Your SlideShare is downloading. ×
Tietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Tietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen

528
views

Published on

Kimmo Janhusen esitys "Päätelaitteiden ja palvelimien koventaminen" Valtion IT-palvelukeskuksen Tietoturvallisuuden kevätseminaarissa 20.3.2013

Kimmo Janhusen esitys "Päätelaitteiden ja palvelimien koventaminen" Valtion IT-palvelukeskuksen Tietoturvallisuuden kevätseminaarissa 20.3.2013


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
528
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Päätelaitteiden ja palvelimien koventaminen Kimmo Janhunen Riskienhallintapäällikkö kimmo.janhunen@om.fi
  • 2. Agenda• Miksi kovennuksia?• Mitä kovennuksia?• Miten koventaa päätelaitteita?• Miten koventaa palvelimia? 2
  • 3. Miksi kovennuksia?• Erilaisten työtapojen mahdollistaminen (etätyö, etäkäyttö, erilaiset työvälineet)• Tietoturvallisuuden perustason, korotetun ja korkean tason käyttöympäristöjen (ml. päätelaitteiden) vaatimustenmukaisuus• Salassa pidettävän tietoaineiston suojaaminen• Muun muassa organisaation toimintaan, käyttötapoihin ja salassa pidettäviin tietoihin kohdistuvien uhkien hallitsemiseksi useita asioita kokonaisuudessa on arvioitava, huomioitava ja määrityksiin otettava kantaa 3
  • 4. Miksi kovennuksia?• Uhkien hallitseminen vaatii – monitasoista suojaamista osa kovennuksin, osa määrityksin osa ohjeistuksin – huomioitava käyttöympäristöt – huomioitava kokonaisuudet • palvelimet, • palvelut, tietojärjestelmät ja niiden sovellukset, • päätelaitteet ja niiden sovellukset, • verkot ja verkkolaitteet ja • näiden kaikkien käyttöpolitiikat sekä • useiden eri toimijoiden ohjeistukset 4
  • 5. Miksi kovennuksia?• Sisäverkot vaativat suojausta, eri käyttöympäristön komponenttien suojaaminen muiden komponenttien mahdollisesti haitalliselta liikenteeltä• Tämä vaatii määrittelyä, ympäristön tuntemusta, jotta halutut käyttötapaukset ovat tarkoituksen mukaisia ja käyttö riittävän turvallista 5
  • 6. Mitä kovennuksia?Teknisemmistä VAHTI-ohjeista saa suuntaviivoja määrityksien ja toteutuksien tueksi:• Sisäverkko-ohje (VAHTI 3/2010) – määrittää perus-, korotetun ja korkean tason vaatimukset sisäverkoille• Teknisen ICT-ympäristön tietoturvataso-ohje (VAHTI 3/2012) – määrittää ICT-tietojärjestelmille ja -palveluille perus-, korotetun ja korkean tason vaatimukset• Päätelaitteiden tietoturvaohje (VAHTI x/2013) – työn alla, tavoitteena saada ohje liitteineen lausunnoille ennen kesälomia 2013 6
  • 7. Mitä kovennuksia?• lisäksi hyödyllisiä oppaita/ohjeita/malleja löydät esim. Center for Internet Security (CIS) 7
  • 8. Mitä kovennuksia?• Lisäksi hyödyllisiä oppaita/ohjeita/malleja löydät esim. yhdysvaltojen baseline-politiikat (NIST)Windows 7• http://usgcb.nist.gov/usgcb/microsoft_content.htmlRed Hat Linux• http://usgcb.nist.gov/usgcb/rhel_content.html 8
  • 9. Mitä kovennuksia?• Lisäksi hyödyllisiä oppaita/ohjeita/malleja löydät esim. valmistajilta kuten MicrosoftWindows 7 Security Baseline• http://technet.microsoft.com/en- us/library/ee712767.aspxWindows 8 Security Baseline• http://technet.microsoft.com/en-us/library/jj898541.aspxWindows Server 2012 Security Baseline• http://technet.microsoft.com/en-us/library/jj898542.aspx 9
  • 10. Miten koventaa päätelaitteita?• Ennen päätelaiteohjetta - mm. VAHTI 3/2010 luku 13 ja VAHTI 3/2012 vaatimusten ja suositusten mukaisesti: Viite Vaatimus Perustaso Korotettu taso Korkea taso 13.1 Internet -palveluiden k äyttö on sallittu ainoastaan organisaation suositus pakollinen vaatimus pakollinen vaatimus sisäverkosta tai etäyhteyden (VPN) kautta. 13.2 Kullakin päätelaitteella on yksilöity tunnus. Identtiset vahva suositus pakollinen vaatimus pakollinen vaatimus laitekokoonpanot erotetaan em. tunnuksen perusteella. 13.3 Käyttäjille on laadittu lyhyet, selkeät ohjeet päätelaitteiden suositus pakollinen vaatimus pakollinen vaatimus turvallisesta verkkokäytöstä - kullekin päätelaitetyypille omansa. 13.4 Tuntemattomien p äätelaitteiden p ääsy verkkoon verkkoon on estetty suositus vahva suositus pakollinen vaatimus kytkinporttien asetuksilla. 13.5 Työasemilta avatuissa etäyhteyksissä on automaattinen suositus vahva suositus pakollinen vaatimus aikakatkaisu. 13.6 Päätelaitteissa on soveltuvilta osin käytössä laitekohtainen vahva suositus pakollinen vaatimus pakollinen vaatimus palomuuri. 13.7 Päätelaitteille suoritetaan automaattinen terveystarkastus ennen suositus suositus suositus niiden liittämistä sisäverkkoon. 13.8 Työasema- ja muu päätelaitekanta on yhten äistetty. suositus suositus vahva suositus 13.9 Mobiililaiteiden loppuk äyttäjiä on ohjeistettu niiden turvalliseen vahva suositus pakollinen vaatimus pakollinen vaatimus käyttöön, esimerkiksi käyttäen pohjana ja muokaten Älypuhelinten turvallinen k äyttö –ohjetta (VAHTI 2/2007, muokattava liite) 13.10 Työasemissa on käytössä työasemakohtainen palomuuri. pakollinen vaatimus pakollinen vaatimus pakollinen vaatimus 13.11 Kannettavien työasemien kiintolevyt on salattu pakollinen vaatimus pakollinen vaatimus pakollinen vaatimus 13.12 Pöytätyöasemien kiintolevyt on salattu suositus vahva suositus pakollinen vaatimus 10
  • 11. Miten koventaa päätelaitteita?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason päätelaitteiden suojaamisesta, voidaan soveltaa myös perustasolla• Päätelaitteen käynnistys- ja muiden asetusten vakiointi ja lukitus – BIOS-käynnistysasetusten ohittaminen on teknisesti mahdollista – uudemmilla BIOS- ja muilla käynnistysratkaisuilla (UEFI, secure boot) voidaan asetuksia suojata tehokkaammin, keskitetty hallinta voi olla mahdollista laitevalmistajasta riippuen• Kiintolevyn salaaminen siten, että organisaatiolla on tarvittaessa pääsy salatulle levylle, jos käyttäjä ei tiedä salasanaa tai tiedot on varmistettu organisaation levyjärjestelmään – vaihdettavien apumuistien salaaminen – käyttöoikeuksien rajoittaminen • käyttäjällä saa olla vain käyttäjätason (user) käyttöoikeudet, kirjoitusoikeudet vain tiettyihin kansioihin • järjestelmänvalvojatason käyttöoikeuksia saa käyttää työasemassa vain sellaisten tehtävien toteuttamiseen, jotka eivät onnistu käyttäjätason oikeuksilla 11
  • 12. Miten koventaa päätelaitteita?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason päätelaitteiden suojaamisesta, voidaan soveltaa myös perustasolla• käyttöjärjestelmän ja sovellusten asetusten määrittäminen ja koventaminen (suosituksia esim. NIST/CIS/valmistajalta tai VIP/NCSA-FI)• käytettävien ohjelmistojen määrän minimoiminen osana vakiointia• käytettävän www-selainohjelman asetukset ja koventaminen (esim. hallitut ja lukitut asetukset, tunnusten ja salasanojen tallennuksen esto, lisäosien hallinta (ml. Java), vyöhykkeistäminen - eri asetuksilla, luotetut sivustot...)• yleisimmin käytettyjen ohjelmien kuten sähköpostiohjelmiston, PDF- lukijoiden ja muiden toimisto-ohjelmistojen asetukset ja koventaminen (mm. Adobe Readerin asetuksissa on oletuksena päällä JavaScript)• Windows-työasemaympäristössä määriteltävä työaseman lokiin kerättävät tapahtumat (suojaus- eli Security-lokin valvontakäytännöt)• Windows-työasemaympäristössä GPO-ryhmäkäytäntöjen hyödyntäminen – pakotetut asetukset ja sovellusten asetukset - ohjeita ja malleja näistä löytyy yleisimmistä käyttöjärjestelmistä ja niiden turvaoppaista 12
  • 13. Miten koventaa päätelaitteita?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason päätelaitteiden suojaamisesta, voidaan soveltaa myös perustasolla• Windows-työasemaympäristössä AD-toimialueen keskitetyt asetukset – salasana- ja muut toimialueen tietoturvapolitiikkaan liittyvät määritykset• käyttöjärjestelmän ja sovellusten tietoturva- ja muiden päivitysten jakelu sekä niistä raportointi – Windows-työasemaympäristössä keskitetyn hallinnan kautta esim. WSUS- ja SCCM- palvelinohjelmistoilla päivitykset ja hallittujen ohjelmistojen jakelut – keskitetyn hallinnan ulkopuolella olevissa työasemissa esim. säännöllisesti käyttäen suoraan WindowsUpdate-palvelua• Windows-työasemaympäristössä sallittujen ajettavien sovellusten, skriptien sekä asennustiedostojen määritteleminen – Applocker-toiminnallisuudella estetään kaikki muut ja vain erikseen sallituista poluista tai listalla olevat ohjelmistot saavat suoritusoikeuden käyttäjätason tunnuksilla 13
  • 14. Miten koventaa päätelaitteita?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason päätelaitteiden suojaamisesta, voidaan soveltaa myös perustasolla• käyttäjän ja/tai työaseman vahvan tunnistamisen mahdollistavat teknologiat etäyhteyksissä, -palveluissa ja muussa tunnistamisessa• päätelaitteen haittaohjelmien torjunta – lisäksi myös muiden haitallisten ohjelmien torjunta – useissa sovelluksissa on lisätoiminnallisuuksina esim. internet- ja sähköpostiliikenteen turvatarkastus• palomuurit – sekä organisaation sisäverkossa että julkisissa verkoissa toimittaessa – päätelaitteiden palomuuri tulee olla käytössä myös organisaation sisäverkossa liikennöitäessä• työasemassa käsiteltävien tietoaineistojen varmuuskopiointi – Windows-työasemaympäristössä käyttäjän tietoaineistojen kopioiminen / synkronoiminen voidaan toteuttaa esim. offline-toiminnallisuudella 14
  • 15. Miten koventaa päätelaitteita?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason päätelaitteiden suojaamisesta, voidaan soveltaa myös perustasolla• laitteiden etähallinnan tietoturvallinen toteuttaminen – organisaation sisäverkossa tai sen ulkopuolella toimittaessa – etähallintakäyttäjän tunnistaminen – käyttöpolitiikka siitä, miten etähallintaa voidaan hyödyntää ja minkälaista yhteydenoton hyväksyntää se loppukäyttäjältä edellyttää• näyttösuojien käyttäminen – kannettavissa työasemissa ja pöytätyöasemissa sellaisissa käyttöympäristöissä, joissa tulee estää tiedon paljastuminen lähistöllä oleville henkilöille• laitteen elinkaaren hallinta – sisältää tilaamisprosessin, huoltamisen, käytön aikaisen tuen (esimerkiksi laitteisto- ja ohjelmistoinventoinnit) sekä laitteen ja sen apumuistien tietoturvallisen hävittämisen 15
  • 16. Miten koventaa päätelaitteita?• Perustasolla on kuitenkin huomioitava useat erilaiset käyttötapaukset – tarvittaessa erotettava tietoturvallisuuden perustason ja korotetun tason päätelaitteet (tai erilliset konfiguraatiot ja turva-asetukset) – tarvittaessa palvelun sisällä tai tietojärjestelmiin pääsyllä rajoitettava käyttöä tapauskohtaisesti 16
  • 17. Miten koventaa palvelimia?• Palveluiden, palvelinalustojen ja -ympäristöjen määrittely - kytkentä tietojärjestelmäarkkitehtuuriin• Tietoturvallisuuden perustason, korotetun ja korkean tason palvelinympäristöt• ICT-tietojärjestelmien tukena VAHTI 3/2012 vaatimukset• Valmistajan turvaohjeet eri käyttötarkoituksiin• Muut turva- /kovennusohjeet 17
  • 18. Miten koventaa palvelimia?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason palvelinten suojaamisesta, voidaan soveltaa myös perustasolla• Linjattava organisaation palvelimien kovennuspolitiikat ja dokumentoidaan – eri palvelualueet / palvelinympäristöt eri käyttötarkoituksiin – otetaan käyttöön kovennuspolitiikan mukaiset asetukset – mahdolliset poikkeavat käytännöt/asetukset 18
  • 19. Miten koventaa palvelimia?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason palvelinten suojaamisesta, voidaan soveltaa myös perustasolla• palvelimen ja tietojärjestelmien varmuuskopiointi – varmistuspolitiikan mukainen varmuuskopiointi ja palautusten kirjanpito sekä palautustestaus• korkean käytettävyyden toteuttaminen – vikasietoisuuden kasvattaminen ja kahdentamiset (komponenttien, palvelimen ja/tai tietokannan)• käyttöoikeuksien hallinta palvelinympäristössä – hallintatunnukset ja -oikeudet – järjestelmä-/palvelutunnukset ja -oikeudet – käyttäjätason tunnukset ja -oikeudet 19
  • 20. Miten koventaa palvelimia?Esimerkkejä erityisesti tietoturvallisuuden korotetun tason palvelinten suojaamisesta, voidaan soveltaa myös perustasolla• kapasiteettien ja vikatilanteiden valvonta ja hälytykset• virtualisoinnissa huomioitavaa mm. – isäntä-/alustakoneen turvallisuus – virtualisoitujen komponenttien turvallisuus – virtuaaliympäristön hallinnan turvallisuus • käyttöoikeudet • lokitiedot virtuaaliympäristön ulkopuolelle – varmistukset – tarvittaessa salassa pidettävän tiedon ja tietokannan salakirjoitus tai holvaaminen – virtualisoitujen palvelimien elinkaaressa huomioitavaa • mm. kloonaus, poisto, varmistusten kierto 20
  • 21. Kiitos!• Kysymyksiä?• Yhteydet: kimmo.janhunen@om.fi tai Valtion IT-palvelukeskuksen tietoturvapalveluihin tietoturva.vip@valtiokonttori.fi• Seuraavaksi Kahvitauko (Sirkus-lämpiö, 0.krs), jonka jälkeen ohjelma jatkuu tässä tilassa (Sirkus, 0.krs). 21