跳到主要内容

8. 安全考虑事项 (Security Considerations)

由于预配操作允许设备访问网络, 每个 SCIM client 都必须进行适当认证.

8.1. SCIM 操作 (SCIM Operations)

已向受信任 SCIM client 认证的攻击者可能操纵 SCIM 数据库的一部分. 为明确风险, 下文分别说明各项操作.

8.1.1. 未授权对象创建 (Unauthorized Object Creation)

已认证的攻击者可能尝试添加企业通常不允许接入网络的元素. 例如, 企业可能不希望将具有已知漏洞的特定设备引入其环境. 为缓解此攻击, 网络管理员应该叠加额外策略, 规定网络上允许哪些设备.

获得 SCIM 访问权限的攻击者可能尝试添加一个基于 IP 的设备, 该设备自身会尝试未授权访问, 实际上充当 bot. 网络管理员应该建立适当的访问控制策略, 遵循最小权限原则来缓解此攻击.

8.2. 对象删除 (Object Deletion)

一旦授予访问权限, 即使对象被移除, 服务器也可能会或可能不会对该移除采取动作. 删除对象是应用程序发出的意图信号, 表示其不再预期该设备出现在网络上. 是否撤销对基础设施的访问, 完全由 SCIM server 及其后端策略决定. 推荐 SCIM 删除操作按本地网络策略触发一个工作流.

8.3. 读取操作 (Read Operations)

读取操作是必要的, 以便应用程序同步其状态, 知道预期管理哪些设备. 能够访问 SCIM objects 的攻击者可能获得对设备本身的访问能力. 为防止一个 SCIM client 干扰其无权管理的设备, 只有创建了对象的客户端或其授权的客户端才应该能够读取这些对象.

8.4. 更新操作 (Update Operations)

如果设备以某种方式被修改, 可能需要更新操作. 拥有更新访问权限的攻击者可能能够禁用设备的网络访问, 或禁用网络对设备的访问. 为避免这种情况, 此处推荐采用与读取操作相同的访问控制策略.

8.5. 某些系统的更高层保护 (Higher Level Protection for Certain Systems)

根据这些系统的定义方式, 使用此模型预配的设备可能完全受 SCIM server 管理员控制. 例如, 如果提供了 BLE passkeys, 则可以连接到设备, 并且可能与之配对. 如果 SCIM client 的管理员不希望网络拥有对设备的完全访问能力, 则设备本身必须支持更细粒度的访问控制和额外认证机制. 任何额外安全性都必须在更高应用层提供. 例如, 如果客户端应用希望保护往返设备的私有信息, 它们应该在上层对该信息加密.

8.6. 日志记录 (Logging)

攻击者可能通过检查 SCIM 日志获知网络上有哪些设备. 由于 SCIM 操作具有敏感性, 日志应该在磁盘上和传输中都进行加密.