CIS Control 12: Zarządzanie infrastrukturą sieciową
Sieci stanowią rdzeń krytyczny dla naszego współczesnego społeczeństwa i przedsiębiorstw. Sieci te składają się z wielu rodzajów komponentów, które tworzą infrastrukturę sieci. Urządzenia infrastruktury sieciowej mogą być fizyczne lub wirtualne i obejmują takie elementy jak routery, przełączniki, zapory i punkty dostępu bezprzewodowego. Niestety, wiele urządzeń jest dostarczanych przez producentów z "domyślnymi" ustawieniami konfiguracyjnymi i hasłami, które, jeśli zostaną wdrożone w niezmienionej postaci, mogą znacząco osłabić infrastrukturę sieciową organizacji. Nawet jeśli urządzenia sieciowe zostaną wzmocnione za pomocą niestandardowych konfiguracji i silnych haseł, z czasem staną się one celem nowych luk w zabezpieczeniach, które zostaną odkryte przez badaczy bezpieczeństwa.
Kluczowe wnioski dla Kontroli 12
Przedsiębiorstwa powinny upewnić się, że zespoły wdrażające i obsługujące infrastrukturę sieciową mają wdrożone procesy i procedury, które obejmują możliwości posiadania bezpiecznej infrastruktury sieciowej. Te procesy i procedury obejmują, ale nie ograniczają się do:
a. opracowanie architektury bezpieczeństwa sieci,
b. wdrożenie procesu ciągłego doskonalenia bezpieczeństwa,
c. tworzenie i ewolucję modelu dojrzałości bezpieczeństwa sieci,
d. opracowywanie i utrzymywanie diagramów i dokumentacji architektury sieci,
e. zapewnienie braku domyślnych ustawień lub haseł dla urządzeń sieciowych, oraz
f. wdrożenie programu zarządzania poprawkami i podatnościami dla urządzeń infrastruktury sieciowej.
Kontrola 12 ma na celu pomóc organizacjom we wdrożeniu i utrzymaniu bardziej bezpiecznej infrastruktury sieciowej.
Zabezpieczenia dla Kontroli 12
1: Upewnienie się, że infrastruktura sieciowa jest aktualna
Opis: Zapewnienie, że infrastruktura sieciowa jest na bieżąco aktualizowana. Przykładowe wdrożenia obejmują stosowanie najnowszych stabilnych wersji oprogramowania i/lub korzystanie z aktualnie obsługiwanych ofert usług sieciowych (NaaS). Wersje oprogramowania należy sprawdzać co miesiąc lub częściej, aby zweryfikować wsparcie dla oprogramowania.
Uwagi: Funkcja bezpieczeństwa związana z tym zabezpieczeniem to Protect.
2: Ustanowienie i utrzymywanie bezpiecznej architektury sieciowej
Opis: Należy ustanowić i utrzymywać bezpieczną architekturę sieci. Bezpieczna architektura sieci musi uwzględniać przynajmniej segmentację, najmniejsze uprawnienia i dostępność.
Uwagi: Funkcja bezpieczeństwa związana z tym zabezpieczeniem to Protect.
3: Bezpiecznie zarządzać infrastrukturą sieciową
Opis: Bezpiecznie zarządzać infrastrukturą sieciową. Przykładowe implementacje obejmują kontrolę wersji infrastruktury jako kodu oraz użycie bezpiecznych protokołów sieciowych, takich jak SSH i HTTPS.
Uwagi: Funkcja bezpieczeństwa związana z tym zabezpieczeniem to Protect.
4: Tworzenie i utrzymywanie diagramów architektury
Opis: Należy stworzyć i utrzymywać schematy architektury i/lub inną dokumentację systemu sieciowego. Coroczny przegląd i aktualizacja dokumentacji lub w przypadku wystąpienia znaczących zmian w przedsiębiorstwie, które mogą mieć wpływ na to zabezpieczenie.
Uwagi: Funkcją bezpieczeństwa związaną z tym zabezpieczeniem jest Identyfikacja.
5: Centralizacja uwierzytelniania sieciowego, autoryzacji i audytu (AAA)
Opis: Centralizacja sieciowego AAA.
Uwagi: Funkcją bezpieczeństwa związaną z tym zabezpieczeniem jest Protect.
6: Stosowanie bezpiecznych protokołów zarządzania i komunikacji sieciowej
Opis: Używanie bezpiecznych protokołów zarządzania siecią i komunikacji (np. 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise lub nowszy).
Uwagi: Funkcja bezpieczeństwa związana z tym zabezpieczeniem to Protect.
7: Upewnienie się, że urządzenia zdalne używają VPN i łączą się z infrastrukturą AAA przedsiębiorstwa
Opis: Wymaganie od użytkowników uwierzytelniania się w zarządzanych przez przedsiębiorstwo usługach VPN i uwierzytelniania przed uzyskaniem dostępu do zasobów przedsiębiorstwa na urządzeniach użytkowników końcowych.
Uwagi: Funkcja zabezpieczeń związana z tym zabezpieczeniem to Protect.
8: Ustanowienie i utrzymywanie dedykowanych zasobów obliczeniowych dla wszystkich prac administracyjnych
Opis: Ustanowienie i utrzymywanie dedykowanych zasobów obliczeniowych, oddzielonych fizycznie lub logicznie, dla wszystkich zadań administracyjnych lub zadań wymagających dostępu administracyjnego. Zasoby obliczeniowe powinny być odseparowane od głównej sieci przedsiębiorstwa i nie powinny mieć dostępu do Internetu.
Uwagi: Funkcja zabezpieczająca związana z tym zabezpieczeniem to Protect.
Autor: LANE THAMES