Beveiligings Beleid

Uit Byte Docs

De zwakste schakel in een systeem bepaalt de mate van beveiliging. Schakels van een systeem zijn niet alleen servers en netwerkonderdelen, maar ook de mensen die ermee werken. Daarom bestaat een goed beveiliginsbeleid uit procedures en methodes die de kans verkleinen op zowel technische inbraken als inbraken met behulp van social engineering (definitie).

Inhoud

Technische maatregelen

  • Alle administratieve handelingen worden uitgevoerd over versleutelde (SSL) verbindingen.
  • Authenticatie tussen servers onderling gebeurt op basis van PKI (definitie).
  • Klantwachtwoorden worden door ons niet opgeslagen, alleen de versleutelde representatie daarvan. Mocht een hacker binnendringen in (een deel van) onze systemen, dan heeft deze niet automatisch de beschikking over alle wachtwoorden van onze klanten.
  • Onze netwerkarchitectuur kent meerdere lagen. Onze database servers en fileservers zijn afgeschermd van het Internet, waardoor potentiële hackers eerst door twee lagen (firewalls, webservers) moeten breken om bij de gegevens te komen.
  • Iedere bij ons gehoste site draait met afzonderlijke proces- en eigendomsrechten. Hierdoor zijn de applicaties en data van onze klanten strikt gescheiden. Mocht een hacker er in slagen in te breken op de applicatie van een individuele klant, dan geeft dit geen risico voor onze overige klanten.
  • De door Byte ontwikkelde tool Hacker Slayer controleert regelmatig of er processen zich losgemaakt hebben. Verdachte processen worden gekilld. Wij krijgen daar een mailtje over en onderzoeken of de website gehackt is. IS dat het geval, dan wordt de site offline gehaald en ontvangt de websitebeheerder een melding per e-mail met het verzoek het probleem op te lossen waarna wij de site weer kunnen activeren.
  • Via een door Byte ontwikkelde FTP virusscan kan worden voorkomen dat geïnfecteerde bestanden kunnen worden geüploaded. Deze scan werkt als volgt: De files die een FTP client wil uploaden op bepaalde virusdefinities worden gescand. Als er zo’n verdachte definitie wordt herkend in een file, wordt deze geblokkeerd en dus niet op de server geplaatst. Op die manier wordt voorkomen dat het geïnfecteerde bestand schade kan aanrichten.

Procedurele maatregelen

  • Wij houden nauwgezet publicaties van beveiligingslekken in de gaten. Op basis van een interne richtlijn wordt de kans op exploitatie, impact van misbruik en functionele impact van de oplossing ingeschat. Zijn zowel impact van misbruik als kans op exploitatie hoog, dan wordt het lek direct gedicht. Is dit niet het geval en heeft de implementatie van een fix mogelijk functionele consequenties voor de toepassingen van onze klanten, dan wordt de implementatie gepland voor het volgende onderhoudsvenster en wordt een aankondiging rondgestuurd naar onze klanten.
  • Onze administratieve wachtwoorden veranderen iedere drie maanden of na afscheid van medewerkers.
  • Voor iedere mutatie van site-, email- en klantgegevens en domeineigendom vereisen we authenticatie met behulp van een wachtwoord of een schriftelijk en ondertekend bewijs van goedkeuring. Hier zijn we bijzonder streng in, aangezien dit de enige manier is om social engineering (manipulatie van onze medewerkers teneinde een wachtwoord te bemachtigen) te voorkomen.
  • Wij scannen reactief onze logbestanden op verdachte patronen. Hierdoor zijn wij in staat om in een vroeg stadium misbruik van de bij ons gehoste sites te detecteren.
  • Anderzijds scannen we proactief op verouderde software. Hierdoor kunnen we onze klanten waarschuwen indien zij lekke (verouderde) applicaties hebben geïnstalleerd die mogelijk kunnen worden misbruikt voor het versturen van spammen of het verhullen van de identiteit van een hacker.

Praktische maatregelen

Byte heeft ook een aantal praktische maatregelen ingevoerd om de beveiliging aan te scherpen.

  • Anonymous FTP is uitgeschakeld. Vanwege de reputatie van FTP services op beveiligingsgebied, hebben we ervoor gekozen om preventief de FTP services op een geïsoleerd cluster onder te brengen. Daarnaast is alleen toegang met wachtwoordauthenticatie toegestaan (wachtwoorden worden m.b.v. MD5 hashes opgeslagen). Een extra maatregel is het aanbieden van versleutelde FTP (TLS) verbindingen, zodat files en inlogcodes niet kunnen worden afgeluisterd ("gesniffed").
  • Op alle servers zijn overbodige diensten uitgeschakeld. Daarnaast wordt aan de rand van ons netwerk al het inkomende en uitgaande verkeer gefilterd door een redundante firewall. Alleen noodzakelijk verkeer (web, mail, ftp) wordt doorgelaten naar bepaalde servers.
  • Administratieve databases zijn volledig afgeschermd van de buitenwereld. Klantspecifieke databases zijn op verzoek te benaderen van buiten het Byte netwerk.

Conclusie

Deze maatregelen lijken wellicht strikt en overbodig, maar zijn wat ons betreft absoluut noodzakelijk. Op ons platform worden laboratoriumsystemen, medische toepassingen, financiële applicaties en patiëntendossiers gehost. Een absolute 100% beveiliging is nooit te bereiken, maar we trachten deze wel te benaderen!

Met deze maatregelen voldoen we voor 100% aan de gangbare certificeringsstandaarden voor beveiliging, zoals PCI-DSS.

Neemt u voor vragen over ons beveiligingsbeleid contact op met ons via het contactformulier.

Nog niemand heeft een waardering kenbaar gemaakt voor dit artikel
 You need to enable JavaScript to vote
Overgenomen van "http://www.byte.nl/mediawiki/index.php?title=Beveiligings_Beleid&oldid=4167"
  • Deze pagina is het laatst bewerkt op 29 mrt 2012 om 15:54.
  • Deze pagina is 561 keer bekeken.

We proberen de kwaliteit van onze kennisbank voortdurend te verbeteren.
Geef de informatie op deze pagina een waardering met de slider hierboven.