一.安全问题
1. 运行账号类问题
a. 如果是容器化组件: 是否使用root账号,是否开启特权模式?
b. 如果是非容器化组件:使用什么账号运行,如果使用root账号,为什么?
c. 是否采用了最低权限账号运行服务?
2. 依赖组件类问题
列出本模块的所有依赖的组件,包括数据库、message queue,并提供连接账号,传输协议。
3. 基本设计类问题
a. 组件是否高可用?
b. 组件是否设计了过载保护?
c. 组件接口是否向外网或者API网络暴露,是否为匿名访问?
d. 组件是否为不同的访问者提供不同账号?连接账号写死还是可以更换?
e. 组件的返回结果,包括出错时候的结果,是否包含了敏感信息?
f. 组件是否提供了调试接口,调试的方式是什么?
g. 组件如何预防了注入攻击,XSS攻击,DOS攻击等外部恶意攻击?
h. 组件如何进行升级?
i. 提供组件的设计文档和接口文档?
4. 数据存储类问题
a. 是否包含敏感数据,如用户名密码,token,私钥。如包含,如何加密,加密算法是什么,是否加密?
b. 是否包含用户隐私类数据,如用户的部门、国籍、邮箱、访问IP。如包含,如何匿名化?(参考GDPR标准)
c. 是否包含用户提交的代码、镜像、二进制软件包,如果有,是否提供签名、MD5、SHA256码进行防篡改设计?
5. 网络传输类问题
a. 组件是否横跨网络平面,如果有?如何进行安全隔离?
b. 列出组件对外的端口和协议。
6. 日志审计类问题
a. 组件是否上报组件日志、性能数据?
b. 如果组件和用户操作有关,是否记录操作日志 ?
二.服务安全考虑
访问安全
用户访问平台有三种方式,分别是通过网络接入、API访问、WEB访问,需要定义网络接入、API访问安全要求、WEB访问安全要求,及解决方案。
网络接入安全
TCP、UDP、MQTT接入方式。
要求:
1) 数据完整性和机密性传输;
2) 接入用户认证和鉴权。
TCP:SSL;
MQTT:用户名、密码、SSL(单项校验、双向校验)
上层应用对设备ID的校验
WEB访问安全
要求
1)对登录用户进行认证,对用户权限进行管理;
2)应支持WEB代码安全机制,对输入输出有效性进行检查,防范认证漏洞、权限漏洞、会话漏洞、Web服务漏洞、注入漏洞等代码漏洞。
3)应支持对所访问资源的访问控制机制。
4)应支持安全传输。
API访问安全
要求
1)服务API的调用应支持认证、鉴权和授权。
2)服务API的调用应支持对用户所访问资源的访问控制机制。
3)服务API的调用应支持接口输入数据有效性检查,支持防范重放攻击和代码注入攻击。
4)服务API的调用应具备防DoS/DDoS攻击能力。服务API接口应支持安全传输。
5)服务API的调用应支持安全传输。
6)服务API接口应支持过载保护,实现不同服务等级租户间业务的公平性和系统整体处理能力的最大化。
7)服务API的调用应支持日志记录,日志信息满足审计的要求。
账户安全管理
要求:
1) 用户登录认证;
2) 支持多种角色,不同角色权限不同。
3) 运行商用户和企业用户 需要由系统管理员创建,不得自由注册;
4) 用户密码策略管理
1.应支持密码复杂度策略;
2.应支持设置密码有效期,到期强制用户修改密码。
3.支持密码加密保存,前后端接口中加密传输。
5)用户登录、操作日志。
数据安全
要求:
1)设备掉电或异常重启,数据不丢失。
2)外部无法访问内部数据库。
3)支持用户权限管理,用户仅能访问权限内的数据。
三. 平台安全考虑
访问安全
PaaS的网络、Web、API访问。
存储与备份
要求:
1)支持数据备份和恢复;
2)支持持久化存储;
3)硬件故障,数据可恢复,避免单点故障。集群存储?多地?
网络安全
要求:
网络劫持
窃听
边界安全
网络DDOS
主机安全
PaaS软件平台安全
对应用资源的监控、预警、告警。
平滑版本升级或补丁升级。
租户虚拟资源空间安全
租户之间资源、访问隔离。
账户安全管理
需要区分用户角色,普通用户注册,需要限制资源的使用。
权限管理。
安全服务
操作日志
四.物理层/IaaS平台安全考虑
操作系统安全
文件安全
指令系统安全
五.记录追踪
服务器上操作记录与日志的保存
TODO
六.开源许可的研究
哪些开源软件可以用,以及许可使用的条件研究。
TODO