web-dev-qa-db-ja.com

セキュリティポリシーにドメイン固有の言語はありますか

システム、ドメイン、または企業全体に適用可能なセキュリティポリシーを定義するために一般的なドメイン固有の言語はありますか?

編集:通常、ファイアウォールなどのネットワークレベルでセキュリティポリシーを表現する

4
sashank

私は主にXMLポリシーを使用しました。しかし、それはWebサービスの世界です---しかし、私は他のどのテクノロジー分野にも類似物はありません。オプションは次のとおりです。

Webサービススペースには他にもあると思いますが、手元にリンクはありません。

下位層のファイアウォールのように、下位層では、類似の準備ができていません。私はこの分野の専門家ではありませんが、ポリシー実装の通信はベンダーに依存しているようです。

私が知る限り、適用範囲はテクノロジーのオプションよりも組織の境界と現実の世界の権限についてです。 Webポリシーの優れた点の1つは、グループ間でポリシーを変更できることです。そのため、私のハイエンドサーバーは、同様のサービスを提供するローエンドサーバーよりも厳しいポリシーを持つことができます。

6
bethlakshmi

この場合、ドメイン固有の言語が何を意味するかはわかりませんが、セキュリティコンテンツオートメーションプロトコル [〜#〜] scap [〜#〜] が言語OVALおよびOCILであると思いますそのコンポーネント(XMLベース)。ただし、SCAPの一部を使用する代わりに、SCAP全体を採用することをお勧めします。

6
akostadinov

[〜#〜] cobit [〜#〜] で対応できると思います。

1
schroeder

アクセス制御(別名承認)の要素ポリシー言語は、XACML(eXtensible Access Control Markup Language)です。

むかしむかし、SecPalと呼ばれるMicrosoft Researchからの代替がありました。取り上げられることはなく、代わりにXACMLが優先されました。

MS Windows Server 2012(Server 8)にもSDDLと呼ばれる独自のポリシー言語がありますが、それはそのサーバーとそのファイルシステムに固有です。

XACMLとSDDLの両方で、ポリシーのビルディングブロックは、ユーザー、リソース、アクション、および場合によってはコンテキストを記述する属性(またはクレーム)です。

原則として、XACMLは何よりも(アプリケーション、API、データベース、ネットワークなど)に適用できます。

  1. ポリシー決定ポイント(アクセスを許可するかどうかを決定するコンポーネント)とポリシー実施ポイント(アプリ、データベース、ネットワークを保護するコンポーネント...)を定義する抽象的なアーキテクチャ
  2. 属性に基づいて否定的および肯定的なルールを定義する明確な構文を定義するポリシー言語。
  3. 承認要求の構造と応答を定義する要求/応答スキーム。

XACMLを実装し、さまざまなレイヤーに承認を提供するオープンソースおよびベンダーのソリューションがあります(たとえば、シスコはネットワークアクセス制御にXACMLを使用して研究しています。AxiomaticsはアプリケーションとデータベースにXACMLを提供しています...)

XACMLは、OASIS(構造化情報標準の進歩のための組織)によって定義されています。詳細は こちら をご覧ください。

0
David Brossard

Content-Security-Policyは、どの種類のコンテンツが受け入れられるかをブラウザに伝えるためのドメイン固有の言語でもあります(主にスクリプトですが、css、画像...)。これはおそらく意図したものではないかもしれませんが、ネットワークレベルのポリシーを記述し、実際に詳細検査ファイアウォール内で使用して、まだ(完全に)理解していないMSIEなどのダムブラウザにポリシーを適用できます。

この例から、セキュリティ実施デバイスのトピックと機能が大きく異なるため、普遍的なポリシーがないこともわかるでしょう。単にポート80(http)をブロックするだけで十分な場合もありますが、URLまたはWebアプリケーションでフィルタリングしたい場合もあれば、特定のフォールスポジティブを受け入れてマルウェアを検出し、XSSまたはCSRF攻撃を軽減したい場合もあります。データ漏えいを防ぎます(これが特定の企業にとって正確に意味するものは何でも)。このような単純なファイアウォールのほとんどはできません。

0
Steffen Ullrich