Fallstudien zur Sicherheit: Unternehmen B
Unternehmen B ist ein Softwareunternehmen. Das Geschäftsmodell des Unternehmens sieht elektronische Transaktionen mit Schlüsselkunden und -lieferanten vor. Unternehmen B verwendet für seine Transaktionen eine BizTalk Server Implementierung.
Unternehmen B verwendet BizTalk Server, um Transaktionen und Kommunikation zwischen internen und externen Anwendungen zu verwalten. Die Kommunikation des Unternehmens B erstreckt sich über 85 interne Anwendungen und etwa 2300 Handelspartner. Das Unternehmen verarbeitet aktuell ungefähr 2,5 Millionen Dokument pro Monat und schätzt, dass es Ende 2007 6 Millionen Dokumente pro Monat verarbeiten wird.
Mögliche Bedrohungen und Sicherheitsüberlegungen
Unternehmen B möchte sicherstellen, dass es ausschließlich Nachrichten von authentifizierten Quellen abruft und verarbeitet Unternehmen B möchte außerdem sicherstellen, dass es Dokumente, die sich außerhalb des eigenen Unternehmensnetzwerks befinden, so sicher wie möglich abrufen und empfangen kann. Die Firewall, die das Unternehmensnetzwerk von Unternehmen B vom Internet trennt, lässt nur Datenverkehr von Port 80 und Port 443 durch. Die Firewall lehnt den gesamten anderen Datenverkehr ab.
Sicherheitsarchitektur
In der folgenden Abbildung ist die Sicherheitsarchitektur dargestellt, die Unternehmen B verwendet. Unternehmen B verwendet BizTalk Server als Nachrichtenbroker für die Kommunikation zwischen internen Anwendungen sowie zum Verarbeiten, Senden und Empfangen von ordnungsgemäß formatierten Nachrichten an seine Lieferanten und Kunden bzw. von seinen Kunden und Lieferanten. Unternehmen B muss interne und externe Dokumente verarbeiten, die in unterschiedlichen Formaten vorliegen. Dazu gehören Flatfiles und XML-Dokumente.
Abbildung 1: Sicherheitsarchitektur des Unternehmens B
Unternehmen B verwendet eine einzelne Firewall als Trennung zwischen den Unternehmenscomputern und dem Internet. Als zusätzliche Sicherheitsebene nutzt Unternehmen B IPsec-Kommunikation (Internet Protocol Security) zwischen allen Unternehmensservern und -arbeitsstationen, die zum Unternehmensnetzwerk gehören. Im Unternehmen B wird mit IPsec die gesamte Kommunikation in der internen Domäne verschlüsselt.
Für das Empfangen von Flatfiles verwendet Unternehmen B einen Dateifreigabeserver. Dieser Dateifreigabeserver befindet sich außerhalb des Netzwerks und der Domäne des Unternehmens. Eine Firewall trennt den Dateifreigabeserver vom Unternehmensnetzwerk. Die externen Partner von Unternehmen B legen ihre Flatfile-Dokumente auf diesem Dateifreigabeserver ab und kommunizieren über eine verschlüsselte PPTP-Pipeline (Point-to-Point Tunneling-Protokoll) mit dem Dateifreigabeserver. Unternehmen B schützt den Zugriff auf den Dateifreigabeserver durch Partnerkennwörter, die alle 30 Tage ablaufen.
Unternehmen B hat eine benutzerdefinierte Dateiverschiebungsanwendung erstellt, die die Flatfile-Dokumente vom Dateifreigabeserver abruft und zur weiteren Verarbeitung an BizTalk Server sendet. Die internen Anwendungen von Unternehmen B nutzen die benutzerdefinierte Dateiverschiebungsanwendung außerdem dazu, Flatfiles an BizTalk Server zu übergeben. BizTalk Server transformiert diese Dokumente und sendet sie an die Handelspartner von Unternehmen B.
Bevor BizTalk Server die jeweiligen Partnerdaten in die internen Anwendungsformate konvertiert, prüft es, ob ein Eintrag für den Sender, Empfänger und Dokumenttyp vorliegt. Empfängt BizTalk Server eine Nachricht, für die es keinen solchen Eintrag gibt, weist BizTalk Server die Nachricht zurück. Die Nachricht wird dann vom Betriebsteam des Unternehmens B überprüft. Die internen Anwendungen senden Nachrichten in verschiedenen Formaten, wozu EDIFACT, Flatfile, XML und ANSI X12 gehören.
Unternehmen B empfängt außerdem über HTTPS Dokumente von internen und externen Quellen. Externe Partner senden ihre Dokumente an einen Webserver, der nicht zum Unternehmensnetzwerk gehört. Eine Firewall trennt diesen Webserver vom Unternehmensnetzwerk. Die benutzerdefinierte Dateiverschiebungsanwendung ruft auch die Dokumente ab, die über HTTPS gesendet wurden. Unternehmen B nutzt für das Verschlüsseln und Signieren von Nachrichten an seine Handelspartner ein Drittanbieterprodukt. Als zusätzliche Sicherheitsmaßnahme führt Unternehmen B jede Nacht auf allen Servern eine Überprüfung aus, damit sichergestellt ist, dass die Server die richtigen Sicherheitseinstellungen haben. Unternehmen B protokolliert alle Ausnahmen für eine Prüfung.
Weitere Informationen
Sicherheitsfallstudien für kleine & Medium-Sized Unternehmen
Beispielarchitekturen für kleine und mittelgroße Unternehmen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für