บริการตัวแทน msdeploy สามารถเปิดการโจมตีแบบเวกเตอร์บนเซิร์ฟเวอร์ของเราได้หรือไม่?

เรากำลังประเมินการใช้ msdeploy Web Deployment Agent Service สำหรับการปรับใช้อัตโนมัติไปยังเซิร์ฟเวอร์ที่ใช้งานจริงของเรา

สิ่งหนึ่งที่เราไม่สามารถทราบได้คือผลกระทบด้านความปลอดภัยที่อาจเกิดขึ้น

สิ่งหนึ่งที่แน่นอนคือเว็บเซิร์ฟเวอร์ของเรามีความปลอดภัย (หลังไฟร์วอลล์และตัวโหลดบาลานซ์) ดังนั้นจึงอนุญาตให้มีการรับส่งข้อมูล http เท่านั้นจากภายนอก

อย่างไรก็ตามเอเจนต์การปรับใช้เว็บทำงานรวมกับ IIS (สิ่งเดียวที่ต้องเผชิญนอก) เนื่องจากสามารถเข้าถึงได้ผ่าน http (s) ดังนั้นเราจึงกลัวว่าอาจเป็นไปได้ที่จะเข้าถึงเอเจนต์ผ่านเว็บที่โฮสต์บน IIS นั้น - และในที่นี้การเข้าถึงแบบอ่านและเขียนไปยังทุกเว็บของเรา

msdeploy ปลอดภัยสำหรับการใช้งานในสภาพแวดล้อมการผลิตอย่างไร

ปรับปรุง: เว็บเซิร์ฟเวอร์การผลิตกำลังเรียกใช้ IIS7

มันใช้เวลาไม่นานตั้งแต่ฉันใช้และฉันใช้กับ IIS 6 เท่านั้นซึ่งไม่รวมถึงส่วนการจัดการเว็บ คุณสามารถแก้ไข URL การจัดการระยะไกลและพอร์ตและบล็อกที่ไฟร์วอลล์ภายนอก เห็นนี้: การปรับแต่งและการรักษาความปลอดภัยในการให้บริการระยะไกล มันเป็นกลไกรักษาความปลอดภัยที่สำคัญคือความปลอดภัยของบัญชีผู้ใช้ แต่อย่างที่คุณบอกว่ามันอยู่ใน IIS ทั้งหมดดังนั้นช่องโหว่ IIS อาจทำให้มาตรการรักษาความปลอดภัยไร้ประโยชน์จนกว่าจะมีการแก้ไข ด้วยเหตุนี้ฉันจึงลังเลที่จะอนุญาตให้อัปเดตเนื้อหาเว็บจากอินเทอร์เน็ต แต่สิ่งนี้ขึ้นอยู่กับข้อกำหนดด้านความปลอดภัยขององค์กรของคุณกับความต้องการของนักพัฒนาเว็บของคุณ

เพื่อหลีกเลี่ยงการเปิดเผยบริการการปรับใช้เว็บกับอินเทอร์เน็ตคุณสามารถทำสิ่งต่อไปนี้:

• ให้เว็บไซต์เริ่มต้นฟังบน IP ภายในอย่างเดียวที่ไม่ใช่ NATed หรือเป็นส่วนหนึ่งของช่วง IP ดุลการโหลด
• คุณสามารถให้เว็บไซต์การจัดการเริ่มต้นฟังบน localhost เท่านั้นจากนั้นเขียนสคริปต์ที่เรียกใช้ msdeploy ที่เรียกใช้งานได้บนแต่ละโฮสต์ให้ทำงานในพื้นที่ (แทนที่จะใช้ msdeploy เพื่อเชื่อมต่อระยะไกลไปยังโฮสต์ทั้งหมดจากจุดเดียว)
• มีตัวกรองโหลดบาลานเซอร์ภายนอกของคุณที่พยายามกด URL การปรับใช้เว็บ (เช่นhttps: // เซิร์ฟเวอร์: 8081 / MSDeploy )
• มีโฮสต์การปรับใช้ (ภายใน) ที่กำหนดซึ่งการปรับใช้เว็บทั้งหมดของคุณมาจากและอนุญาตให้ IP นั้นเชื่อมต่อกับเว็บเซิร์ฟเวอร์ของคุณใน URL การปรับใช้ (บล็อกสิ่งใดก็ตามที่ไม่ได้มาจากโฮสต์การปรับใช้เดี่ยว)

หากยังมีความจำเป็นที่จะต้องมีฟังก์ชั่นการปรับใช้เว็บพร้อมใช้งานโดยตรงจากอินเทอร์เน็ตบอกว่านักพัฒนาเว็บของคุณทั้งหมดทำงานจากระยะไกล (ฉันไม่สามารถจินตนาการได้ว่าทำไมสิ่งนี้ถึงจำเป็นโดยตรงด้วยการใช้งาน VPN อย่างกว้างขวาง) คุณสามารถมีกระบวนการปรับใช้แบบ 2 ขั้นตอนที่คุณตั้งค่า DMZ แยกด้วยกล่อง IIS 7 ที่เปิดใช้งานเว็บ Deploy ในนั้น (แยกจาก DMZ ของฟาร์มฟาร์มของคุณ) และอนุญาตให้นักพัฒนาเว็บของคุณ เชื่อมต่อกับ DMZ นั้นจากอินเทอร์เน็ตเพื่อปรับใช้การเปลี่ยนแปลงจากระยะไกล จากนั้นคุณสามารถเชื่อมต่อภายในกับโฮสต์นั้นและปรับใช้กับส่วนที่เหลือของเว็บเซิร์ฟเวอร์ของคุณหลังจากตรวจสอบการเปลี่ยนแปลงการทดสอบและอื่น ๆ แม้ว่าวิธีนี้จะไม่มีความเสี่ยง - ผู้ใช้ที่ประสงค์ร้ายอาจลงเอยด้วยการใช้งานเว็บ รหัสที่เป็นอันตรายโดยที่คุณไม่รู้ตัวและคุณไม่สามารถแนะนำให้รู้จักกับสภาพแวดล้อมการผลิตของคุณได้

คำตอบง่ายๆ ใช่สิ่งใดที่ทำงานบนคอมพิวเตอร์ใด ๆ จะเปิดเวกเตอร์การโจมตี ควรสันนิษฐานเสมอว่ามีช่องโหว่ในซอฟต์แวร์ การลดผลกระทบเป็นปัจจัยสำคัญ จำกัด การเข้าถึงเครือข่ายผู้ใช้คอมพิวเตอร์ IP และอื่น ๆ นอกจากนี้ตรวจสอบการเข้าถึงทางกายภาพ

นอกจากนี้คุณยังสามารถ จำกัด การอัปเดตเวลาที่อนุญาตให้เกิดขึ้นหากไฟร์วอลล์ของคุณสามารถจัดการกฎจากช่วงเวลาที่ระบุของวัน

ฉันขอแนะนำให้ จำกัด ผู้ใช้บนเว็บเซิร์ฟเวอร์ของคุณเช่นใครสามารถทำการอัปเดตได้ (คุณอาจทำสิ่งนี้ไปแล้ว) จากนั้นฉันจะใช้ไฟร์วอลล์เพื่อ จำกัด เครือข่าย (IP) ที่สามารถเข้าถึงส่วนต่อประสานการจัดการได้ ถ้ารองรับฉันจะอนุญาตให้อัปเดตได้รับการจัดการในระหว่างชั่วโมงทำงาน (ผ่านกฎไฟร์วอลล์) หมายเหตุคุณสามารถให้ผู้ดูแลระบบไฟร์วอลล์แก้ไขกฎสำหรับการอัพเดทฉุกเฉินได้เสมอ ในที่สุดฉันก็จะมองหาช่องโหว่ที่รู้จักใน Web Deployment Agent & บรรเทาเพิ่มเติมหรือปิดการใช้งานจนกว่าจะสามารถแก้ไขได้