2. Agenda
• Miksi kovennuksia?
• Mitä kovennuksia?
• Miten koventaa päätelaitteita?
• Miten koventaa palvelimia?
2
3. Miksi kovennuksia?
• Erilaisten työtapojen mahdollistaminen (etätyö,
etäkäyttö, erilaiset työvälineet)
• Tietoturvallisuuden perustason, korotetun ja korkean
tason käyttöympäristöjen (ml. päätelaitteiden)
vaatimustenmukaisuus
• Salassa pidettävän tietoaineiston suojaaminen
• Muun muassa organisaation toimintaan, käyttötapoihin
ja salassa pidettäviin tietoihin kohdistuvien uhkien
hallitsemiseksi useita asioita kokonaisuudessa on
arvioitava, huomioitava ja määrityksiin otettava kantaa
3
4. Miksi kovennuksia?
• Uhkien hallitseminen vaatii
– monitasoista suojaamista osa kovennuksin, osa määrityksin
osa ohjeistuksin
– huomioitava käyttöympäristöt
– huomioitava kokonaisuudet
• palvelimet,
• palvelut, tietojärjestelmät ja niiden sovellukset,
• päätelaitteet ja niiden sovellukset,
• verkot ja verkkolaitteet ja
• näiden kaikkien käyttöpolitiikat sekä
• useiden eri toimijoiden ohjeistukset
4
5. Miksi kovennuksia?
• Sisäverkot vaativat suojausta, eri käyttöympäristön
komponenttien suojaaminen muiden komponenttien
mahdollisesti haitalliselta liikenteeltä
• Tämä vaatii määrittelyä, ympäristön tuntemusta, jotta
halutut käyttötapaukset ovat tarkoituksen mukaisia ja
käyttö riittävän turvallista
5
6. Mitä kovennuksia?
Teknisemmistä VAHTI-ohjeista saa suuntaviivoja
määrityksien ja toteutuksien tueksi:
• Sisäverkko-ohje (VAHTI 3/2010)
– määrittää perus-, korotetun ja korkean tason vaatimukset
sisäverkoille
• Teknisen ICT-ympäristön tietoturvataso-ohje
(VAHTI 3/2012)
– määrittää ICT-tietojärjestelmille ja -palveluille perus-,
korotetun ja korkean tason vaatimukset
• Päätelaitteiden tietoturvaohje (VAHTI x/2013)
– työn alla, tavoitteena saada ohje liitteineen lausunnoille
ennen kesälomia 2013
6
7. Mitä kovennuksia?
• lisäksi hyödyllisiä oppaita/ohjeita/malleja löydät
esim. Center for Internet Security (CIS)
7
8. Mitä kovennuksia?
• Lisäksi hyödyllisiä oppaita/ohjeita/malleja löydät
esim. yhdysvaltojen baseline-politiikat (NIST)
Windows 7
• http://usgcb.nist.gov/usgcb/microsoft_content.html
Red Hat Linux
• http://usgcb.nist.gov/usgcb/rhel_content.html
8
9. Mitä kovennuksia?
• Lisäksi hyödyllisiä oppaita/ohjeita/malleja löydät esim.
valmistajilta kuten Microsoft
Windows 7 Security Baseline
• http://technet.microsoft.com/en-
us/library/ee712767.aspx
Windows 8 Security Baseline
• http://technet.microsoft.com/en-us/library/jj898541.aspx
Windows Server 2012 Security Baseline
• http://technet.microsoft.com/en-us/library/jj898542.aspx
9
10. Miten koventaa päätelaitteita?
• Ennen päätelaiteohjetta - mm. VAHTI 3/2010 luku 13 ja
VAHTI 3/2012 vaatimusten ja suositusten mukaisesti:
Viite Vaatimus Perustaso Korotettu taso Korkea taso
13.1 Internet -palveluiden k äyttö on sallittu ainoastaan organisaation suositus pakollinen vaatimus pakollinen vaatimus
sisäverkosta tai etäyhteyden (VPN) kautta.
13.2 Kullakin päätelaitteella on yksilöity tunnus. Identtiset vahva suositus pakollinen vaatimus pakollinen vaatimus
laitekokoonpanot erotetaan em. tunnuksen perusteella.
13.3 Käyttäjille on laadittu lyhyet, selkeät ohjeet päätelaitteiden suositus pakollinen vaatimus pakollinen vaatimus
turvallisesta verkkokäytöstä - kullekin päätelaitetyypille omansa.
13.4 Tuntemattomien p äätelaitteiden p ääsy verkkoon verkkoon on estetty suositus vahva suositus pakollinen vaatimus
kytkinporttien asetuksilla.
13.5 Työasemilta avatuissa etäyhteyksissä on automaattinen suositus vahva suositus pakollinen vaatimus
aikakatkaisu.
13.6 Päätelaitteissa on soveltuvilta osin käytössä laitekohtainen vahva suositus pakollinen vaatimus pakollinen vaatimus
palomuuri.
13.7 Päätelaitteille suoritetaan automaattinen terveystarkastus ennen suositus suositus suositus
niiden liittämistä sisäverkkoon.
13.8 Työasema- ja muu päätelaitekanta on yhten äistetty. suositus suositus vahva suositus
13.9 Mobiililaiteiden loppuk äyttäjiä on ohjeistettu niiden turvalliseen vahva suositus pakollinen vaatimus pakollinen vaatimus
käyttöön, esimerkiksi käyttäen pohjana ja muokaten Älypuhelinten
turvallinen k äyttö –ohjetta (VAHTI 2/2007, muokattava liite)
13.10 Työasemissa on käytössä työasemakohtainen palomuuri. pakollinen vaatimus pakollinen vaatimus pakollinen vaatimus
13.11 Kannettavien työasemien kiintolevyt on salattu pakollinen vaatimus pakollinen vaatimus pakollinen vaatimus
13.12 Pöytätyöasemien kiintolevyt on salattu suositus vahva suositus pakollinen vaatimus
10
11. Miten koventaa päätelaitteita?
Esimerkkejä erityisesti tietoturvallisuuden korotetun tason
päätelaitteiden suojaamisesta, voidaan soveltaa myös perustasolla
• Päätelaitteen käynnistys- ja muiden asetusten vakiointi ja lukitus
– BIOS-käynnistysasetusten ohittaminen on teknisesti mahdollista
– uudemmilla BIOS- ja muilla käynnistysratkaisuilla (UEFI, secure boot) voidaan
asetuksia suojata tehokkaammin, keskitetty hallinta voi olla mahdollista
laitevalmistajasta riippuen
• Kiintolevyn salaaminen siten, että organisaatiolla on tarvittaessa pääsy
salatulle levylle, jos käyttäjä ei tiedä salasanaa tai tiedot on varmistettu
organisaation levyjärjestelmään
– vaihdettavien apumuistien salaaminen
– käyttöoikeuksien rajoittaminen
• käyttäjällä saa olla vain käyttäjätason (user) käyttöoikeudet,
kirjoitusoikeudet vain tiettyihin kansioihin
• järjestelmänvalvojatason käyttöoikeuksia saa käyttää työasemassa vain
sellaisten tehtävien toteuttamiseen, jotka eivät onnistu käyttäjätason
oikeuksilla
11
12. Miten koventaa päätelaitteita?
Esimerkkejä erityisesti tietoturvallisuuden korotetun tason
päätelaitteiden suojaamisesta, voidaan soveltaa myös perustasolla
• käyttöjärjestelmän ja sovellusten asetusten määrittäminen ja
koventaminen (suosituksia esim. NIST/CIS/valmistajalta tai VIP/NCSA-FI)
• käytettävien ohjelmistojen määrän minimoiminen osana vakiointia
• käytettävän www-selainohjelman asetukset ja koventaminen (esim.
hallitut ja lukitut asetukset, tunnusten ja salasanojen tallennuksen esto,
lisäosien hallinta (ml. Java), vyöhykkeistäminen - eri asetuksilla, luotetut
sivustot...)
• yleisimmin käytettyjen ohjelmien kuten sähköpostiohjelmiston, PDF-
lukijoiden ja muiden toimisto-ohjelmistojen asetukset ja koventaminen
(mm. Adobe Readerin asetuksissa on oletuksena päällä JavaScript)
• Windows-työasemaympäristössä määriteltävä työaseman lokiin kerättävät
tapahtumat (suojaus- eli Security-lokin valvontakäytännöt)
• Windows-työasemaympäristössä GPO-ryhmäkäytäntöjen hyödyntäminen
– pakotetut asetukset ja sovellusten asetukset - ohjeita ja malleja näistä löytyy
yleisimmistä käyttöjärjestelmistä ja niiden turvaoppaista
12
13. Miten koventaa päätelaitteita?
Esimerkkejä erityisesti tietoturvallisuuden korotetun tason
päätelaitteiden suojaamisesta, voidaan soveltaa myös perustasolla
• Windows-työasemaympäristössä AD-toimialueen keskitetyt asetukset
– salasana- ja muut toimialueen tietoturvapolitiikkaan liittyvät määritykset
• käyttöjärjestelmän ja sovellusten tietoturva- ja muiden päivitysten jakelu
sekä niistä raportointi
– Windows-työasemaympäristössä keskitetyn hallinnan kautta esim. WSUS- ja SCCM-
palvelinohjelmistoilla päivitykset ja hallittujen ohjelmistojen jakelut
– keskitetyn hallinnan ulkopuolella olevissa työasemissa esim. säännöllisesti käyttäen
suoraan WindowsUpdate-palvelua
• Windows-työasemaympäristössä sallittujen ajettavien sovellusten,
skriptien sekä asennustiedostojen määritteleminen
– Applocker-toiminnallisuudella estetään kaikki muut ja vain erikseen sallituista poluista
tai listalla olevat ohjelmistot saavat suoritusoikeuden käyttäjätason tunnuksilla
13
14. Miten koventaa päätelaitteita?
Esimerkkejä erityisesti tietoturvallisuuden korotetun tason
päätelaitteiden suojaamisesta, voidaan soveltaa myös perustasolla
• käyttäjän ja/tai työaseman vahvan tunnistamisen mahdollistavat
teknologiat etäyhteyksissä, -palveluissa ja muussa tunnistamisessa
• päätelaitteen haittaohjelmien torjunta
– lisäksi myös muiden haitallisten ohjelmien torjunta
– useissa sovelluksissa on lisätoiminnallisuuksina esim. internet- ja sähköpostiliikenteen
turvatarkastus
• palomuurit
– sekä organisaation sisäverkossa että julkisissa verkoissa toimittaessa
– päätelaitteiden palomuuri tulee olla käytössä myös organisaation sisäverkossa
liikennöitäessä
• työasemassa käsiteltävien tietoaineistojen varmuuskopiointi
– Windows-työasemaympäristössä käyttäjän tietoaineistojen kopioiminen /
synkronoiminen voidaan toteuttaa esim. offline-toiminnallisuudella
14
15. Miten koventaa päätelaitteita?
Esimerkkejä erityisesti tietoturvallisuuden korotetun tason
päätelaitteiden suojaamisesta, voidaan soveltaa myös perustasolla
• laitteiden etähallinnan tietoturvallinen toteuttaminen
– organisaation sisäverkossa tai sen ulkopuolella toimittaessa
– etähallintakäyttäjän tunnistaminen
– käyttöpolitiikka siitä, miten etähallintaa voidaan hyödyntää ja minkälaista yhteydenoton
hyväksyntää se loppukäyttäjältä edellyttää
• näyttösuojien käyttäminen
– kannettavissa työasemissa ja pöytätyöasemissa sellaisissa käyttöympäristöissä, joissa
tulee estää tiedon paljastuminen lähistöllä oleville henkilöille
• laitteen elinkaaren hallinta
– sisältää tilaamisprosessin, huoltamisen, käytön aikaisen tuen (esimerkiksi laitteisto- ja
ohjelmistoinventoinnit) sekä laitteen ja sen apumuistien tietoturvallisen hävittämisen
15
16. Miten koventaa päätelaitteita?
• Perustasolla on kuitenkin huomioitava useat erilaiset
käyttötapaukset
– tarvittaessa erotettava tietoturvallisuuden perustason ja korotetun
tason päätelaitteet (tai erilliset konfiguraatiot ja turva-asetukset)
– tarvittaessa palvelun sisällä tai tietojärjestelmiin pääsyllä
rajoitettava käyttöä tapauskohtaisesti
16
17. Miten koventaa palvelimia?
• Palveluiden, palvelinalustojen ja -ympäristöjen
määrittely - kytkentä tietojärjestelmäarkkitehtuuriin
• Tietoturvallisuuden perustason, korotetun ja korkean
tason palvelinympäristöt
• ICT-tietojärjestelmien tukena VAHTI 3/2012
vaatimukset
• Valmistajan turvaohjeet eri käyttötarkoituksiin
• Muut turva- /kovennusohjeet
17
18. Miten koventaa palvelimia?
Esimerkkejä erityisesti tietoturvallisuuden korotetun tason
palvelinten suojaamisesta, voidaan soveltaa myös perustasolla
• Linjattava organisaation palvelimien kovennuspolitiikat
ja dokumentoidaan
– eri palvelualueet / palvelinympäristöt eri käyttötarkoituksiin
– otetaan käyttöön kovennuspolitiikan mukaiset asetukset
– mahdolliset poikkeavat käytännöt/asetukset
18
19. Miten koventaa palvelimia?
Esimerkkejä erityisesti tietoturvallisuuden korotetun tason
palvelinten suojaamisesta, voidaan soveltaa myös perustasolla
• palvelimen ja tietojärjestelmien varmuuskopiointi
– varmistuspolitiikan mukainen varmuuskopiointi ja palautusten kirjanpito
sekä palautustestaus
• korkean käytettävyyden toteuttaminen
– vikasietoisuuden kasvattaminen ja kahdentamiset (komponenttien,
palvelimen ja/tai tietokannan)
• käyttöoikeuksien hallinta palvelinympäristössä
– hallintatunnukset ja -oikeudet
– järjestelmä-/palvelutunnukset ja -oikeudet
– käyttäjätason tunnukset ja -oikeudet
19
20. Miten koventaa palvelimia?
Esimerkkejä erityisesti tietoturvallisuuden korotetun tason
palvelinten suojaamisesta, voidaan soveltaa myös perustasolla
• kapasiteettien ja vikatilanteiden valvonta ja hälytykset
• virtualisoinnissa huomioitavaa mm.
– isäntä-/alustakoneen turvallisuus
– virtualisoitujen komponenttien turvallisuus
– virtuaaliympäristön hallinnan turvallisuus
• käyttöoikeudet
• lokitiedot virtuaaliympäristön ulkopuolelle
– varmistukset
– tarvittaessa salassa pidettävän tiedon ja tietokannan salakirjoitus tai
holvaaminen
– virtualisoitujen palvelimien elinkaaressa huomioitavaa
• mm. kloonaus, poisto, varmistusten kierto
20
21. Kiitos!
• Kysymyksiä?
• Yhteydet:
kimmo.janhunen@om.fi tai
Valtion IT-palvelukeskuksen tietoturvapalveluihin
tietoturva.vip@valtiokonttori.fi
• Seuraavaksi Kahvitauko (Sirkus-lämpiö, 0.krs), jonka
jälkeen ohjelma jatkuu tässä tilassa (Sirkus, 0.krs).
21