Best Practice - Sichere Webseite vom Server bis CMS
Transcription
Best Practice - Sichere Webseite vom Server bis CMS
Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Pallas stellt sich vor Wir sind ein MSSP: Managed Security Service Provider Pallas ist strategischer Solution-Partner der Vodafone Wir Lösungsorientiert, wachsend mit Ihren Bedürfnissen Vor Ort und in unseren deutschen RZs als Private Cloud Service Essen | 2.12.2014 erbringen IT-Sicherheits-Dienstleistung Beraten Einrichten Betreiben Überwachen (24x7) Helpdesk-Service (24x7) stellt sich vor führender Anbieter für anspruchsvolle IT-Sicherheit seit 2004 Sicherheitspartner der Bundesrepublik Deutschland Mitgliedschaften u.a.: mehr als 300 Experten für nationale & internationale Kunden aus Privatwirtschaft und öffentlichen Institutionen Leistungsangebot Business Sector: Sicherheitsberatung + Sicherheitskonzepte, -strategien und -designs Penetrationstests, Sicherheitsaudits und Assessments Technologiebewertung + Software-Entwicklung Integration von HW und SW-Produkten, Komplettlösungen 24x7 Monitoring und Managed-Security-Services + Schulungen Essen, 02.12.2014 Agenda Vorstellung Beispiel-Webseite Organisatorische Maßnahmen Technische Maßnahmen Zusammenfassung Essen | 2.12.2014 / Vorstellung Beispiel-Webseite Unternehmenspräsenz Kontaktformular Forum Essen | 2.12.2014 / Organisatorische Maßnahmen Verantwortung bleibt beim Inhaltsanbieter Organisatorische Maßnahmen verbleiben daher beim Auftraggeber Auch bei Externem Hosting Essen | 2.12.2014 / Organisatorische Maßnahmen Schutzziele / Sicherheitslevel definieren Auf • • • Basis einer Risikoabschätzung Inhalte schützenswert? Ressourcen schützenswert? (Ja) Imageschaden bei erfolgreicher Hackingattacke? Schutzziele / Sicherheitslevel Beispiel-Webseite Essen | 2.12.2014 Integrität Webseiten Vertraulichkeit und Integrität personenbezogene Daten Integrität Webplattform Kein externer Zugang zur Unternehmens-IT Basis-Verfügbarkeit / Organisatorische Maßnahmen Sicherheitsvorgaben erstellen Welche Einzelmaßnahmen? („was“) Ausprägung der Einzelmaßnahmen („welche Parameter?“) Sicherheitsvorgaben Beispiel-Webseite Essen | 2.12.2014 Netzwerk-Firewall Server-Härtung Backup (Daten- und System) Überwachung, Alarmierung (Verfügbarkeit und Defacement) Patchmanagement (Update und Patchpolicy) Logging Verschl. Datenspeicherung (?) CMS/Web-Applikation härten Pen-Tests Security Reviews / Organisatorische Maßnahmen Hosting Intern • Ressourcen und Know-How dauerhaft vorhanden? Extern • Referenzen / Empfehlungen • Preis • Vereinbarung zur Auftragsdatenverarbeitung erforderlich? • Sicherheitsvorgaben erfüllt? Essen | 2.12.2014 / Organisatorische Maßnahmen Vor Liveschaltung Prüfung Betriebsumgebung • Sicherer Zugang • Backup/Recovery • Hochverfügbarkeit/Failover (soweit vorhanden) • Überwachung/Alarmierung • Logging Web-Site Prüfung • Penetrationstest • Web Application Test Regelmäßige Prüfungen … Abschalten bei Nichtgebrauch Essen | 2.12.2014 / Organisatorische Maßnahmen Was gibt es noch? Audits ISO 27001 IT-Grundschutz gemäß BSI Computer-Emergency-Response-Team (CERT) Zertifizierung Essen | 2.12.2014 / Technische Maßnahmen Angepasste Sicherheit Kosten / Nutzen Relation beachten Sicherheitsvorgaben beachten Essen | 2.12.2014 / Infrastruktur: Einfach Externes Hosting Überwachung und Pflege im eigenen Haus Vorgelagerte Firewall Single Server System CMS Web-Server Datenbank Betriebssystem Backup und Restore Inhaltspflege Internet Monitoring Überwachung Firewall Backup und Restore durch Hoster Web-Server (Apache httpd) DB (MySQL) Betriebssystem (Linux Ubuntu LTS) Essen | 2.12.2014 / Infrastruktur: Komplex Externes Hosting Überwachung und Pflege im eigenen Haus Vorgelagerte Firewall Vorgelagerte Web Application Firewall LoadBalancer zur Lastverteilung und Ausfallsicherheit Multiple Web-Server Interne Firewall zum Schutz des DB/Storage Bereichs Datenbank Cluster zur Lastverteilung und Ausfallsicherheit Essen | 2.12.2014 / Infrastruktur: Komplex Intrusion Prevention System Backup und Restore durch Hoster Malware Scanner Monitoring durch Hoster Inhaltsüberwachung durch Auftraggeber Essen | 2.12.2014 / Infrastruktur: Komplex Internet Inhaltspflege Firewall Überwachung DMZ Intrusion Prevention System (IPS) LoadBalancer mit Web Application Firewall Web-Server Cluster Überwachung Web-Server Backup und Restore Web-Server Firewall Datenbank Cluster Malware Scanner Essen | 2.12.2014 Gesicherter DB/Storage Bereich / Technische Maßnahmen BeispielWeb-Seite Architektur inkl. Netzwerk-Firewall Systeme härten Minimalisierung (nicht benötigte Komponenten entfernen) Rollenbasierter Zugriff (Betriebssystem, CMS, etc.) Sichere Komponenten („schwachstellenarm“) Sichere Konfiguration (nichtbenötigte und unsichere Funktionen deaktivieren) Host basierte Firewall (Linux: iptables) Sicherer Zugang (Web-Admin per HTTPS, Secure-Shell, IPSec-VPN, o.ä.) Essen | 2.12.2014 / Technische Maßnahmen BeispielWeb-Seite Funktionen für Basis-Betrieb Backup und Restore (System und Daten) Überwachung, Alarmierung (NAGIOS o.ä.) Patchmanagement Logging Auswertung/Reporting Datensicherheit Verschl. Datenspeicherung CMS/Web-Applikation härten Pen-Tests/Audits Standard-Tools (Know-How erforderlich!) Essen | 2.12.2014 / Weitere Technische Maßnahmen Architektur Intrusion-Prevention-System (IPS) als „bessere“ Netzwerk-Firewall Separierte Schutzzonen (z.B. für Datenbank) Datensicherheit: Verschlüsselter Datentransfer Rollenbasierter Web-Zugriff Verschlüsselte Datenspeicherung Schutz Web-Applikation: Virenschutz Reverse Proxy Web-Application-Firewall Pen-Tests/Audits Hochverfügbarkeit/Failover Essen | 2.12.2014 / Weitere Technische Maßnahmen Evtl. weitere Schutzsysteme implementieren Essen | 2.12.2014 2-Faktor-Authentisierung Host-IDS Net-IDS SIEM / Sichere Web-Site: Checkliste Sicherheitsvorgaben definiert? Infrastruktur entspricht den Sicherheitsvorgaben? Einsatz von Verschlüsselung (https)? Vereinbarung zur Auftragsdatenverarbeitung abgeschlossen? Pen Test vor Go Live? Monitoring aufgesetzt? System gehärtet? Backup und Restore getestet? Hochverfügbarkeit/Failover getestet? Update und Patchpolicy vereinbart? Regelmäßige (mind. jedes Jahr) Prüfung Essen | 2.12.2014 / Gibt es noch Fragen? Autor: Stephan Sachweh/Geschäftsführer E-Mail: Stephan.Sachweh@pallas.com Unternehmen: Pallas GmbH 50321 Brühl Web: www.pallas.de Vielen Dank für Ihre Aufmerksamkeit! ? Gibt es noch Fragen? Autor: Dr. Markus Müller / Bereichsleiter Managed Security Services E-Mail: markus.mueller@secunet.com Unternehmen: secunet Security Networks AG Kronprinzenstraße 30, 45128 Essen Web: www.secunet.com Vielen Dank für Ihre Aufmerksamkeit! ?