BIO Thema Middleware - Inleiding
Alle hoofdstukken bij BIO Thema-uitwerking Middleware:
|
Deze BIO Thema-uitwerking is door het Centrum Informatiebeveiliging en Privacybescherming (CIP) opgesteld. Het omvat een gestructureerd referentiekader voor het thema middleware.
Toelichting op middleware
Middleware is een technologie-laag (soft- en hardware) binnen de technische architectuurstack. Middleware bevindt zich tussen applicaties (toepassingssoftware) en het serverplatform waarop besturingssoftware draait, zie afbeelding 1.
Vroeger functioneerde middleware als de laag waarin databases werden gepositioneerd. Tegenwoordig heeft middleware een breder bereik. Het kan zowel als data-laag functioneren, maar ook als integratie-laag. Middleware bestaat uit software- en hardwarecomponenten voor databases, storage, gateways en dergelijke waarin functies voor onder andere opslag, archiveren, bewaren en herstellen van data en koppelen met andere platformen en applicaties functioneren. Moderne middleware kan bestaan uit microservices, die allerlei verwerkingstaken uitvoeren of integratieservices. Voor de koppeling met andere IT-platformen is in deze BIO Thema-uitwerking daarom ook aandacht besteed aan integratieservices, zie bijlage 1 tot en met bijlage 7 voor de verschillende toepassingsvoorbeelden. Middleware wordt in deze thema-uitwerking benaderd vanuit functionaliteiten, componenten en integratieservices, zie afbeelding 2.
Functionaliteiten
Middleware maakt het mogelijk applicaties te ontwikkelen voor verschillende platformen zodat gegevens, onafhankelijk van waar deze gegevens zich bevinden, op dezelfde manier kunnen worden opgeslagen en indien nodig kunnen worden hersteld en uitgewisseld.
Componenten
Componenten zijn technische objecten zoals databases, hard- en software voor dataopslag en hard- en software voor data-uitwisseling. De eindgebruikers krijgen uitsluitend toegang tot de data via applicaties. Beheerders kunnen via speciale toegangsrechten rechtstreeks toegang krijgen tot systeemdata en componenten, zoals back-up-voorzieningen of integratieservices.
Integratieservices
Middleware kan in een complexe gedistribueerde omgevingen een hybriderol vervullen, waarbij sprake is van een ontwikkelomgeving of van instelbare infrastructuur voor interoperabiliteit tussen informatiesystemen onderling. Het instellen vereist speciale toegangsrechten.
Doel Middleware
Middleware is een categorie technologieën, ontworpen om de compliciteit en heterogeniteit, inherent aan gedistribueerde systemen te beheersen.
Het doel van de BIO Thema-uitwerking Middleware is een beeld geven van relevante onderwerpen (hierna genoemd objecten) waarmee organisaties worden ondersteund bij het aangaan van contractuele verplichtingen voor toegankelijkheid, integriteit en beschikbaarheid van de geboden functionaliteit en bij de selectie van data-gerelateerde componenten zoals databases, storage en gateways.
Toepassing van dit referentiekader draagt bij aan het bereiken van het BIO-basisbeveiligingsniveau (BBN) 1 en 2. Het bereiken van het noodzakelijke beveiligingsniveau vindt plaats op basis van risico’s, waarbij de focus op een specifiek onderwerp wordt gelegd. BIO-controls worden dus niet per BIO-hoofdstuk geïmplementeerd maar in de context van dat onderwerp. Hierbij worden relevante controls uit verschillende BIO-hoofdstukken in hun samenhang aangeboden.
Doelgroepen
Dit document heeft 3 primaire doelgroepen, te weten:
- Functionarissen die verantwoordelijk zijn voor het stellen van beveiligingskaders en voor de controle op en naleving hiervan zoals Beveiligingscoördinatoren, Chief Information Security Officers (CISO’s) en Security managers.
- Functionarissen die betrokken zijn bij het ontwerp, de implementatie en het beheer van middleware.
- Controlerende instanties (IT-auditors) die met dit referentiekader een objectieve ICT-beveiligingscontrole uitvoeren.
Scope en begrenzing middleware
De scope van BIO Thema-uitwerking Middleware omvat objecten die relevant zijn voor de beveiliging van middlewarefuncties en de opslag van gestructureerde data.
Elke BIO Thema-uitwerking heeft een relatie met aanpalende documenten zoals genoemd in dit document.
In elke BIO Thema-uitwerking wordt een set beveiligingsobjecten, controls en maatregelen uit de BIO bijeengebracht. De objecten vormen de inhoudelijke onderwerpen van het thema. Eventueel ontbrekende objecten, die blijken uit de toepassing van de SIVA-methodiek (Structuur, Inhoud, Vorm en Analysevolgorde), worden beschreven met andere best practices. De begrenzing van dit document is in afbeelding 3 weergegeven.
Algemene en specifieke objecten
Voor middleware zijn een aantal algemene en specifieke objecten uitgewerkt die van belang zijn voor de beveiliging van de middlewarefunctionaliteit. De algemene objecten, zie afbeelding 4 zijn globaal voor alle IT-systemen van toepassing en komen in de meeste BIO Thema-uitwerkingen voor.
In deze thema-uitwerking zijn deze algemene objecten toegespitst op middleware. De specifieke objecten voor opslag van data en voor integratieservices zijn apart uitgewerkt in hoofdstuk 3 Uitvoeringsdomein. Enkele specifieke objecten staan in de onderste helft van afbeelding 4. Voor de objecten uit het uitvoeringsdomein, zijn zoals bij elke thema-uitwerking, de nodige beleids- en beheersingsobjecten geformuleerd.
Scope en begrenzing middleware
Deze BIO Thema-uitwerking beperkt zich tot gestructureerde data en data die gedurende langere tijd wordt opgeslagen op een bepaald medium. De beveiliging van ongestructureerde data valt buiten de scope van deze thema-uitwerking.
Gestructureerde data zijn gegevens die in databases worden opgeslagen. Voorbeelden van datakenmerken zijn: leeftijd, geslacht en geboorteplaats. Deze gegevens zijn doorgaans gelabeld en eenvoudig toegankelijk.
Ongestructureerde data is zeer uiteenlopend van structuur en is daarom moeilijk te classificeren. Voorbeelden van datatypen zijn: Social media, Facebook, Twitter, LinkedIn, interne bedrijfsdata zoals e-mails, tekstdocumenten, foto’s en video’s en data voor Internet of Things. Adequate beveiliging van ongestructureerde data vereist per datatype een specifieke aanpak.
Context middleware
Elke organisatie heeft te maken met zijn eigen unieke omgeving (context). De ene organisatie werkt voornamelijk met uitbesteding van IT in clouddiensten, de andere heeft een eigen rekencentrum en ontwikkelt zelf de nodige maatregelen. Ondanks de verschillen in context blijven gebruikersorganisaties altijd eindverantwoordelijk voor wat er met hun data gebeurt en dus ook verantwoordelijk voor de eisen die gesteld worden aan de beveiliging van die data. In deze BIO Thema-uitwerking richten de eisen voor middleware (hierna controls genoemd) zich op een context, zoals die geschetst is in afbeelding 5.
Vanuit deze min of meer universele opzet voor middleware zijn relevante controls en maatregelen uit de BIO en andere best practices te duiden, zie hoofdstuk 2 Beleidsdomein, 3 Uitvoeringsdomein en 4 Control-domein. In de geschetste opzet uit afbeelding 5 vindt naast een uitwisseling van data tussen applicaties en serverplatform, tevens uitwisseling van data plaats via berichtenverkeer tussen onderling gekoppelde informatiesystemen.
Systeemfuncties van middleware
Middleware bestaat grotendeels (en soms geheel) uit software. Voor de interne systeemfuncties van middleware, zoals aangegeven in de blauwe vlakken van afbeelding 6, gelden de beveiligingseisen die horen bij softwareontwikkelprocessen. Zie daarvoor de BIO Thema-uitwerking Applicatieontwikkeling en de OWASP-literatuur (Open Web Application Security Project) op internet. In deze BIO Thema-uitwerking zijn objecten uitgewerkt voor de functionaliteiten (links) en de integratieservices (rechts) uit afbeelding 6.