Criação de uma Política de Mitigação de Vulnerabilidade de Aplicativo da Web orientada para SaaS

As organizações dependem de softwares baseados na web para executar processos de negócios, realizar transações e entregar serviços aos clientes. Ao se aproximar do prazo, a empresa pode ficar ansiosa e sacrificar recursos de segurança para colocar o aplicativo em produção mais rápido. Essa reação resulta frequentemente em um aplicativo abaixo do padrão. Uma solução mais proativa é estabelecer uma política de mitigação de vulnerabilidade de aplicativo da web orientada para Software como Serviço (SaaS) (incluindo scanner de vulnerabilidade de aplicativo baseado em SaaS) que antecipe os pontos problemáticos do aplicativo e contenha várias soluções pré-configuradas para repará-los. O autor apresenta um roteiro para uma política desse tipo e a ilustra usando uma ferramenta de scanner na forma dos produtos IBM® Rational®AppScan.

Judith M. Myerson, Systems Engineer and Architect

Judith M. Myerson é arquiteta e engenheira de sistemas. Suas áreas de interesse incluem sistemas corporativos, tecnologias de middleware, tecnologias de banco de dados, computação em nuvem, políticas de limites, segmentos de mercado, gerenciamento de rede, segurança, tecnologias de RFID, gerenciamento de apresentações e gerenciamento de projeto.



16/Jul/2012

Uma política de medição de serviço na nuvem serve para que provedores de serviços na nuvem rastreiem recursos virtualizados e o estado da infraestrutura física sob dinâmica e escala extremas. Para negociar com o provedor a política de medição a ser usada com o acordo de nível de serviço, o usuário depende do grau de controle que possui — quanto maior o controle do usuário sobre o serviço na nuvem, mais variáveis estarão envolvidas na criação da política.

Este artigo descreve a visão do modelo SaaS na teoria. Na prática, mostraremos como criar uma política de mitigação de vulnerabilidade de aplicativo da web orientada para SaaS.

SLA: recursos virtuais

O tipo do serviço na nuvem determina a disponibilidade de recursos virtualizados a serem rastreados ou medidos para uso com o acordo de nível de serviço (SLA) que exige, por exemplo, a garantia de disponibilidade de 99% do serviço. O tipo de serviço na nuvem e a disponibilidade de recursos virtualizados influenciam as variáveis que devem ser incluídas na criação da política de medição de serviço.

Recursos virtuais baseados em SaaS

Os usuários de SaaS são divididos, de forma geral, em três grupos:

  • Usuários não técnicos
  • Desenvolvedores de aplicativo
  • Responsáveis pela manutenção de websites

Cada grupo possui necessidades diferentes do modelo SaaS:

  • Usuário SaaS: o único controle que um usuário final tem é o acesso ao aplicativo do provedor a partir de um laptop, uma rede ou um dispositivo móvel. O usuário não tem acesso às ferramentas de medida.
  • Provedor SaaS: no mínimo, o provedor controla recursos que incluem sistemas operacionais, hardware, infraestrutura de rede, atualizações de aplicativos e correções. O provedor controla as ferramentas de medida.

Recursos virtuais baseados em PaaS

A disponibilidade de recursos virtualizados baseados em Platform as a Service (PaaS) se reflete no SLA que o assinante de PaaS negocia com o provedor. O SLA se concentra na disponibilidade do serviço oferecido por recursos virtuais usados para proteger os dados, além de gerenciar o acesso aos aplicativos.

Rational AppScan OnDemand Production Site Monitoring

Os responsáveis pela manutenção de website usam o modelo SaaS para evitar vulnerabilidades identificando e priorizando continuamente os riscos de segurança inerentes em um conteúdo da web dinâmico através de diversos aplicativos e domínios. O Rational AppScan OnDemand Production Site Monitoring (AppScan Monitoring) fornece permissões de verificação e acesso a relatórios com base em função e utiliza um subconjunto não invasivo da política de teste AppScan sem logins para garantir a verificação segura de sites de produção.

Quando combinado com outra solução Rational AppScan para teste de código ou para verificação de aplicativo da web pré-produção, o AppScan Monitoring conclui uma estratégia para testar a segurança em todo o ciclo de vida do aplicativo.


A visão do modelo SaaS na realidade

Quando os requisitos de negócio mudam, os requisitos de usuário e limite para o modelo SaaS mudam. Tanto o Windows® Internet Explorer quanto o Firefox apresentam dificuldades para acessar o modelo SaaS.

Alterando os requisitos do usuário

O único controle que os usuários de SaaS têm é de acessar o aplicativo SaaS. O número de usuários não técnicos que pode acessar simultaneamente o aplicativo é limitado por uma licença de usuário. O assinante de SaaS pode negociar com o provedor para alterar os requisitos do usuário elevando o limite máximo de usuários simultâneos em uma nova licença. Usuários não técnicos não têm permissão para alterar os aplicativos a serem testados quanto a vulnerabilidades.

Uma vez que os desenvolvedores de aplicativo têm controle sobre o ciclo de vida de negócios do desenvolvimento de aplicativo, eles podem alterar ou adicionar as tarefas que os usuários de SaaS desejam em um aplicativo ou website. Para cada alteração no comportamento do aplicativo ou do website, os desenvolvedores devem realizar detecção, verificação e correção de vulnerabilidade on demand.

Os responsáveis pela manutenção do website têm controle sobre os websites. Eles devem responder aos requisitos em mudança dos usuários não técnicos e dos desenvolvedores de aplicativo, depois de os desenvolvedores iniciarem aplicativos novos ou atualizados. Os responsáveis pela manutenção devem alterar as configurações do site para permitir a expansão dos recursos que podem ser dinamicamente ampliados e reduzidos. Os usuários não técnicos de desenvolvedores de aplicativo não têm permissão para fazer alterações às configurações do website.

Alterando os requisitos de limite

Os assinantes de SaaS devem ter controle sobre os requisitos de limite de uso que definem o número de usuários simultâneos acessando o aplicativo até o limite especificado em uma licença do usuário do provedor abaixo ou até o nível do limite. Eles devem negociar com o provedor para aumentar o limite do usuário na licença de usuário.

O provedor tem controle sobre a política de limite de recursos que garante que o consumo de recursos seja dinamicamente equilibrado para os aplicativos a serem testados quanto a vulnerabilidades. O assinante de SaaS deve negociar com o provedor a quantidade de recursos dinâmicos alocados a cada usuário, dependendo da função de cada usuário (usuários não técnicos, desenvolvedor de aplicativos, responsável pela manutenção do website).

O provedor tem controle sobre os limites de solicitação de dados que garantem solicitações de dados aos aplicativos possam ser processadas imediatamente abaixo do nível de limite ou no nível de limite. O assinante de SaaS deve negociar com o provedor quanto à alteração do número máximo de solicitações de dados. O máximo que pode ser ampliado depende da função de cada usuário e da alocação dos recursos para usuários de SaaS.

Evite armadilhas com o IE e o Firefox

O Internet Explorer e o Firefox são dois dos navegadores mais populares usados para acessar o Rational AppScan OnDemand e o AppScan Monitoring (no momento da publicação, não tenho as estatísticas de uso do Google Chrome, mas provavelmente ele está crescendo). A escolha do navegador é de acordo com a preferência do usuário.

Embora o Firefox seja mais rápido que o Internet Explorer para carregar páginas quando inicia, uma armadilha é que ele pode resultar em alto consumo de memória. O Firefox pode contribuir para o de memória com mais rapidez que o Internet Explorer. Quando o Firefox está ocioso, ele não para de aumentar o consumo de memória.

O consumo de memória pelo Firefox é influenciado por estas variáveis:

  • Quais complementos e extensões foram incluídos no Firefox.
  • Por quanto tempo você usa o Rational AppScan para testar aplicativos da web e monitorar os websites quanto a vulnerabilidades.
  • Por quanto tempo o Firefox fica ocioso quando você não o está utilizando.
  • Quais outros aplicativos você está usando no seu desktop ou laptop.
  • Quantas CPUs e qual é quantidade máxima de memória para cada uma.
  • O tempo total que um usuário de SaaS está usando o Rational AppScan para testar aplicativos quanto a vulnerabilidades.

Quando a memória se aproxima do limite máximo de CPUs, o navegador começa a desacelerar.

Para evitar as armadilhas de alto consumo de memória do Firefox, siga estas sete etapas sugeridas:

  1. Faça o log-off do Rational AppScan OnDemand e do AppScan Monitoring imediatamente quando tiver concluído o teste de vulnerabilidades.
  2. Ative o Windows Task Manager.
  3. Acesse a guia Processes.
  4. Procure as imagens firefox.exe (e iexplore.exe) (e veja como o consumo de memória aumentou para cada um).
  5. Realce os processos do Firefox.
  6. Clique em End Process na parte inferior do gerenciador de tarefa.
  7. Clique em End Process novamente quando for perguntado se ainda deseja encerrar o processo.

Em seguida, reinicie o navegador. São necessárias permissões para instalar os controles Active X/plugins do Firefox.


Como crio uma política para isso?

Uma vez que os aplicativos da web a serem testados quanto a vulnerabilidades podem variar com base no grupo ao qual o usuário pertence (usuários não técnicos, desenvolvedores de aplicativos e responsáveis pela manutenção do website), é preciso criar uma política de mitigação de vulnerabilidade de aplicativo da web orientada por SaaS que possa ser aplicada a todos os usuários SaaS.

Nesse cenário simplificado de criação da política, aqui estão algumas dicas para cada item da lista de verificação que você deve incluir na política:

  • Finalidade: Do que se trata?
  • Escopo: Crie um limite em torno de sua política.
  • Segundo plano: Quer saber mais?
  • Ações: Arregace as mangas.
  • Restrições: Trabalhe com eles.

Finalidade: do que se trata?

Para alcançar o objetivo de implementar a política de segurança, declare resumidamente o que a política de segurança deve realizar. Pode-se usar um modelo como este para ter uma ideia de como indicar o propósito:

A finalidade da política é ajudar a implementar a política de segurança para o uso do Rational AppScan OnDemand e do Rational AppScan OnDemand Production Site Monitoring orientado por SaaS por usuários finais — usuários não técnicos, desenvolvedores de aplicativos e responsáveis pela manutenção do website. A política foca em níveis de limite, requisitos do usuário e identificações de vulnerabilidades, além do monitoramento como parte da política.

Escopo: crie um limite em torno de sua política.

Defina o escopo "desenhando" um limite em torno da política de segurança. Dentro desses limites, especifique quais usuários finais são englobados na política e se eles representam empresas ou agências do governo. Especifique quais são os níveis de limite máximo e ideal de usuários, dados e recursos, quais requisitos do usuário devem ser atendidos e como as vulnerabilidades são identificadas e monitoradas.

O provedor precisa descobrir se o cliente permanecerá dentro dos limites (cumprirá os termos da política de segurança sobre os controles de acesso) ao acessar o Rational AppScan OnDemand e o AppScan Monitoring. Se o consumidor sair da cerca após ter concordado em cumprir as regras, o usuário do dispositivo móvel corre o risco de violar a política. Nesse caso, o provedor deve indicar as consequências do não cumprimento, para se certificar de que o consumidor permaneça cumprindo.

Eis um modelo a usar ao definir o escopo:

Esta política se aplica a todos os usuários finais de SaaS que usam o Rational AppScan OnDemand e o Rational AppScan OnDemand Production Site Monitoring. Eles devem concordar com todas as cláusulas desta política de segurança e concordar em cumprir todos os seus termos e condições sobre controles de acesso. Qualquer usuário final, desenvolvedor, responsáveis pela manutenção do website cujas ações violem esta política, a política de TI e os regulamentos estará sujeito aos limites ou perda do serviço com o provedor.

Segundo plano: veja o que há por trás da política

As primeiras coisas que um cliente quer saber são se o provedor é interno ou externo e quais são os limites do gerenciamento de controles entre o provedor e um usuário de SaaS (por exemplo, o usuário final de SaaS tem o controle final), como o provedor iria gerenciar os controles de acesso, fornecer proteção dos dados, gerenciar máquinas virtuais e responder a ataques à segurança da nuvem ou incidentes em dispositivos móveis.

O usuário de SaaS deseja saber como a política de segurança abrange os problemas de restauração do sistema (e usuário, dados e níveis de limite de recursos) para laptops e quão rapidamente ele obtém créditos, tempo gratuito ou o direito de encerrar, conforme estabelecido no SLA.

O usuário de SaaS deseja saber como acessar o IBM Security Bulletin sobre possíveis vulnerabilidades de qualquer produto Rational AppScan e as correções para eliminar essas vulnerabilidades.

Eis um modelo que pode ser usado para dar uma ideia do que incluir.

O Rational AppScan OnDemand e o Rational AppScan OnDemand Production Site Monitoring são hospedados externamente pela IBM, uma empresa que é membro do segmento de telecomunicações.

Se um surto nas demandas de carga de trabalho for causar uma redução do desempenho do sistema com relação aos níveis de disponibilidade garantidos por 30 dias, o provedor deve dar aos usuários de SaaS créditos, tempo gratuito ou o direito de encerrar os serviços conforme estabelecido no SLA.

O provedor deve notificar o consumidor sobre as exceções ou restrições ao limite e políticas de mitigação de vulnerabilidade.

Uma licença de usuário contém três tipos de limites máximos:

  • Usuários acessando o aplicativo simultaneamente.
  • Instâncias de recursos a serem alocadas para cada usuário.
  • Solicitações de dados com as quais o usuário pode lidar durante um aumento nas demandas de carga de trabalho.

Ações: Arregace as mangas

Aqui estão sete sugestões de ações para deixar os clientes felizes:

  • Ação nº 1. Enviar aos clientes cópias da política de mitigação de vulnerabilidade de aplicativo da web orientada para SaaS para revisão e questões a serem sanadas antes de o consumidor inscrever-se para o Rational AppScan OnDemand e o AppScan Monitoring.
  • Ação nº 2. Indicar em uma licença do usuário SaaS o limite máximo de usuários simultâneos, as instâncias de recursos para esses usuários e as solicitações de dados que cada usuário pode manipular.
  • Ação nº 3. Indicar os tipos de vulnerabilidade que o Rational AppScan OnDemand e o AppScan Monitoring podem verificar.
  • Ação nº 4. Exibir verificações no segundo plano de todos os usuários na nuvem pretendidos antes de conceder a eles acesso à nuvem. A profundidade das verificações no segundo plano depende do tipo de aplicativo o a ser testado quanto a vulnerabilidades e o tipo de segmento de mercado que os usuários pretendidos representam.
  • Ação nº 5. Exigir programas de treinamento para usuários da nuvem aprovados sobre conscientização sobre segurança e rotulagem e manipulação de dados após a conclusão dos testes de vulnerabilidade.
  • Ação nº 6. Fornecer aviso prévio sobre manutenção programada ou atualizações à infraestrutura de hardware, software e redes subjacente ao modelo com base em SaaS.
  • Ação nº 7. Avisar para usar dados simulados ou de teste ao testar software quanto a vulnerabilidades. O uso de dados confidenciais é proibido.

Confira aqui um modelo que você poderá usar:

Treinamento em segurança: O provedor define os requisitos mínimos para o treinamento em segurança para os usuários de SaaS aprovados sobre conscientização e mitigação de vulnerabilidade.

Manutenção agendada: O provedor define um planejamento da manutenção, incluindo atualizações.

Verificações de segundo plano: O provedor define os requisitos para verificações de segundo plano para usuários desejados da nuvem.

Licença de usuário de SaaS: O provedor define o limite máximo de:

  • Usuários que podem acessar o aplicativo simultaneamente.
  • Instâncias de recursos que os usuários podem usar para acessar e executar o aplicativo.
  • Solicitações de dados que os usuários podem enviar e receber simultaneamente usando as instâncias de recursos disponíveis.

Dados de teste: o provedor define os requisitos mínimos para executar os dados de teste com o aplicativo a ser testado quanto a vulnerabilidades.

Restrições: trabalhe com elas

Provavelmente haverá restrições durante o processo, como:

  • Questões de prioridade de serviço para diferentes grupos de consumidores, dependendo das funções designadas pela organização aos consumidores. Um usuário final com privilégios administrativos tem uma prioridade maior sobre o usuário final que não tem privilégios administrativos para acessar um aplicativo SaaS.
  • Grupos de governança de gerenciamento de mudanças. Para refletir mudanças, atualize a política de segurança, as políticas de limite e o SLA.
  • Exceções de serviço a um tipo de serviço em nuvem. Aqui está uma dica: acidente de corte de fibras óticas que não esteja dentro do controle direto do provedor, manutenção programada (planejada e não planejada) e atualizações comportamentais proativas planejadas a aplicativos.
  • Penalidades de segurança por não obedecer a todos os termos e condições da política de segurança. Especifique as consequências da não obediência à política de segurança e às regulamentações da política de TI.

Confira aqui um modelo que você poderá usar.

Usuário final de SaaS que tem função de administrador de uma licença de usuário tem uma prioridade maior sobre outros usuários finais ao acessar um aplicativo licenciado.

Devido a uma recente mudança na organização, o grupo de governança de política mudou do Departamento FGH para o Departamento RST. Isso requer uma atualização à política de mitigação de vulnerabilidade de aplicativo da web orientada por SaaS.

Atualmente, as exceções de serviço abrangem:

  • Mudanças ou atualizações agendadas proativas no comportamento do aplicativo.
  • Ataque de botnet contra o host do provedor.
  • Manutenção programada do provedor.
  • Disponibilidade normal do serviço do provedor de 7h às 18h e disponibilidade restrita do serviço de 20h às 23h.

Conclusão

A criação de qualquer política de segurança requer planejamento antecipado para solucionar os problemas sobre como a finalidade, o escopo e o segundo plano da política devem ser definidos: uma vez que os dados obviamente possuem mais que uma chance de serem expostos em um ambiente em nuvem, criar uma política de segurança de aplicativo da web eficiente é necessário.

Os desenvolvedores devem se comunicar com o consumidor e o provedor de serviços de nuvem sobre as questões quanto controle um consumidor deverá ter, que ações o provedor deverá tomar e quais são as restrições à política. Mais importante de tudo, o consumidor deverá receber uma cópia da política de segurança (bem como as cópias das políticas de limite) do provedor para analisar e levantar questões a serem resolvidas antes da negociação com o provedor.

Recursos

Aprender

Obter produtos e tecnologias

Discutir

Comentários

developerWorks: Conecte-se

Los campos obligatorios están marcados con un asterisco (*).


Precisa de um ID IBM?
Esqueceu seu ID IBM?


Esqueceu sua senha?
Alterar sua senha

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


A primeira vez que você entrar no developerWorks, um perfil é criado para você. Informações no seu perfil (seu nome, país / região, e nome da empresa) é apresentado ao público e vai acompanhar qualquer conteúdo que você postar, a menos que você opte por esconder o nome da empresa. Você pode atualizar sua conta IBM a qualquer momento.

Todas as informações enviadas são seguras.

Elija su nombre para mostrar



Ao se conectar ao developerWorks pela primeira vez, é criado um perfil para você e é necessário selecionar um nome de exibição. O nome de exibição acompanhará o conteúdo que você postar no developerWorks.

Escolha um nome de exibição de 3 - 31 caracteres. Seu nome de exibição deve ser exclusivo na comunidade do developerWorks e não deve ser o seu endereço de email por motivo de privacidade.

Los campos obligatorios están marcados con un asterisco (*).

(Escolha um nome de exibição de 3 - 31 caracteres.)

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


Todas as informações enviadas são seguras.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=80
Zone=Cloud computing, Rational
ArticleID=824859
ArticleTitle=Criação de uma Política de Mitigação de Vulnerabilidade de Aplicativo da Web orientada para SaaS
publish-date=07162012