Explorer la signature de code
La signature de code fournit une vérification cryptographique pour s’assurer que seuls les scripts autorisés peuvent s’exécuter sur les serveurs MID. La signature de code empêche le traitement par les serveurs MID des enregistrements de file d’attente ECC (External Communication Channel ), non autorisés ou falsifiés, préservant ainsi l’intégrité des intégrations entre ServiceNow les systèmes externes.
La signature de code crée des signatures numériques pour vos données, qui sont vérifiées ultérieurement pour confirmer l’authenticité et l’intégrité des données. La signature de code est un module sous licence en tant que composant de ServiceNow Coffre-fort.
La signature de code déclare l’intention derrière l’opération en cours d’exécution et valide si la ressource ou l’enregistrement peut être utilisé aux fins prévues. Pour faciliter la signature de code, le Key Management Framework (KMF) utilise des certificats numériques et un chiffrement asymétrique standard pour les signatures numériques. Utilisez la signature de code en interne côté plateforme et infrastructure. La signature de code permet de signer le contenu de tables spécifiques ou d’un sous-ensemble d’enregistrements dans une table de métadonnées donnée. |
La signature de code utilise un () sécurisé Cercle de confiance entreCOT vos instances approuvées et protégées pour garantir que seules les instances approuvées autorisées et sécurisées peuvent accéder à la fonctionnalité de signature de code.
Comment la signature de code protège votre environnement
Sans signature de code, un attaquant qui accède aux ServiceNow enregistrements peut modifier les instructions SQL dans une instance protégée. Lorsque le Serveur MID traite cette demande de source de données, il exécute les commandes SQL malveillantes, ce qui peut compromettre l’intégrité et la sécurité du système.
Lorsque vous implémentez une architecture de cercle de confiance avec signature de code, le transfert des données vers le serveur MID suit le processus de vérification suivant. Ce processus permet de vérifier que seul le code autorisé provenant de l’instance de confiance peut s’exécuter sur le serveur MID. Le processus réduit les vecteurs d’attaque potentiels qui pourraient autrement compromettre vos systèmes.
- Les signatures numériques sont appliquées aux sources de données créées ou mises à jour au sein de l’instance approuvée.
- Utilisez le processus de signature de code pour transférer les données signées de l’instance approuvée vers l’instance protégée.
- Le Serveur MID vérifie la signature numérique sur toutes les demandes entrantes, rejetant automatiquement toutes les demandes pour lesquelles il n’y a pas de signature valide.
- Si le serveur MID rejette une demande, il consigne ce rejet et envoie une notification à l’instance protégée.
Avantages de la mise en œuvre de la signature de code
La signature de code offre plusieurs avantages clés :
- Contrôle d’exécution
- Seuls les scripts vérifiés par cryptographie peuvent s’exécuter sur les serveurs MID
- Détection d’altération
- Toute modification apportée aux enregistrements signés est immédiatement identifiée et bloquée.
- Protection automatisée
- Le système gère l’application de la sécurité sans nécessiter d’intervention manuelle.
- Journalisation complète
- Tous les échecs de vérification de signature génèrent des enregistrements d’audit détaillés.
Validation de la signature de code et tâches
Toutes les tables de métadonnées avec des configurations valides sont signées au moment de la création à l’aide du module d’extension de métadonnées de signature de code (com.glide.code_signing). L’installation de ce module d’extension installe automatiquement le module d’extension Signatures d’applications OOB de signature de code (com.glide.code_signing.oob_apps_signatures) qui contient des signatures de mesure de version pour tous les enregistrements pertinents dans les versions d’application ServiceNow® Store corrigées. Si vous choisissez de signer les tables, les utilisateurs administrateurs ayant le rôle d’administrateur de sécurité ont accès aux tâches de signature de code :
- Signez les ensembles de mises à jour.
- Signer en masse des enregistrements.
- Signez en masse des pièces jointes.
- Signer l’ensemble de mises à jour
- Cette tâche signe les enregistrements qui correspondent à une configuration de signature dans l’ensemble de mises à jour. La tâche ajoute également tous les nouveaux enregistrements de signature et les certificats de vérification à l’ensemble de mises à jour.
Figure 1. Enregistrement de signature KMF pour l’ensemble de mises à jour Remarque :Avec la version, les Australia includes de script et les enregistrements de règles métier sont signés à l’aide du nouvel « objectif générique ». Cela remplace la valeur d’objectif précédemment vide. Cette modification élimine les avertissements d’importation et les interventions manuelles lors de la gestion d’un grand nombre d’enregistrements de ce type. Vous ne pouvez pas créer ou mettre à jour une configuration de signature avec l’objectif générique car elle est déjà prédéfinie. Cette valeur est réservée aux includes de script et aux règles métier uniquement, et non aux autres tables. Les tentatives d’utilisation ailleurs entraînent une erreur. - Enregistrements de signature en masse
-
Cette tâche signe tous les enregistrements qui correspondent à la configuration de signature appliquée sur une table de métadonnées spécifique.
- Signer en masse des pièces jointes
- Cette tâche signe tous les enregistrements de pièce jointe joints à une table qui correspond à une configuration de signature spécifiée.
Figure 2. Tâche de signature de code pour signer en masse les enregistrements