挺“重”的活动,有必要执行它吗?这个活动是如何进行的呢?希望这篇文章能为你揭开技术架构安全评审神秘的面纱。

解决的问题

技术架构安全评审的目标是,尽早识别出技术架构中的安全风险,使得开发团队能够在早期以更低的成本弥补或直接避免严重安全隐患的出现。

或者说,想要解决的问题是:由于技术架构层面存在安全隐患,并且没有被及时暴露出来得以修正,导致应用程序后期出现严重安全漏洞,或着造成安全漏洞修复成本极高(因为可能需要对技术架构进行大幅调整)甚至无法修复的问题。

想象一下,如果完全略过这一步可能会出现什么样的情况:应用上线前最后一刻被紧急叫停,渗透测试发现存在一处严重的安全漏洞。好消息是,通过对技术架构做出调整可以修复这个漏洞;坏消息是,修复难度大耗时长,这部分计划外的工作量给本来就面临交付压力的团队带来更多压力。团队面临两难:修,则可能影响上线计划;带病上线,背后的风险谁来承担?

什么时候做

在知道了技术架构安全评审解决什么问题后,你就知道这个活动越早做越好,最好是和技术架构一起做,直接设计出一个安全质量可靠的技术架构。

一些采用敏捷开发方式的团队,他们的技术架构是伴随着迭代的进行,根据业务和技术的最新情况而不断动态演进,最初的时候不见得有一个大而全的技术架构设计。这种情况下,并没有所谓的“尽早”,因为技术架构可能一直处于变化的状态。尽管如此,技术架构安全评审依然可以伴随着技术架构的演进而进行,也就是每当提出新的技术架构,或者要对现有技术架构做调整之前,都做一次技术架构安全评审。值得注意的是,只有把技术架构安全评审进行轻量化改造,才能做到技术架构安全评审伴随技术架构演进而进行。

谁来做

“评审”这个词给人留下的印象,仿佛应该是由安全团队来完成这个工作,在一些公司里也确实是按照这样的方式来运作的。

不过这个活动不一定只能由安全团队来完成,由安全团队和开发团队结对进行也是一种不错的选择。这种情况下,安全团队和开发团队之间会有更加频繁和紧密的沟通交流,能够更容易的从技术架构中寻找出潜在的安全风险,更准确的评估其风险级别,以及提出更可行的改进方案。

而在一些安全能力成熟度较高,或着拥有一支转变了思维模式的安全团队的组织里,安全团队会把做技术架构安全评审的能力赋能给开发团队,由他们自己独立完成安全评审,安全团队更多的是扮演幕后工作人员的角色,为开发团队提供支持。

可能有人会担心,如此一来开发团队岂不是既当运动员又当裁判?技术架构安全评审的结果如何保证?这种担心是可以理解的,而且如果操作不当确实有可能出现技术架构安全评审流于形式的局面,因此这种模式只适用于安全能力成熟度较高,且拥有一颗持续追求安全技术卓越之心的组织或团队。前者保证了团队具备相应的能力,后者确保了团队拥有极强的责任感。

以上几种执行方式各有所长,效果以及对前置条件的要求也各不一样,组织根据自己的实际情况来选择最适合的一种即可。通常我们更建议第二种,即开发团队和安全团队结对的方式。

怎么做

第一步,全面了解技术架构,知己知彼才能百战不殆。技术架构安全评审在某种程度上来讲,和黑客进行渗透测试之前的信息收集(“蹲点”)也有异曲同工之妙。两者都是在前期尽可能全面的了解被评审(测试)的对象。信息收集得越多越全面,更有利于准确的判断架构中是否存在安全缺陷或隐患。

根据我们的实践经验,威胁建模通常能给技术架构安全评审提供非常有价值的输入。一次高质量的威胁建模的结果基本上都会包含以下这些信息:
要保护哪些资产?
谁可能对我们发起攻击?他们的动机?
面临哪些威胁?
有哪些技术性应对策略可以采用?
应用将会采用的技术栈
应用将会对接的第三方系统
应用所处的网络、主机等运行环境

才外,还需要知道应用是否必须符合哪些外部法律法规、行业规范的要求。比如说,是否需要遵从GDPR?如果要处理信用卡信息,是否要符合PCI DSS的规范?等等

第二步,检查安全三要素是否满足。CIA是非常基础的安全三要素,分别是Confidentiality(机密性)、Integrity(完整性)、Availability(可用性)。我们可以基于上一步对技术架构(甚至包括对业务上下文)的了解,并围绕这三个要素提出并回答一些问题,从而正式开始我们的评审,例如:

  • 应用是否要传输、处理或保存敏感数据(比如用户密码、每个月的运营数据)?如果是,这些数据是什么数据?它们各自的敏感程度如何?
  • 是否需要对数据完整性进行保护?如果数据被外部攻击者或内部人员恶意修改了,会对应用或业务产生什么影响?
  • 技术架构层面我们目前采取了哪些措施,用以保证应用具备足够高的可用性,避免出现业务中断?需要负载均衡吗?灾备方案如何?

第三步,基于安全清单对技术架构进行检查。有很多安全清单可以选择,有人把OWASP历次发布的TOP 10版本合并成一个大的清单,并以此来回顾技术架构中是否存在出现这些安全漏洞的可能。这是从最流行的安全漏洞的视角出发,来对技术架构进行评审。

例如对于Cross-Site Scripting这个漏洞,我们看到应用做了前后端分离,前端框架用的是VUE,其默认会对数据进行编码,看似架构选型直接避免了这个问题。但需要注意得是,我们有时候需要在页面上呈现一篇含有HTML的文章片段,因此也需要注意在渲染raw HTML的地方(也就是使用v-html指令),需要服务器端提前把不符合要求的HTML或脚本过滤掉。

也可以根据下面的这个比较常见的安全维度对技术架构进行评审:

  • Authentication 认证
  • Authorization 授权
  • Session Management 回话管理
  • Security Configuration 默认安全配置
  • Input Validation 数据输入校验
  • Output Encoding 数据输出编码
  • Cryptography 加解密及其算法
  • Error Handling 错误及异常处理
  • Logging 日志处理
  • Communication Protection 数据传输安全保护
  • Files and Resources 文件上传下载保护
  • SMS/Email 短信及邮件发送

第四步,根据历史经验教训,判断重复掉“坑”里去的风险。俗话说吃一堑长一智,要尽量避免在同一个问题上犯两次同样的错误,这对于技术架构设计也是适用的。如果历史上出现过安全事故,或者之前被发现过有安全漏洞,那么技术架构安全评审也就需要在这方面保持更高的警惕,看架构中是否依然存在类似的安全风险。

例如,某个团队在之前开发的某个应用程序中,由于缺乏预判,以至于其短信验证码登录模块缺乏足够的安全防护,被攻击者绕过导致注册了大量垃圾账号。而此刻,在对新的应用进行技术架构评审的时候,若发现应用依然涉及短信登录,那么就对这部分的的安全防护方案进行着重检查。

总结

技术架构安全评审的最大价值在于,使得开发团队可以在更早的时候得知应用的安全质量是否存在安全隐患,并且可以在这个时候以更低的成本做出改进,否则等到应用临近上线前的渗透测试再发现由于技术架构而引起的安全漏洞,其修复成本往往很高甚至无法修复。

技术架构安全评审确实对执行者的安全能力有所要求,与此同时也需要对技术架构甚至背后的业务上下文有所了解,因此推荐是安全团队和开发团队成员共同结对来完成这项工作。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,294评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,493评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,790评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,595评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,718评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,906评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,053评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,797评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,250评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,570评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,711评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,388评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,018评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,796评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,023评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,461评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,595评论 2 350