7.R1 攻擊面與信任邊界
7.R1 攻擊面與信任邊界
本章處理紅隊(攻擊者視角的風險檢查)分析的第一步:建立完整攻擊面清單,並標註每條路徑跨越的信任邊界。目標是讓團隊在選型與設計早期就看見高風險入口,先完成優先順序,讓事故期間可直接使用既有盤點。
【情境】哪些服務需要先做攻擊面盤點
下列情境同時出現時,攻擊面與邊界章節應放在前面:
- 對外入口超過一種(API、webhook、管理介面、診斷介面)
- 角色與租戶模型持續擴張
- 系統同時依賴多個內外部服務
- 交付節奏快,設定變動頻繁
【判讀流程】四步完成邊界標註
- 列入口:整理 Public API、Admin Endpoint、Diagnostic Endpoint、Internal Endpoint 與 webhook。
- 畫資料流:每條入口都連到下游能力與資料資產,包含第三方整合。
- 標信任切換點:在身份、租戶、網路、資料層切換處標示 Trust Boundary。
- 排優先級:以可枚舉性、可重放性、資料敏感度與橫向移動能力排序。
【風險代價】盤點品質直接影響事故規模
盤點品質偏弱時,常見結果是高風險入口晚被辨識,導致事件初期難以聚焦調查。這會同時拉高停機時間、修復人力與溝通成本。盤點完整時,告警、稽核與隔離策略可以對齊同一張路徑圖,事故處理速度會明顯提升。
【設計取捨】入口密度與維運成本
入口越多,產品迭代彈性越高;同時,邊界管理與稽核成本也會增加。設計上可透過入口分層、責任分離與固定命名規則控制複雜度,讓新入口進入流程時就能被標記與追蹤。
【最低控制面】進入實作前要先定義
- 入口清單與擁有者
- 邊界切換規則與驗證責任
- 高風險入口的告警與稽核路徑
- 入口變更的審查節點與 release gate
【判讀訊號】何時代表攻擊面風險升高
- 新增入口未同步出現在入口清單
- 管理入口與公開入口混用同一條流量路徑
- 同一入口同時承載人員操作與機器操作
- 入口事件難以對應到明確擁有者與責任邊界
【風險邊界】到哪裡仍是概念層
本章在概念層回答的是入口分級、信任切換與優先順序。當討論進入流量規則、平台配置、服務網格策略與具體 ACL 時,章節責任會切到部署平台與網路入口模組。