25
Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture Niko Dukić

Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

  • Upload
    jill

  • View
    52

  • Download
    0

Embed Size (px)

DESCRIPTION

Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture. Niko Dukić. Partneri. Medijski pokrovitelji. Sadržaj predavanja. Sigurnosni slojevi Mrežna sigurnost Sigurnost svjesna identiteta Nadzor i upravljanje Business case : OB Zabok Zaključak (nameće se sam!). - PowerPoint PPT Presentation

Citation preview

Page 1: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Niko Dukić

Page 2: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Partneri

Medijski pokrovitelji

Page 3: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Sadržaj predavanja

• Sigurnosni slojevi– Mrežna sigurnost– Sigurnost svjesna identiteta– Nadzor i upravljanje

• Business case: OB Zabok• Zaključak (nameće se sam!)

Page 4: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Sigurnosni slojevi• Mrežna sigurnost– osnovni mehanizmi zaštite IT infrastrukture– Sigurnost na rubovima IT sustava– Sigurnost poslovnog sustava i internih IT servisa

• Sigurnost svjesna identiteta– komplementarna sa mrežnom razinom. Mehanizam

kontrole više nije IP adresa već identitet korisnika– Sigurnost klijentskih računala

• Nadzor i upravljanje sustavom zaštite

Page 5: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Mrežna sigurnost (1/3)

• Osnovni mehanizmi zaštite– Firewall sustavi– IPS / IDS sustavi– VLAN odvajanje

• Preporučene razine zaštite– Između produkcijske mreže i Interneta

• Sustav kontrolira sav promet između korisničke mreže i Interneta• Odvajanje javnih servisa u posebne DMZ mreže• Zabrana direktnog pristupa prema resursima iz lokalne mreže, • Najčešće mjesto implementacije firewall-a i IPS sustava

Page 6: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Mrežna sigurnost (2/3)

– Između poslovnog sustava i korisnika• VLAN access liste na centralnim routerima• najosjetljivije sustave odvojiti posebnim firewall

sustavom– Potrebna velika propusnost sustava– Preporučaju se fail-safe kartice i bridge mode ili redundancija

• Odvajanje korisnika i poslovnog sustava / IT servisa u odvojene VLAN-ove

Page 7: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Mrežna sigurnost (3/3)

• VLAN dolazi sa svojim sigurnosnim propustima, ali više su oni posljedica loše konfiguracije

• VLAN ranjivosti dolaze do izražaja povećanjem korištenja virtualizacijskih tehnologija– Prema istraživanjima 70 % organizacija će spojiti LAN

sa cijelim ili dijelom DMZ-a radi boljeg iskorištavanja mrežne infrastrukture unutar virtualne okoline

Page 8: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Sigurnost svjesna identiteta (1/4)

• Prebacivanje kontrole pristupa sa mrežne razine na korisničku

Page 9: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Sigurnost svjesna identiteta (2/4)

• Pristup sustavu prema statistici:– Zaposlenici: 50 %– Gosti: 10 %– Partneri: 20 %– Privilegirani korisnici: 20 %

• Korisnika prate prava bez obzira na način pristupa: LAN, wireless, VPN

Page 10: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Sigurnost svjesna identiteta (3/4)

• Zaključak– sigurnost sustava najviše mogu ugroziti zaposlenici

i privilegirani korisnici koji prema mrežnoj sigurnosti imaju ista prava i ona ovise o IP adresama; promjenom radne stanice mogu imati veća prava

Page 11: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Sigurnost svjesna identiteta (4/4)

• Identitet za pristup koristi radnu stanicu– Uglavnom se koriste tradicionalni mehanizmi

zaštite bez povezanosti sa identitetom:• Antivirus / antispyware• Patch deployment

– Napredniji mehanizmi zaštite / identity aware:• 802.1x• NAC

Page 12: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

802.1x (1/3)

• Autentifikacijski protokol za wired i wireless mreže

• Svrha:– Kontrola pristupa na razini porta (on / off status)– praćenje pristupa mrežnim resursima– Sigurnost javnih mreža (fakulteti, škole, bolnice)– Moguće proširenje sa naprednim ekstenzijama

Page 13: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

802.1x (2/3)

• Problemi kod dizajna:– Jednostavna implementacija sa on / off

funkcionalnošću. Napredne funkcionalnosti je potrebno dobro testirati

– Kako kontrolirati uređaje koji ne podržavaju ili nisu konfigurirani za 802.1x (IP Telefoni, mrežni printeri, vanjski korisnici)

– Odabir klijentskog softvera i RADIUS servera– Pristup mreži prije autorizacije korisnika (remote

upravljanje, GPO, DHCP request timeout)

Page 14: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

802.1x (3/3)

• Zaključak:– Ograničeni protokol, ali low cost rješenje koje

znatno povećava sigurnost– Gartner podaci za 2008:• Radi složenosti implementacije samo 13 % organizacija

ima implementirano 802.1x rješenje• Do 2011 broj će porasti na 50 %• U slučaju olakšanja implementacije taj bi broj mogao

porasti na 70 %

Page 15: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

NAC (1/2)

• Nadogradnja 802.1x rješenja• Pristup se ostvaruje na temelju identiteta i provjere

stanja radne stanice bez obzira na lokaciju• Gartner podaci za 2008:

– 37 % korisnika ima ili je u planu implementacija– 70 % sljedeće godine– Najčešća upotreba:

• Guest isolation: 79 %• Endpoint baselining: 15 %• Identity aware network: 5 %• Monitoring and containment: 1 %

Page 16: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

NAC (2/2)

• omogućuje jednostavnu implementaciju drugih sigurnosnih mehanizama– Provjera stanja / automatsko ažuriranje– Izolacija za goste– Dinamičko dodjeljivanje VLAN-a i ACL– Integracija sa firewall sustavima radi kreiranja user

based access lista ili captive portala

Page 17: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Nadzor i upravljanje• Ključna odluka kod nadzora sustavom zaštite IT infrastrukture

– Single vendor vs. Multi vendor (best of breed) policy• Single vendor policy

– Jednostavan nadzor i upravljanje– Manji TCO– Jeftinije održavanje– Najbolji primjer: Check Point

• Multi vendor policy– Tehnički kvalitetnije rješenje, ali puno teže za implementirati i održavati– Puno skuplje održavanje– Puno teži nadzor i upravljanje

• Trenutni trend je single vendor policy

Page 18: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Business case: OB Zabok (1/4)

• Poslovna potreba: – zaštita podataka o pacijentima– Zaštita poslovnog sustava

• Problemi– veliki broj IP uređaja (serveri, radne stanice, IP

telefoni, medicinska oprema)– Veliki broj nekontroliranih posjetitelja– Veliki broj otvorenih prostora sa priključcima na

lokalnu mrežu

Page 19: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Business case: OB Zabok (2/4)

• Zašto CS:– jednim projektom postavljena osnova za:• Ispunjenje obveza prema EU regulativi i politici bolnice

vezano uz čuvanje informacija, zaštitu osobnih podataka, tajnost informacija• postavljeni tehnički preduvjeti za uvođenje vlastitog

ISMS-a: mrežna sigurnost, pristupne kontrole, firewall, kontrola identiteta, vanjski korisnici, zaštita klijenata…• dizajn, implementacija i održavanje kroz jednu tvrtku

(koja ima certifikat ISO27001:2005)

Page 20: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Business case: OB Zabok (3/4)

• Rješenje obuhvaća:– Cisco firewall, L2 / L3 preklopnike– Cisco ACS (RADIUS) server– 802.1x autorizacija koristeći Windows XP klijent i

Active Directory– Check Point Integrity klijent

Page 21: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Business case: OB Zabok (4/4)

• Implementacijom sustava omogućeno je– Zaštita pristupa sa Interneta– Zaštita poslovne mreže na razini VLAN-a– 802.1x autorizacija za svu mrežnu opremu na koju se

spajaju radne stanice – Osobni firewall dodatno kontrolira pristup mrežnim

resursima prema grupi u AD-u– Kontrola aplikacija koje se mogu pokrenuti– Provjera stanja antivirusnog softvera– Provjera instalacije dodatnih Microsoft zakrpa

Page 22: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Pogled u sadašnjost / budućnost• Integrity je naslijedio Endpoint security suite uz dodane

funkcionalnosti:– antivirusna / antispyware provjera, – ista pristupna prava kroz LAN i VPN sustav– enkripcija cijelog diska na radnim stanicama– granularna kontrolu USB uređaja i pokretnih medija

• U H1 2010 izlazi novo Check Point NAC rješenje– Upravljanje pristupa gostima na višem nivou

• Captive portal• Clientless compliance check za goste• Dissolvable / light client solution za partnere

Page 23: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Zaključci!!!• Sistematski pristup sigurnosti otpočetka – drugog

pristupa nema!• Korištenje best practices/u skladu sa core businessom,

uz korištenje partnera za IT sigurnost• Primjena “sigurnosti u slojevima”, centralni nadzor i

administracija• Uspostaviti ISMS kao okvir unutar kojega će se

sigurnost razvijati i održavati na kontrolirani način• Sigurnost projektno ne “završava”, traži pažnju i fokus!

Page 24: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Nakon zaključka

Page 25: Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Hvala.