Informatieavond “IB-patronen”
28 februari 2013
IB-Patronen community Jaap Arbouw Ralf Boersma Bart Bokhorst Rinus Braak Renato Kuiper Onno Massar Jan Mendrik Kees Louwerse Jan van Prooijen Hanno Steenbergen Kees Terlouw Jaap van der Veen
Inhoud
Programma I. Opzet van patronen
Jaap van der Veen (MinFin)
II. Rationale van de patronen
III.Architectuuraanpak
Renato Kuiper (VKA)
IV.Beschouwingsmodellen en thema’s V. Pauze
VI.Patronen • Koppelvlakken • Logische toegang • Encryptie • Continuïteit I. Evaluatie
Onno Massar (VKA) Rinus Braak (DICTU) Forum: Onno- Rinus- Renato- Jaap
Patroon
Wat is het? Generieke oplossing voor een specifiek probleem Probleem: Doorbuigen van materialen bij grote overspanning
Oplossing: Driehoek zet buigkracht om in druk- en trekkracht. -> Daardoor ontstaat een lichte en stijve constructie
Patroon = bouwsteen
11 x toegepast
Doel: verkorten ontwikkeltijd, hergebruik en uniformiteit van opereren
Opzet van een IB-patroon
• Context
• Probleem
meerdere malen inloggen Webservices provider URL
• Oplossing
Web browser
1
SAML verzoek
2
Verificatie context bewaard
4
Service toegang verleend
5
Service verzoek
Identity provider
2 3
Authenticatie
Service
Authenticatieverzoek
3 4
SAML antwoord : Assertion
Opzet in Open Group template
IB-Criteria:
Welke B – I – V - C criteria worden geraakt?
Context
Situatie waarin het probleem zich voordoet
Probleem
Welk risico moet worden gereduceerd?
Oplossing
Welke IB-functies dragen bij aan de oplossing?
Afwegingen
Voor- en nadelen en argumenten die zijn gehanteerd
Implicaties
De impact van de oplossing op zijn toepassingsgebied
Voorbeelden Welke implementaties zijn bekend? Gerelateerde Welke patronen hebben relaties met dit patroon? patronen
Bouwstenen van een veilige IT-infrastructuur 10. Interne koppelvlakken
Identity Provider
14. IAM 19. Portaal
9. Externe koppelvlakken
LOG
17. Federated IAM
Beheer / Audit .
20. Vertr.toegangspad
28. SIEM .
.
30. Disaster Recovery
Onvertrouwd
18. Single Sign On
Semivertrouwd
21. Encryptie
27. Logging
DMZ
.
Office
.
31. Backup Restore
Kluis
Vertrouwd
26. Secure mail Klant
Zeer vertrouwd
23. PKI
25. Sleutelhuis .
Extern
TTP
Draagbare media
.
Client .
13. Koppelnetwerken Org.1
Org. 2
32. Uitbesteding
Koppelnet-1
29. BCM
Basiskoppelnetwerk BKN
BKN
1. Zonering
2. Client Koppelnet-2
3. Server
4. Virtualisatie
5. Netwerk
6. Printer
Normen Continuiteit Encryptie Toegang Koppelvlak Generiek
Relatie patronen met IB functies en normen Normen IT-voorzieningen
IB- functies Integriteit & Vertrouwelijkheid
Beschikbaarheid
Continuïteits voorzieningen
Geprogrammeerde controles
Zonering
Filtering
Controleerbaarheid
Onweerlegbaarheid berichtuitwisseling
Identificatie Authenticatie Autorisatie
Vastleggen van gebeurtenissen
- Client - Server - Server - Koppelvlakken - Virtualisatie - BCM - Disaster Recovery - Backup & Restore
Controleren
Elektronische handtekening Koppelvlakken - Zoneringsmodel - Koppelvlakken - Encryptie - Vertrouwd Toegangspad - Portaal - Single Sign On - Netwerken - Secure Mail - PKI - Sleutelhuis
Controle Alarmering Rapportering
eem it t s Sy grite e int
Logging SIEM
- Identity Management - Access Management - Federated IAM
Beschouwingsmodellen Patronen
- Client - Server - Netwerk - Koppelvlak
Waarom patronen als SABSA en TOGAF bestaan? • Togaf 9 onderkent een deel security dat wordt herschreven. • Integratie van SABSA en TOGAF loopt. Echter:
• SABSA is breed ingestoken, vanuit Business enablement voor security op basis van risk management, risk appetite tot aan high level technische implementatie. • Patronen bieden oplossingen voor bestaande problemen op de Informatie-laag (applicaties en gegevens) en Infrastructurele-laag (middeleware, platformen, netwerken,..) gebaseerd op best practices • PvIB patronen zijn gelinkt aan IB-normen, zowel ISO 27002 als NORA • De PvIB patronen fungeren als bouwstenen van een Enterprise architectuur. En: • Deze patronen zijn qua practische bruikbaarheid uniek in de vakliteratuur.
Architectuuraanpak als model B Functies
Interacties
Objecten
I Objectmodel
Beschouwingsmodel
eisen
C
IB-criteria
Model IB-functies
Overzichtsmodel IB
V
Patronen
IB-normen
Model IB-functies Bevat de functies, mechanismen en objecten die we in patronen gebruiken
IB - functies Integriteit & Vertrouwelijkheid
Beschikbaarheid Geprogrammeerde controles
Zonering
Filtering
Onweerlegbaarheid berichtuitwisseling
- Identificatie - Authenticatie - Autorisatie
- Controle - Alarmering - Rapportering
Vastleggen van gebeurtenissen Deponeren broncode
Directory services
In- en uitvoer controles Encryptie Verwerkingsbeheersing Poort- / IPContent en adresfiltering IDS/IDP virusscanning Inspectie en misleiding
Load balancing Backup Restore
. . .
Uitwijkvoorziening B&R server
. . .
Host IDS software
Virus scanner IDP appliance
Fysieke IB - objecten Directory server
Filterregel Hash
Niet limitatief Wachtwoord
. . .
Objectmanager
X-509 Certificaat
Monitoring Antivirus reports mgt. Tokenbeheer Loganalysetool
Firewall Key
Alerting services
Vulnerability scanning
2-factor authenticatie
Loganalyse
HSM Crypto library
Mechanisme beheer
WAARMEE
Escrowcontract
Elektronische handtekening
1-factor authenticatie
Token RAS
Logappliance
. . .
HOE
Redundancy
Controleren Systeemintegriteit
IB - mechanismen
WAT
Continuïteits voorzieningen
Controleerbaarheid
.
Opbouw van het document Beheer / Audit
Niet vertrouwd
Beschouwingsmodel
Semivertrouwd DMZ
Office
Kluis
Vertrouwd Zeer vertrouwd Extern
Draagbare media
Client
Thema’s patronen
koppelvlakken
logische toegang
encryptie
logging,monitoring,continuïteit
Basismodel zonering Zone:
- Omgeving waarbinnen gegevens vrijelijk kunnen worden uitgewisseld - Eén en hetzelfde beveiligingsregime a
Niet vertrouwd
K1
b
Semivertrouwd
K2
c
Vertrouwd
K3
Zeer vertrouwd
DMZ
d
Vertrouwensniveau: is relatief en wordt bepaald door maatregelen in koppelvlakken
Beschouwingsmodel zonering Audit Audit Beheer Beheer 14
Niet vertrouwd
14
14
14
Ou
Semi vertrouwd
Oi S
DMZ
2
Frontoffice
6
3
Backoffice
9
Vertrouwd
V
Zeer vertrouwd
Z
10
11
11
Extern Legenda
Client
16
14
Productie K o pp e lv la k
Hoog -> Laag Gelijk niveau Laag - > Hoog Beheer & Audit
Draagbare media
Kluis
13
Ontwikkel Experi menteer
Acceptatie
Test Ontwikkel
12
Niet 1. 1 vertrouwde derden Extern
DMZ
Front office
2
3
Back office
4
7
Data
Vertrouwde 1.2 derden 5. 1
5. 2
Niet 1. 1 vertrouwde derden Extern
DMZ
2
Front office
5. 1
Werkplek
V e rtro uwe n s n iv e a u
15
15
15
Beheer
Back office
4
Data
5. 2
Werkplek
.
Niet vertrouwd Semi -vertrouwd Vertrouwd Zeer vertrouwd
3
Vertrouwde 1.2 derden
.
15
Beschouwingsmodel Client .
Beheer / Audit .
Niet vertrouwd Semivertrouwd
Authenticatie Proxy
Load balancer
LDAP
Firewall
Web Portal Server
Applicatie server
File & Print server
Data
Mail
Database
DMZ
Context
Externe Client
Vertrouwd Zeer vertrouwd
.
.
IDS Content scan Webserver
FO
Data
BO
.
Extern
Client .
.
Probleem:
Awareness, kwetsbaar OS, meer functionaliteit dan nodig, beperkt beveiligbaar
Beheerinterface Beheerder
Beheerfuncties Applicatie
Oplossing in functieblokken
Infrastructurele middleware Gebruikersinterface Gebruiker
Operating System
Uitvoer en opslag
Hardware
Netwerk
Data
Mechanismen per functieblok en IB functie
Beheer interface
nvt
Geprogramm. controles Vragen om toestemming van gebruiker
Zonering
Filtering
Identificatie Authenticatie
Vaststellen gebeurtenissen
Controleren Alarmeren
Gescheiden account voor beheer- en gebruikersfunct.
Logging van elke beheerhandeling
Handhaven van IB-functies
nvt
Autorisatie
Systeem integriteit
Telefonisch of chatcontact met helpdesk
Media-encryptie
Virus/malware scanning + 1- of 2-factor Personal firewall
Minimaliseren rechten
nvt
nvt
nvt
-Vollopen buffers -IB events -Applicatielog
Handhaven IB -functies
-Hardening -Sandbox -Applicatiepatch
Alarm op virus/ malware
-Hardening -Sandbox -Systeempatch -Vulnerabilityscan
nvt
Invoer en gebruikers interface
nvt
nvt
Applicatie
Broncode deponeren
Controle op: - Invoer - Verwerking - Uitvoer
nvt
nvt
nvt
-Gebruikers accounts -Functionele accounts
- Deployment - Configuratie
- TLS/SSL - Alleen noodzakelijke functionaliteit
Intrusion detectie Personal firewall
- Pincodeopstart - Systeem ww
Gebruikers account voor toegang tot applicaties
Virus/Malware meldingen Personal firewall meldingen
nvt
Ongebruikte poorten uitgeschakeld of verwijderd
nvt
-Pincode -opstart -Systeem ww
Gebruikers account toegang tot apparaat
OS logging Handhaven beveiligingsevents IB-functies
nvt
Afgesloten systeemkast
nvt
-BIOS ww -Tokens
Fysieke sleutel
-Sylog -Klok NTP, temperatuur, defecten
CPU load, buffer -Hardening overflow, netwerk-Firmwarepatch bandbreedte
nvt
Ww gescheiden van toepassinggegevens opgeslagen
Temp-bestanden alleen voor systeembeheer toegankelijk
nvt
nvt
Infrastruct. middleware
Rollback vanaf image op disk
Operating System
Rollback vanaf image op disk
Hardware
Reserve onderdelen
Uitvoer en opslag
Backup&Restore automatisch of op nvt gebruikers commando
Media-encryptie - HDD / SSD - CD/DVD/Bray - USB devices
-Hardening -Codescan/hash -OS-patch -Vulnerabilityscan
Foutloos berichtenverkeer en opslag (RAID)
IB mechanismen
nvt
IB-Functies
Functieblok
Continuïteit
Pauze
Thema Koppelvlakken Beheer / Audit
Niet vertrouwd
Context
Semivertrouwd DMZ
Office
Kluis
Vertrouwd Zeer vertrouwd Extern
Draagbare media
Client
Problemen: 1. Verschil in vertrouwensniveau vervalt bij rechtstreekse koppeling 2. Scheiding van verantwoordelijkheden niet handhaafbaar bij rechtstreekse koppeling 3. Geen controle mogelijk van integriteit, validiteit of classificatie van uitwisseling gegevens 4. Ongewenste communicatie tussen – en onderlinge beïnvloeding van de zones 5. Lekkage van informatie in de koppeling tussen zones 6. Single point of failure van de koppeling
Koppelvlakken tussen zones Audit Beheer 14
Niet vertrouwd Semivertrouwd
14
14
14
Frontoffice
Backoffice
Ou Oi S
DMZ
2
6
3
9
Vertrouwd
V
Zeer vertrouwd
Z
10
11
11
Extern Legenda
Draagbare 16 media
Client
14
Productie Koppelvlak
Hoog -> Laag Gelijk niveau Laag -> Hoog Beheer & Audit
Kluis
13
Experimenteer
Acceptatie
Test Ontwikkel
12
Niet vertrouwde derden
1.1
Extern Vertrouwde derden
DMZ
2
Front office
3
Back office
4
7
Data
1.2
5.1
5.2
Niet vertrouwde derden
1.1
Extern Vertrouwde derden
DMZ
2
Front office
5.1
Vertrouwensniveau
15
15
Beheer
Back office
4
Data
5.2
Werkplek
.
15
3
1.2
Werkplek
Niet vertrouwd Semi-vertrouwd Vertrouwd Zeer vertrouwd
.
Ontwikkel
.
15
Oplossing koppelvlak
Koppelvlak Zone A
Continuiteits voorziening IB- functies Redundancy Load Balancing
Zone B
Filtering
Poortfiltering IP-adresfiltering WAF
IB- mechanismen
Zonering
Logging Inspectie
Proxy Reversed P. NAT
Fysiek ACL
Netwerkpakketinspectie Virus/Malware scanning Content scanning Applicatieinspectie IDS / IDP
Zonering Transformatie
Syslog voor SIEM
SSL eindpunt IPSec eindpunt
Alarmering Misleiding Honeypot
SIEM
Patroon Extern koppelvlak Beheer / Audit
Niet vertrouwd Semivertrouwd DMZ
1
Office
Kluis
Vertrouwd
Niet vertrouwd
DMZ
Zeer vertrouwd Extern
Draagbare media
Client
8
Problemen:
Alle koppelvlak problemen
Zonering
Dubbele uitvoering van infrastruct. voorziening
Oi
-Reversed Proxy (WAF) - Dubbele uitvoering van -Pakket- Appl. inspectie infrastruct. voorziening -Transformatie (NAT) - Load balancing -SSL-eindpunt -Misleiding (Honeypot)
Vastleggen gebeurtenissen
Alarmering
Systeem integriteit
Van policy afwijkend communicatiegedrag
-IB-events -Drempelwaarden -Handhaving IB-funct.
-Hardening -Patches
-Geautoriseerde protocollen Van policy afwijkend -Virus/malware/ communicatiegedrag contentscanning -Poort / IP-adresfiltering
-Intrusion Detection -IB-events -Drempelwaarden -Handhaving IB-funct.
-Hardening -Patches
-Poortfiltering -IP-adresfiltering -Virus/malware scan
IB-mechanismen
-Proxy (WAF) -Transformatie (NAT) -SSL-/IPSec beginpunt
Ou
Filtering
IB-Functies
Continuïteit
Thema logische toegang Beheer / Audit .
Klanten
Context
Mobiele werkers
Zakelijke partners Remote services
Niet vertrouwd
Authenticatie Proxy
Semivertrouwd
Firewall
DMZ Vertrouwd
IDS Content scan
Zeer vertrouwd
Webserver
Web Portal Server
Applicatie server
. Data
FO/BO .
Extern
Problemen:
.
Client intern .
.
Organisatie en beheer
1. Identiteit van een subject is niet uniek 2. Registratieprocessen bevatten niet alle objecten die behoren tot een organisatie 3. Samenhang ontbreekt in registraties van identiteiten en hun toegangsrechten 4. Kwaliteit van identiteitsgegevens is ontoereikend 5. Need to know dilemma. Starre rollenmodellen werken contraproductief 6. Definieren van toegangsrechten is een moeizaam en langdurig proces 7. Verantwoordelijk management heeft geen overzicht en inzicht in verstrekte rechten 8. Autorisatieproces onwerkbaar, hoge beheerlast en complexiteit door hoge granulariteit 9. Procedures en technieken ontbreken om vast te stellen wie wat heeft gezien en gedaan 10. Inspanning voor handmatige uitvoering van wijzigingen wordt te groot 11. Toegangsrechten worden niet ingetrokken na wijziging taken medewerker.
Oplossing organisatie en beheer logische toegang 1. Centraal beheer van identiteiten en subjecten (Identity Management - IdM) 2. Beheer van toegangsregels en toegangsrechten op objecten (Access Management - AM) 3. Provisioning van toegangsrechten en runtime geven van toegang (AM) Clearancelevelbeheer
Clearance level
Pasbeheer
Bedrijfspas
Certificaat beheer
Certificaat
Account beheer
IT-account
Configuratie beheer
IT-component
Klant relatie
Naam wijzigen
Instromen
Uitstromen
Plaatsen
Reorganiseren
Persoon
Werkrelatie
Arbeidsplaats
Afdeling
Toekenning
Class / Role / Assert./ Clearance
Autorisatie
Autorisatie beheer
Toegangsregel
Actie
Privilege beheer
Criterium Classificatie
IT-Middel
Middelen beheer
SUBJECTEN beheer van identiteiten en autorisaties OBJECTEN beheer van middelen, toegangscriteria en classificaties
Toegangsregel beheer
Criteria beheer Classificatiebeheer
Oplossing techniek logische toegang 1. Centraal beheer van identiteiten en subjecten (Identity Management - IdM) 2. Beheer van toegangsregels en toegangsrechten op objecten (Access Management - AM) 3. Provisioning van toegangsrechten en runtime geven van toegang (AM)
Authentication Service
2
Identity en Policy Repository (PIP)
3
1
Identity Administration
IdM
Client Subject vraagt toegang
7 4
Policy Enforcement Point (PEP)
6
Policy Decision Point (PDP)
8
AM Eigenaar kent rechten toe
IT-Middel
IT-Middel
DAC
RBAC/ MAC
Organisatie
5
Policy_repository Administration (PAP)
HRM CRM Pas + certificaat
Toegangsrechten gekoppeld aan centraal opgeslagen attributen
Thema Encryptie Beheer / Audit
Niet vertrouwd
Medewerker
Berichten Bestanden
.
Semivertrouwd DMZ
Context
via
Office
Kluis
Vertrouwd Zeer vertrouwd Extern
Klant Telecom
Draagbare media
Media
Client
Medewerker .
Problemen: 1. Gegevens tijdens verwerking in tijdelijke opslag ; lekkage, ongeautoriseerd gebruik 2. Gegevens op transport; idem + verlies en diefstal in draagbare media 3. Gegevens in langdurige opslag; ongeautoriseerd gebruik
Oplossing Encryptie Algoritmebeheer
Sleutel- en certificaatbeheer Sleutelhuis
Beleid
Symmetrische-algoritmen
Organisatie Sleutel-levenscyclus
Asymmetrische-algoritmen
Processen
Hashing-algoritmen
Beleid
Certificaat-levenscyclus
Algoritme
Cryptografie
Sleutel(s)
Crypto-engine Bestand
Sleutels
Versleuteld
Hashing-engine
Versleuteld
Ontsleuteld
1. Symmetrisch; alle informatie versleuteld en ontsleuteld met één geheime sleutel 2. Asymmetrisch; met sleutelpaar: private en publieke sleutel wiskundig verbonden 3. Hash; data één-weg verwerkt tot een uniek controlegetal met standaard algorithme
Oplossing Encryptie
Applicatie
Secure HTTP, encryptie van een bericht
Presentatie Sessie
Presentatie HTTPS (TLS over HTTP), encryptie van een sessie
Transport layer Netwerk Data link Fysiek
Applicatie
Sessie Transport layer
IPSec encryptie van data in een netwerktunnel PPTP encryptie van data in een netwerktunnel Data lijn encryptie door netwerkprovider
Netwerk Data link Fysiek
.
Symmetrische encryptie
Inhoud
Inhoud
Versleuteld bericht
Zender
Ontvanger
Ontsleutelen met Key + algoritme
Versleutelen met Key + algoritme KEK / Encryptie sleutel
Sleutelbeheer IB-functies
IB-Mechanismen
Vertrouwde uitwisseling sleutel
Identificatie Authenticatie
Zonering
Zonering
Token Wachtwoord Biometrie
PKI Token Encryptie
Encryptie
Thema Bedrijfscontinuïteit (BCM) .
Beheer / Audit
Context
Onvertrouwd
.
.
Proxy
App .server
Semi-vertrouwd
Fileserver Contentscan Firewall
Appl.server .
Database
SAN
Vertrouwd
.
.
Data
Printer
Geen transacties mogelijk Webserver
Zeer vertrouwd
.
DMZ
1.
LDAP
Directory
IDS/IDP
Website niet bereikbaar
Problemen:
.
Totale uitval van IT en/of organisatie
Storage
FO/BO .
Extern
Client
SLA’s gelden niet bij crisis
PC-Client
.
.
Fasering
Crisisfase
Normaal
Nazorgfase
Normaal
Aandachtsfase ITIL RTO (Recovery Time Objective) Bedrijfsvolume
Normale bedrijfsvoering
Incident
2.
Noodwerkwijze Vastgesteld minimum serviceniveau
Nazorg
Normale bedrijfsvoering
MTPD (Maximum Tolerable Period of Disruption) SLA
SLA
Werkwijze
Regulier incidentmanagement
Disaster recovery
Reconstructie bedrijfsproces
Inhalen achterstand Regulier incidentmanagement
Oplossing BCM CP Continuïteitsplan
DRP
Oplossingsrichtingen beschreven vanuit de business
Oplossingsrichtingen beschreven vanuit IT
Disaster Recovery Plan
Herstelplan / Uitwijkplan - Stap 1: Applicatie ABC - Stap 2: Applicatie PQR - Stap 3: Applicatie XYZ - Installatie handleidingen
Fasering van herstellen IT voorzieningen
Oplossing 1. Crisisteam neemt bij crisis de centrale besturing van de organisatie over 2. Continuïteits Plan (CP) lijnmanagement zorgt voor opstellen én testen van CP 3. Disaster Recovery Plan (DRP) vanuit CP wordt DRP opgesteld met fasering herstel
4. Periodiek testen CP en DRP’s lijnmanagement = verantwoordelijk
Oplossing BCM techniek .
Beheer / Audit .
.
Proxy
Onvertrouwd
.
App .server
IDS/IDP Contentscan
PDA
Dbase
.
Database
.
Firewall
SAN
Backup & Recovery
Dbase
Fileserver
Semivertrouwd Vertrouwd
Data
Printer Webserver .
Externe werkplek
Zeer vertrouwd
Storage
FO/BO
DMZ
Kluis
.
Extern
Client PC-Client
.
.
Uitwijk & Co-locatie .
.
Beheer / Audit
LDAP
Beheer / Audit
.
.
App .server
Proxy
Directory
.
.
Niet vertrouwd
.
IDS/IDP Contentscan
SAN
.
App .server systemen
.
Semi-vertrouwd
Semi-vertrouwd
Fileserver .
Firewall
Contentscan
.
Vertrouwd
Vertrouwd
Mainframe .
Firewall
Data
Printer Webserver
Webserver .
Storage
DMZ
FO/BO
Zeer vertrouwd
Zeer vertrouwd
Extern
Extern
.
Storage
DMZ
FO/BO
.
.
Client
. Co-locatie
Database
.
Printer
.
LDAP
Directory
SAN
Database
Proxy Vitale IDS/IDP
Fileserver Mainframe Data
Niet vertrouwd
.
Client PC-Client
PC-Client
.
. Primaire locatie
Resumé
Wat zijn patronen? • • • •
Gestolde vakkennis Generieke oplossing voor een specifiek probleem Beeldtaal voor architect en ontwerper Bouwblokken voor veilige IT-voorzieningen
Doel & scope van IB-patronen • • • •
Beveiliging van IT-voorzieningen Bevorderen van hergebruik Verkorting van IT-ontwikkeltijd Uniformiteit in uitvoering
Opzet van patronen Standaard indeling, Open Group template Onderscheid beschouwingsmodel / patroon = Samenhang oplossingen voor generiek /specifiek probleem
Evaluatie
• Helpen deze patronen jullie verder? • Is dit abstractieniveau bruikbaar?
• Wat kan er beter en wat is nodig als vervolg? • Wie helpt mee met doorontwikkelen?
