Best Practice - Sichere Webseite vom Server bis CMS

Best Practice
Sichere Webseite vom Server bis CMS
02.12.2014
Dr. Markus Müller
Bereichsleiter secunet AG
Stephan Sachweh
Geschäftsführer Pallas GmbH
/
Pallas stellt sich vor

Wir sind ein MSSP:
Managed Security Service Provider

Pallas ist strategischer Solution-Partner
der Vodafone

Wir






Lösungsorientiert, wachsend mit Ihren Bedürfnissen

Vor Ort und in unseren deutschen RZs als Private Cloud Service
Essen | 2.12.2014
erbringen IT-Sicherheits-Dienstleistung
Beraten
Einrichten
Betreiben
Überwachen (24x7)
Helpdesk-Service (24x7)
stellt sich vor
 führender Anbieter für anspruchsvolle IT-Sicherheit
 seit 2004 Sicherheitspartner der Bundesrepublik Deutschland
 Mitgliedschaften u.a.:
 mehr als 300 Experten für nationale & internationale Kunden aus
Privatwirtschaft und öffentlichen Institutionen
 Leistungsangebot Business Sector:





Sicherheitsberatung + Sicherheitskonzepte, -strategien und -designs
Penetrationstests, Sicherheitsaudits und Assessments
Technologiebewertung + Software-Entwicklung
Integration von HW und SW-Produkten, Komplettlösungen
24x7 Monitoring und Managed-Security-Services + Schulungen
Essen, 02.12.2014
Agenda




Vorstellung Beispiel-Webseite
Organisatorische Maßnahmen
Technische Maßnahmen
Zusammenfassung
Essen | 2.12.2014
/
Vorstellung Beispiel-Webseite
 Unternehmenspräsenz
 Kontaktformular
 Forum
Essen | 2.12.2014
/
Organisatorische Maßnahmen
 Verantwortung bleibt beim Inhaltsanbieter
 Organisatorische Maßnahmen verbleiben daher
beim Auftraggeber
 Auch bei Externem Hosting
Essen | 2.12.2014
/
Organisatorische Maßnahmen
 Schutzziele / Sicherheitslevel definieren
 Auf
•
•
•
Basis einer Risikoabschätzung
Inhalte schützenswert?
Ressourcen schützenswert? (Ja)
Imageschaden bei erfolgreicher Hackingattacke?
 Schutzziele / Sicherheitslevel Beispiel-Webseite





Essen | 2.12.2014
Integrität Webseiten
Vertraulichkeit und Integrität personenbezogene Daten
Integrität Webplattform
Kein externer Zugang zur Unternehmens-IT
Basis-Verfügbarkeit
/
Organisatorische Maßnahmen
 Sicherheitsvorgaben erstellen
 Welche Einzelmaßnahmen? („was“)
 Ausprägung der Einzelmaßnahmen („welche Parameter?“)
 Sicherheitsvorgaben Beispiel-Webseite










Essen | 2.12.2014
Netzwerk-Firewall
Server-Härtung
Backup (Daten- und System)
Überwachung, Alarmierung (Verfügbarkeit und Defacement)
Patchmanagement (Update und Patchpolicy)
Logging
Verschl. Datenspeicherung (?)
CMS/Web-Applikation härten
Pen-Tests
Security Reviews
/
Organisatorische Maßnahmen
 Hosting
 Intern
• Ressourcen und Know-How dauerhaft vorhanden?
 Extern
• Referenzen / Empfehlungen
• Preis
• Vereinbarung zur Auftragsdatenverarbeitung
erforderlich?
• Sicherheitsvorgaben erfüllt?
Essen | 2.12.2014
/
Organisatorische Maßnahmen
 Vor Liveschaltung
 Prüfung Betriebsumgebung
• Sicherer Zugang
• Backup/Recovery
• Hochverfügbarkeit/Failover (soweit vorhanden)
• Überwachung/Alarmierung
• Logging
 Web-Site Prüfung
• Penetrationstest
• Web Application Test
 Regelmäßige Prüfungen
 …
 Abschalten bei Nichtgebrauch
Essen | 2.12.2014
/
Organisatorische Maßnahmen
 Was gibt es noch?
 Audits
 ISO 27001
 IT-Grundschutz gemäß BSI
 Computer-Emergency-Response-Team (CERT)
 Zertifizierung
Essen | 2.12.2014
/
Technische Maßnahmen
 Angepasste Sicherheit
 Kosten / Nutzen Relation beachten
 Sicherheitsvorgaben beachten
Essen | 2.12.2014
/
Infrastruktur: Einfach




Externes Hosting
Überwachung und Pflege im eigenen Haus
Vorgelagerte Firewall
Single Server System
 CMS
 Web-Server
 Datenbank
 Betriebssystem
Backup und Restore
Inhaltspflege
Internet
Monitoring
Überwachung
Firewall
 Backup und Restore durch Hoster
Web-Server (Apache httpd)
DB (MySQL)
Betriebssystem (Linux Ubuntu LTS)
Essen | 2.12.2014
/
Infrastruktur: Komplex
Externes Hosting
Überwachung und Pflege im eigenen Haus
Vorgelagerte Firewall
Vorgelagerte Web Application Firewall
LoadBalancer zur Lastverteilung und
Ausfallsicherheit
 Multiple Web-Server
 Interne Firewall zum Schutz des DB/Storage
Bereichs
 Datenbank Cluster zur Lastverteilung und
Ausfallsicherheit





Essen | 2.12.2014
/
Infrastruktur: Komplex





Intrusion Prevention System
Backup und Restore durch Hoster
Malware Scanner
Monitoring durch Hoster
Inhaltsüberwachung durch Auftraggeber
Essen | 2.12.2014
/
Infrastruktur: Komplex
Internet
Inhaltspflege
Firewall
Überwachung
DMZ
Intrusion Prevention System (IPS)
LoadBalancer mit Web Application Firewall
Web-Server
Cluster
Überwachung
Web-Server
Backup und Restore
Web-Server
Firewall
Datenbank
Cluster
Malware Scanner
Essen | 2.12.2014
Gesicherter DB/Storage Bereich
/
Technische Maßnahmen BeispielWeb-Seite
 Architektur inkl. Netzwerk-Firewall
 Systeme härten
Minimalisierung (nicht benötigte Komponenten entfernen)
Rollenbasierter Zugriff (Betriebssystem, CMS, etc.)
Sichere Komponenten („schwachstellenarm“)
Sichere Konfiguration (nichtbenötigte und unsichere Funktionen
deaktivieren)
 Host basierte Firewall (Linux: iptables)
 Sicherer Zugang (Web-Admin per HTTPS, Secure-Shell, IPSec-VPN,
o.ä.)




Essen | 2.12.2014
/
Technische Maßnahmen BeispielWeb-Seite
 Funktionen für Basis-Betrieb





Backup und Restore (System und Daten)
Überwachung, Alarmierung (NAGIOS o.ä.)
Patchmanagement
Logging
Auswertung/Reporting
 Datensicherheit
 Verschl. Datenspeicherung
 CMS/Web-Applikation härten
 Pen-Tests/Audits
 Standard-Tools (Know-How erforderlich!)
Essen | 2.12.2014
/
Weitere Technische Maßnahmen
 Architektur
 Intrusion-Prevention-System (IPS) als „bessere“ Netzwerk-Firewall
 Separierte Schutzzonen (z.B. für Datenbank)
 Datensicherheit:
 Verschlüsselter Datentransfer
 Rollenbasierter Web-Zugriff
 Verschlüsselte Datenspeicherung
 Schutz Web-Applikation:




Virenschutz
Reverse Proxy
Web-Application-Firewall
Pen-Tests/Audits
 Hochverfügbarkeit/Failover
Essen | 2.12.2014
/
Weitere Technische Maßnahmen
 Evtl. weitere Schutzsysteme implementieren




Essen | 2.12.2014
2-Faktor-Authentisierung
Host-IDS
Net-IDS
SIEM
/
Sichere Web-Site: Checkliste










Sicherheitsvorgaben definiert?
Infrastruktur entspricht den Sicherheitsvorgaben?
Einsatz von Verschlüsselung (https)?
Vereinbarung zur Auftragsdatenverarbeitung
abgeschlossen?
Pen Test vor Go Live?
Monitoring aufgesetzt?
System gehärtet?
Backup und Restore getestet?
Hochverfügbarkeit/Failover getestet?
Update und Patchpolicy vereinbart?
 Regelmäßige (mind. jedes Jahr) Prüfung
Essen | 2.12.2014
/
Gibt es noch Fragen?
Autor:
Stephan Sachweh/Geschäftsführer
E-Mail:
[email protected]
Unternehmen:
Pallas GmbH
50321 Brühl
Web:
www.pallas.de
Vielen Dank für Ihre Aufmerksamkeit!
?
Gibt es noch Fragen?
Autor:
Dr. Markus Müller / Bereichsleiter
Managed Security Services
E-Mail:
[email protected]
Unternehmen:
secunet Security Networks AG
Kronprinzenstraße 30, 45128 Essen
Web:
www.secunet.com
Vielen Dank für Ihre Aufmerksamkeit!
?