Your SlideShare is downloading. ×
0
Päätelaitteiden ja palvelimien koventaminen              Kimmo Janhunen            Riskienhallintapäällikkö            kim...
Agenda•   Miksi kovennuksia?•   Mitä kovennuksia?•   Miten koventaa päätelaitteita?•   Miten koventaa palvelimia?         ...
Miksi kovennuksia?• Erilaisten työtapojen mahdollistaminen (etätyö,  etäkäyttö, erilaiset työvälineet)• Tietoturvallisuude...
Miksi kovennuksia?• Uhkien hallitseminen vaatii  – monitasoista suojaamista osa kovennuksin, osa määrityksin    osa ohjeis...
Miksi kovennuksia?• Sisäverkot vaativat suojausta, eri käyttöympäristön  komponenttien suojaaminen muiden komponenttien  m...
Mitä kovennuksia?Teknisemmistä VAHTI-ohjeista saa suuntaviivoja  määrityksien ja toteutuksien tueksi:• Sisäverkko-ohje (VA...
Mitä kovennuksia?• lisäksi hyödyllisiä oppaita/ohjeita/malleja löydät  esim. Center for Internet Security (CIS)           ...
Mitä kovennuksia?• Lisäksi hyödyllisiä oppaita/ohjeita/malleja löydät  esim. yhdysvaltojen baseline-politiikat (NIST)Windo...
Mitä kovennuksia?• Lisäksi hyödyllisiä oppaita/ohjeita/malleja löydät esim.  valmistajilta kuten MicrosoftWindows 7 Securi...
Miten koventaa päätelaitteita?• Ennen päätelaiteohjetta - mm. VAHTI 3/2010 luku 13 ja  VAHTI 3/2012 vaatimusten ja suositu...
Miten koventaa päätelaitteita?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason  päätelaitteiden suojaamisesta, ...
Miten koventaa päätelaitteita?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason  päätelaitteiden suojaamisesta, ...
Miten koventaa päätelaitteita?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason  päätelaitteiden suojaamisesta, ...
Miten koventaa päätelaitteita?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason  päätelaitteiden suojaamisesta, ...
Miten koventaa päätelaitteita?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason  päätelaitteiden suojaamisesta, ...
Miten koventaa päätelaitteita?• Perustasolla on kuitenkin huomioitava useat erilaiset  käyttötapaukset  – tarvittaessa ero...
Miten koventaa palvelimia?• Palveluiden, palvelinalustojen ja -ympäristöjen  määrittely - kytkentä tietojärjestelmäarkkite...
Miten koventaa palvelimia?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason  palvelinten suojaamisesta, voidaan ...
Miten koventaa palvelimia?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason  palvelinten suojaamisesta, voidaan ...
Miten koventaa palvelimia?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason  palvelinten suojaamisesta, voidaan ...
Kiitos!• Kysymyksiä?• Yhteydet:  kimmo.janhunen@om.fi tai Valtion IT-palvelukeskuksen tietoturvapalveluihin tietoturva.vip...
Upcoming SlideShare
Loading in...5
×

Tietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen

578

Published on

Kimmo Janhusen esitys "Päätelaitteiden ja palvelimien koventaminen" Valtion IT-palvelukeskuksen Tietoturvallisuuden kevätseminaarissa 20.3.2013

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
578
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Tietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen"

  1. 1. Päätelaitteiden ja palvelimien koventaminen Kimmo Janhunen Riskienhallintapäällikkö kimmo.janhunen@om.fi
  2. 2. Agenda• Miksi kovennuksia?• Mitä kovennuksia?• Miten koventaa päätelaitteita?• Miten koventaa palvelimia? 2
  3. 3. Miksi kovennuksia?• Erilaisten työtapojen mahdollistaminen (etätyö, etäkäyttö, erilaiset työvälineet)• Tietoturvallisuuden perustason, korotetun ja korkean tason käyttöympäristöjen (ml. päätelaitteiden) vaatimustenmukaisuus• Salassa pidettävän tietoaineiston suojaaminen• Muun muassa organisaation toimintaan, käyttötapoihin ja salassa pidettäviin tietoihin kohdistuvien uhkien hallitsemiseksi useita asioita kokonaisuudessa on arvioitava, huomioitava ja määrityksiin otettava kantaa 3
  4. 4. Miksi kovennuksia?• Uhkien hallitseminen vaatii – monitasoista suojaamista osa kovennuksin, osa määrityksin osa ohjeistuksin – huomioitava käyttöympäristöt – huomioitava kokonaisuudet • palvelimet, • palvelut, tietojärjestelmät ja niiden sovellukset, • päätelaitteet ja niiden sovellukset, • verkot ja verkkolaitteet ja • näiden kaikkien käyttöpolitiikat sekä • useiden eri toimijoiden ohjeistukset 4
  5. 5. Miksi kovennuksia?• Sisäverkot vaativat suojausta, eri käyttöympäristön komponenttien suojaaminen muiden komponenttien mahdollisesti haitalliselta liikenteeltä• Tämä vaatii määrittelyä, ympäristön tuntemusta, jotta halutut käyttötapaukset ovat tarkoituksen mukaisia ja käyttö riittävän turvallista 5
  6. 6. Mitä kovennuksia?Teknisemmistä VAHTI-ohjeista saa suuntaviivoja määrityksien ja toteutuksien tueksi:• Sisäverkko-ohje (VAHTI 3/2010) – määrittää perus-, korotetun ja korkean tason vaatimukset sisäverkoille• Teknisen ICT-ympäristön tietoturvataso-ohje (VAHTI 3/2012) – määrittää ICT-tietojärjestelmille ja -palveluille perus-, korotetun ja korkean tason vaatimukset• Päätelaitteiden tietoturvaohje (VAHTI x/2013) – työn alla, tavoitteena saada ohje liitteineen lausunnoille ennen kesälomia 2013 6
  7. 7. Mitä kovennuksia?• lisäksi hyödyllisiä oppaita/ohjeita/malleja löydät esim. Center for Internet Security (CIS) 7
  8. 8. Mitä kovennuksia?• Lisäksi hyödyllisiä oppaita/ohjeita/malleja löydät esim. yhdysvaltojen baseline-politiikat (NIST)Windows 7• http://usgcb.nist.gov/usgcb/microsoft_content.htmlRed Hat Linux• http://usgcb.nist.gov/usgcb/rhel_content.html 8
  9. 9. Mitä kovennuksia?• Lisäksi hyödyllisiä oppaita/ohjeita/malleja löydät esim. valmistajilta kuten MicrosoftWindows 7 Security Baseline• http://technet.microsoft.com/en- us/library/ee712767.aspxWindows 8 Security Baseline• http://technet.microsoft.com/en-us/library/jj898541.aspxWindows Server 2012 Security Baseline• http://technet.microsoft.com/en-us/library/jj898542.aspx 9
  10. 10. Miten koventaa päätelaitteita?• Ennen päätelaiteohjetta - mm. VAHTI 3/2010 luku 13 ja VAHTI 3/2012 vaatimusten ja suositusten mukaisesti: Viite Vaatimus Perustaso Korotettu taso Korkea taso 13.1 Internet -palveluiden k äyttö on sallittu ainoastaan organisaation suositus pakollinen vaatimus pakollinen vaatimus sisäverkosta tai etäyhteyden (VPN) kautta. 13.2 Kullakin päätelaitteella on yksilöity tunnus. Identtiset vahva suositus pakollinen vaatimus pakollinen vaatimus laitekokoonpanot erotetaan em. tunnuksen perusteella. 13.3 Käyttäjille on laadittu lyhyet, selkeät ohjeet päätelaitteiden suositus pakollinen vaatimus pakollinen vaatimus turvallisesta verkkokäytöstä - kullekin päätelaitetyypille omansa. 13.4 Tuntemattomien p äätelaitteiden p ääsy verkkoon verkkoon on estetty suositus vahva suositus pakollinen vaatimus kytkinporttien asetuksilla. 13.5 Työasemilta avatuissa etäyhteyksissä on automaattinen suositus vahva suositus pakollinen vaatimus aikakatkaisu. 13.6 Päätelaitteissa on soveltuvilta osin käytössä laitekohtainen vahva suositus pakollinen vaatimus pakollinen vaatimus palomuuri. 13.7 Päätelaitteille suoritetaan automaattinen terveystarkastus ennen suositus suositus suositus niiden liittämistä sisäverkkoon. 13.8 Työasema- ja muu päätelaitekanta on yhten äistetty. suositus suositus vahva suositus 13.9 Mobiililaiteiden loppuk äyttäjiä on ohjeistettu niiden turvalliseen vahva suositus pakollinen vaatimus pakollinen vaatimus käyttöön, esimerkiksi käyttäen pohjana ja muokaten Älypuhelinten turvallinen k äyttö –ohjetta (VAHTI 2/2007, muokattava liite) 13.10 Työasemissa on käytössä työasemakohtainen palomuuri. pakollinen vaatimus pakollinen vaatimus pakollinen vaatimus 13.11 Kannettavien työasemien kiintolevyt on salattu pakollinen vaatimus pakollinen vaatimus pakollinen vaatimus 13.12 Pöytätyöasemien kiintolevyt on salattu suositus vahva suositus pakollinen vaatimus 10
  11. 11. Miten koventaa päätelaitteita?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason päätelaitteiden suojaamisesta, voidaan soveltaa myös perustasolla• Päätelaitteen käynnistys- ja muiden asetusten vakiointi ja lukitus – BIOS-käynnistysasetusten ohittaminen on teknisesti mahdollista – uudemmilla BIOS- ja muilla käynnistysratkaisuilla (UEFI, secure boot) voidaan asetuksia suojata tehokkaammin, keskitetty hallinta voi olla mahdollista laitevalmistajasta riippuen• Kiintolevyn salaaminen siten, että organisaatiolla on tarvittaessa pääsy salatulle levylle, jos käyttäjä ei tiedä salasanaa tai tiedot on varmistettu organisaation levyjärjestelmään – vaihdettavien apumuistien salaaminen – käyttöoikeuksien rajoittaminen • käyttäjällä saa olla vain käyttäjätason (user) käyttöoikeudet, kirjoitusoikeudet vain tiettyihin kansioihin • järjestelmänvalvojatason käyttöoikeuksia saa käyttää työasemassa vain sellaisten tehtävien toteuttamiseen, jotka eivät onnistu käyttäjätason oikeuksilla 11
  12. 12. Miten koventaa päätelaitteita?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason päätelaitteiden suojaamisesta, voidaan soveltaa myös perustasolla• käyttöjärjestelmän ja sovellusten asetusten määrittäminen ja koventaminen (suosituksia esim. NIST/CIS/valmistajalta tai VIP/NCSA-FI)• käytettävien ohjelmistojen määrän minimoiminen osana vakiointia• käytettävän www-selainohjelman asetukset ja koventaminen (esim. hallitut ja lukitut asetukset, tunnusten ja salasanojen tallennuksen esto, lisäosien hallinta (ml. Java), vyöhykkeistäminen - eri asetuksilla, luotetut sivustot...)• yleisimmin käytettyjen ohjelmien kuten sähköpostiohjelmiston, PDF- lukijoiden ja muiden toimisto-ohjelmistojen asetukset ja koventaminen (mm. Adobe Readerin asetuksissa on oletuksena päällä JavaScript)• Windows-työasemaympäristössä määriteltävä työaseman lokiin kerättävät tapahtumat (suojaus- eli Security-lokin valvontakäytännöt)• Windows-työasemaympäristössä GPO-ryhmäkäytäntöjen hyödyntäminen – pakotetut asetukset ja sovellusten asetukset - ohjeita ja malleja näistä löytyy yleisimmistä käyttöjärjestelmistä ja niiden turvaoppaista 12
  13. 13. Miten koventaa päätelaitteita?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason päätelaitteiden suojaamisesta, voidaan soveltaa myös perustasolla• Windows-työasemaympäristössä AD-toimialueen keskitetyt asetukset – salasana- ja muut toimialueen tietoturvapolitiikkaan liittyvät määritykset• käyttöjärjestelmän ja sovellusten tietoturva- ja muiden päivitysten jakelu sekä niistä raportointi – Windows-työasemaympäristössä keskitetyn hallinnan kautta esim. WSUS- ja SCCM- palvelinohjelmistoilla päivitykset ja hallittujen ohjelmistojen jakelut – keskitetyn hallinnan ulkopuolella olevissa työasemissa esim. säännöllisesti käyttäen suoraan WindowsUpdate-palvelua• Windows-työasemaympäristössä sallittujen ajettavien sovellusten, skriptien sekä asennustiedostojen määritteleminen – Applocker-toiminnallisuudella estetään kaikki muut ja vain erikseen sallituista poluista tai listalla olevat ohjelmistot saavat suoritusoikeuden käyttäjätason tunnuksilla 13
  14. 14. Miten koventaa päätelaitteita?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason päätelaitteiden suojaamisesta, voidaan soveltaa myös perustasolla• käyttäjän ja/tai työaseman vahvan tunnistamisen mahdollistavat teknologiat etäyhteyksissä, -palveluissa ja muussa tunnistamisessa• päätelaitteen haittaohjelmien torjunta – lisäksi myös muiden haitallisten ohjelmien torjunta – useissa sovelluksissa on lisätoiminnallisuuksina esim. internet- ja sähköpostiliikenteen turvatarkastus• palomuurit – sekä organisaation sisäverkossa että julkisissa verkoissa toimittaessa – päätelaitteiden palomuuri tulee olla käytössä myös organisaation sisäverkossa liikennöitäessä• työasemassa käsiteltävien tietoaineistojen varmuuskopiointi – Windows-työasemaympäristössä käyttäjän tietoaineistojen kopioiminen / synkronoiminen voidaan toteuttaa esim. offline-toiminnallisuudella 14
  15. 15. Miten koventaa päätelaitteita?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason päätelaitteiden suojaamisesta, voidaan soveltaa myös perustasolla• laitteiden etähallinnan tietoturvallinen toteuttaminen – organisaation sisäverkossa tai sen ulkopuolella toimittaessa – etähallintakäyttäjän tunnistaminen – käyttöpolitiikka siitä, miten etähallintaa voidaan hyödyntää ja minkälaista yhteydenoton hyväksyntää se loppukäyttäjältä edellyttää• näyttösuojien käyttäminen – kannettavissa työasemissa ja pöytätyöasemissa sellaisissa käyttöympäristöissä, joissa tulee estää tiedon paljastuminen lähistöllä oleville henkilöille• laitteen elinkaaren hallinta – sisältää tilaamisprosessin, huoltamisen, käytön aikaisen tuen (esimerkiksi laitteisto- ja ohjelmistoinventoinnit) sekä laitteen ja sen apumuistien tietoturvallisen hävittämisen 15
  16. 16. Miten koventaa päätelaitteita?• Perustasolla on kuitenkin huomioitava useat erilaiset käyttötapaukset – tarvittaessa erotettava tietoturvallisuuden perustason ja korotetun tason päätelaitteet (tai erilliset konfiguraatiot ja turva-asetukset) – tarvittaessa palvelun sisällä tai tietojärjestelmiin pääsyllä rajoitettava käyttöä tapauskohtaisesti 16
  17. 17. Miten koventaa palvelimia?• Palveluiden, palvelinalustojen ja -ympäristöjen määrittely - kytkentä tietojärjestelmäarkkitehtuuriin• Tietoturvallisuuden perustason, korotetun ja korkean tason palvelinympäristöt• ICT-tietojärjestelmien tukena VAHTI 3/2012 vaatimukset• Valmistajan turvaohjeet eri käyttötarkoituksiin• Muut turva- /kovennusohjeet 17
  18. 18. Miten koventaa palvelimia?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason palvelinten suojaamisesta, voidaan soveltaa myös perustasolla• Linjattava organisaation palvelimien kovennuspolitiikat ja dokumentoidaan – eri palvelualueet / palvelinympäristöt eri käyttötarkoituksiin – otetaan käyttöön kovennuspolitiikan mukaiset asetukset – mahdolliset poikkeavat käytännöt/asetukset 18
  19. 19. Miten koventaa palvelimia?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason palvelinten suojaamisesta, voidaan soveltaa myös perustasolla• palvelimen ja tietojärjestelmien varmuuskopiointi – varmistuspolitiikan mukainen varmuuskopiointi ja palautusten kirjanpito sekä palautustestaus• korkean käytettävyyden toteuttaminen – vikasietoisuuden kasvattaminen ja kahdentamiset (komponenttien, palvelimen ja/tai tietokannan)• käyttöoikeuksien hallinta palvelinympäristössä – hallintatunnukset ja -oikeudet – järjestelmä-/palvelutunnukset ja -oikeudet – käyttäjätason tunnukset ja -oikeudet 19
  20. 20. Miten koventaa palvelimia?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason palvelinten suojaamisesta, voidaan soveltaa myös perustasolla• kapasiteettien ja vikatilanteiden valvonta ja hälytykset• virtualisoinnissa huomioitavaa mm. – isäntä-/alustakoneen turvallisuus – virtualisoitujen komponenttien turvallisuus – virtuaaliympäristön hallinnan turvallisuus • käyttöoikeudet • lokitiedot virtuaaliympäristön ulkopuolelle – varmistukset – tarvittaessa salassa pidettävän tiedon ja tietokannan salakirjoitus tai holvaaminen – virtualisoitujen palvelimien elinkaaressa huomioitavaa • mm. kloonaus, poisto, varmistusten kierto 20
  21. 21. Kiitos!• Kysymyksiä?• Yhteydet: kimmo.janhunen@om.fi tai Valtion IT-palvelukeskuksen tietoturvapalveluihin tietoturva.vip@valtiokonttori.fi• Seuraavaksi Kahvitauko (Sirkus-lämpiö, 0.krs), jonka jälkeen ohjelma jatkuu tässä tilassa (Sirkus, 0.krs). 21
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×