Beschouwingsmodel client

Uit NORA Online
Ga naar: navigatie, zoeken
Op 19 juni 2017 zijn de Afgeleide Principes die raken aan het thema Beveiliging gewijzigd (zie nieuwsbericht). De beheersmaatregelen, implementatierichtlijnen en beveiligingspatronen uit de oude 'Katern' Beveiliging hangen hiermee beter in het bredere kader van de NORA-afspraken. De komende periode zal hieraan nog de ISOR (Information Security Object Repository) van het Centrum Informatiebeveiliging en Privacybescherming (CIP) worden toegevoegd.

Context

Onder een client verstaan we computers die bedrijfsfuncties en -gegevens voor eindgebruikers persoonlijk toegankelijk maken. Clients komen in de bedrijfsomgeving zowel in het interne domein als in het externe domein voor, zowel draagbaar als vast. Gebruikers hebben vanuit clients, op basis van hun autorisaties toegang tot bedrijfsapplicaties. In alle gevallen is er sprake van het raadplegen of bewerken van bedrijfsfuncties of bedrijfsgegevens door interne of externe medewerkers of contractors.

Clients van een organisatie

Probleem

  1. Variërende awareness en IT- deskundigheid van eindgebruikers veroorzaakt besmetting (virus en malware), waardoor ongeautoriseerde toegang mogelijk is, dataverlies ontstaat of dat IT-services en gegevens niet beschikbaar zijn.
  2. Kwetsbaarheden in uitvoerbare code zorgt voor mogelijkheden voor inbreuk van buitenaf. Met name code voor clients blijkt vanwege de opzet in de praktijk zeer kwetsbaar. De uitvoerbare code betreft Operating Systemen en applicaties.
  3. Meer functionaliteit ingeschakeld dan nodig voor de bedrijfsvoering, waardoor mogelijkheden tot diefstal of inbreuk toenemen.
  4. Beperkte beveiligingsmogelijkheden van Mobiele apparaten maakt PDA’s, tablets en laptops extra kwetsbaar voor dataverlies en inbreuk.

Oplossing

Clients kunnen beschouwd worden als een stelsel van functieblokken. Elk functieblok is voor de uitvoering van z’n taak uitgerust met beveiligingsfuncties. Per beveiligingsfuctie is in onderstaande tabel aangegeven welke IB-mechanismen per functieblok van toepassing zijn. Beheerfuncties zijn uitgewerkt in het Patroon voor interne koppelvlakken met beheer en audit.

Functieblokken van een client met zijn interfaces
Functieblok Continuïteit Geprogrammeerde controles Zonering Filtering Identificatie Authenticatie Autorisatie Vastleggen gebeurtenissen Controleren alarmeren Systeemintegriteit
Beheerinterface nvt Vragen om toestemming van gebruiker nvt Telefonisch of chatcontact met helpdesk nvt Gescheiden account voor beheer- en gebruikersfunct. Logging van elke beheerhandeling Handhaven van IB-functies nvt
Invoer- en gebruikersinterface nvt nvt Media-encryptie Virus-/malwarescanning + personal firewall 1- of 2-factor Minimaliseren rechten nvt nvt nvt
Applicatie Broncode deponeren Controle op:
Invoer
Verwerking
Uitvoer
nvt nvt nvt Gebruikersaccounts
Functionele accounts
Vollopen buffers
IB events
Applicatielog
Handhaven IB-functies Hardening
Sandbox
Applicatiepatch
Infrastruct. middleware Rollback vanaf image op disk Deployment
Configuratie
TLS/SSL
Alleen noodzakelijke functionaliteit
Intrusion detectie
Personal firewall
Pincodeopstart
Systeem ww
Gebruikersaccount voor toegang tot applicaties Virus-/malwaremeldingen
Personal firewallmeldingen
Alarm op virus/malware Hardening
Sandbox
Systeempatch
Vulnerabilityscan
Operating system Rollback vanaf image op disk nvt Ongebruikte poorten uitgeschakeld of verwijderd nvt Pincodeopstart
Systeem ww
Gebruikersaccount toegang tot apparaat OS logging beveiligingsevents Handhaven IB-functies Hardening
Codescan/hash
OS-patch
Vulnerabilityscan
Hardware Reserve-onderdelen nvt Afgesloten systeemkast nvt BIOS ww
Tokens
Fysieke sleutel Syslog
Klok NTP, temperatuur, defecten
CPU load, buffer-overflow, netwerk-bandbreedte Hardening
Firmwarepatch
Uitvoer en opslag Backup & Restore automatisch of op gebruikerscommando nvt Media-encryptie
HDD/SSD
CD/DVD/Bray
USB-devices
nvt WW gescheiden van toepassing-gegevens opgeslagen Temp-bestanden alleen voor systeembeheer toegankelijk nvt nvt Foutloos berichtenverkeer en opslag (RAID)

Afwegingen

Niet alle maatregelen zijn van toepassing op elk type client. Per type; vast of mobiel, PDA, Tablet, Laptop, PC-werkstation of Linux-werkstation zal op basis van een risicoafweging bepaald moeten worden welke maatregelen dienen te worden toegepast.

Implicaties

PDA’s of smartphones worden vaak niet als ‘client’ beschouwd, maar moeten afhankelijk van de ontsluiting van bedrijfsfuncties en gegevens wel degelijk als zodanig worden ingericht, beheerd en gebruikt. Met name voor opslag van attachments, gebruikersgegevens en telefoonboeken fungeren deze devices minimaal als opslagmedia en thin-client, met toepassing van pincode voor toegang tot het apparaat, toegangscontrole voor bedrijfsapplicaties en sterke versleuteling van gegevensopslag.

Gerelateerde patronen

De volgende patronen zijn gerelateerd aan Beschouwingsmodel client:


Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen