Вимоги до роботи з DMZ-зоною

2024-10-08 18:56
bga68comp: (Default)

Вимоги, що підсилюють захист DMZ у разі використання хмарних рішень, зокрема при роботі з персональними даними та інфраструктурою як послугою (IaaS).

ВимогаОписПосилання на стандарт або нормативний акт
1. Сегментація мережіМережеві сегменти повинні бути чітко відокремлені, з обмеженим доступом між внутрішньою мережею, DMZ-зоною та Інтернетом.ISO 27001:2022, A.13.1.3; PCI DSS v4.0, п. 1.2.1; НБУ Постанова №75
2. Контроль доступу до ресурсівВпровадження суворих правил контролю доступу до серверів у DMZ на основі ролей, мінімізації прав доступу.ISO 27002:2022, 9.4.3; PCI DSS v4.0, п. 7.2; Закон України "Про захист персональних даних"
3. Аутентифікація та авторизаціяВикористання двофакторної аутентифікації для адміністраторів та всіх, хто має доступ до критичних ресурсів у DMZ.ISO 27002:2022, 9.4.2; PCI DSS v4.0, п. 8.3; НБУ Постанова №43
4. Логування і моніторингВсі події у DMZ повинні бути автоматично записані в журнали, зберігатися і періодично перевірятися.ISO 27001:2022, A.12.4.1; PCI DSS v4.0, п. 10.1; НБУ Постанова №217
5. Оцінка ризиківПроводити регулярну оцінку ризиків для визначення загроз у DMZ, включаючи вразливості нових технологій.ISO 27005:2022, п. 5.4; ISO 31000:2018, п. 6.3; COBIT 2019, EDM03
6. Захист від шкідливого ПЗУстановити системи захисту від шкідливого ПЗ на всіх серверах і мережевих пристроях у DMZ.ISO 27001:2022, A.12.2.1; PCI DSS v4.0, п. 5.1; НБУ Постанова №95
7. Регулярні оновлення і патчіОновлення програмного забезпечення та систем безпеки в DMZ повинні проводитися регулярно для захисту від нових загроз.ISO 27002:2022, 12.5.1; PCI DSS v4.0, п. 6.2; Кращі практики Cisco, Microsoft
8. Процедури аварійного відновленняВпровадження та тестування планів аварійного відновлення для серверів і пристроїв у DMZ.ISO 27001:2022, A.17.1.2; PCI DSS v4.0, п. 11.1; НБУ Постанова №243
9. Оцінка ефективності заходів безпекиРегулярно проводити аудит безпеки та тестування заходів захисту DMZ для забезпечення їх ефективності.ISO 27001:2022, A.18.2.3; PCI DSS v4.0, п. 12.11; ТОGAF 10, ADM
10. Виявлення і реагування на інцидентиНеобхідно впровадити системи для автоматичного виявлення і швидкого реагування на інциденти безпеки в DMZ.ISO 27002:2022, 16.1.1; PCI DSS v4.0, п. 12.5; НБУ Постанова №65
11. Безпека в хмарних середовищахПри розгортанні DMZ у хмарі необхідно враховувати відповідальність між хмарним провайдером та клієнтом за захист інфраструктури. Важливо чітко розмежувати зони відповідальності.ISO/IEC 27017:2015, п. 5.1
12. Контроль доступу до хмарних ресурсівВсі адміністратори і користувачі з доступом до хмарних ресурсів, пов'язаних з DMZ, повинні мати відповідні ролі і права, з акцентом на мінімізацію прав доступу.ISO/IEC 27017:2015, п. 9.4
13. Захист персональних даних у хмаріЯкщо DMZ обробляє персональні дані, необхідно застосовувати додаткові заходи для захисту таких даних, зокрема шифрування та контроль доступу.ISO/IEC 27018:2019, п. 4.1; Закон України "Про захист персональних даних"
14. Шифрування даних у хмаріВсі дані, які передаються через DMZ в хмарних середовищах, повинні бути зашифровані на рівні мережевих передач та зберігання.ISO/IEC 27018:2019, п. 5.2.1
15. Виявлення та реагування на інциденти у хмаріНеобхідно забезпечити наявність інструментів для виявлення інцидентів безпеки в хмарному середовищі, зокрема в зоні DMZ, та швидке реагування на них.ISO/IEC 27017:2015, п. 16.1
16. Моніторинг та аудит хмарних середовищРегулярний моніторинг подій у DMZ та хмарі має проводитися для оцінки ефективності заходів безпеки, зокрема в межах процесу аудиту.ISO/IEC 27017:2015, п. 12.4
17. Інформування про інциденти з персональними данимиУ разі виявлення інцидентів, пов'язаних з персональними даними у DMZ, необхідно мати механізми для швидкого інформування про це відповідальних осіб.ISO/IEC 27018:2019, п. 9.1

Примітки:

  • ISO/IEC 27017:2015 надає додаткові рекомендації щодо безпеки в хмарних середовищах, зокрема для забезпечення безпеки DMZ в хмарі.
  • ISO/IEC 27018:2019 фокусується на захисті персональних даних, що є критичним при обробці таких даних у хмарних інфраструктурах.

Примітки:

  • Посилання на конкретні пункти стандартів та нормативних актів надають рекомендації для впровадження вимог.
  • Кращі практики Cisco, Fortinet, Microsoft враховують методи захисту мережевого периметру, управління доступом та хмарних інфраструктур.


Кращі практики Cisco:

  1. Cisco Safe Architecture:
    • Розподіл мережевих зон: Рекомендується чітко відокремлювати критичні ресурси (внутрішня мережа) від зовнішніх (Інтернет) за допомогою DMZ. Роль DMZ — забезпечити захищений шлюз для публічно доступних ресурсів.
      • Джерело: Cisco SAFE Design Guide.
  2. Cisco Next-Generation Firewalls (NGFW):
    • Додаткові механізми захисту: Використання систем глибокого аналізу трафіку, виявлення вторгнень (IDS/IPS) та фільтрації шкідливого ПЗ у трафіку через DMZ.
      • Джерело: Cisco Firepower NGFW Best Practices.
  3. Сегментація за допомогою ACL (Access Control Lists):
    • Контроль доступу між зонами: Використання ACL для точного контролю доступу між різними мережевими зонами, такими як внутрішня мережа, DMZ та Інтернет.
      • Джерело: Cisco ASA Firewall Configuration Guide.

Кращі практики Fortinet:

  1. Fortinet Security Fabric:
    • Інтегрований моніторинг та видимість: Використання платформи для централізованого управління та моніторингу мережевих пристроїв у різних зонах, включаючи DMZ, для швидкого виявлення та реагування на загрози.
      • Джерело: Fortinet Security Fabric Best Practices.
  2. FortiGate Firewall:
    • Застосування політик безпеки: Використання гнучких політик безпеки для контролю трафіку в DMZ з акцентом на мінімізацію доступу до внутрішньої мережі та використання зон захисту для різних рівнів сегментації.
      • Джерело: FortiGate NGFW Best Practices.
  3. Захист від DDoS-атак:
    • Фільтрація та захист DMZ від DDoS-атак: Використання технологій Fortinet для виявлення та блокування атак на рівні DMZ, щоб запобігти перевантаженню серверів і доступних з Інтернету ресурсів.
      • Джерело: Fortinet DDoS Protection Best Practices.

Кращі практики Microsoft:

  1. Azure Security Center:
    • Моніторинг та реагування в хмарних середовищах: У разі розгортання ресурсів у хмарі Microsoft рекомендує інтеграцію DMZ з Azure Security Center для проактивного виявлення загроз та управління вразливостями.
      • Джерело: Microsoft Azure Security Center Best Practices.
  2. Active Directory (AD) та Azure AD:
    • Управління доступом через AD: Використання ролей та груп доступу для чіткого контролю, хто має права на доступ до ресурсів у DMZ. Рекомендується використовувати двофакторну аутентифікацію (MFA) для додаткового захисту.
      • Джерело: Microsoft AD Security Best Practices.
  3. Windows Defender Advanced Threat Protection (ATP):
    • Виявлення загроз і захист від шкідливого ПЗ: Впровадження Windows Defender ATP на серверах у DMZ для виявлення та блокування потенційних загроз на основі поведінкових аналізів і захисту в реальному часі.
      • Джерело: Microsoft Windows Defender ATP Best Practices.



Tags:
  • Add Memory
  • Share This Entry

Cisco. Acronyms

2023-08-21 23:55
bga68comp: (Default)

Сокращения 
AAA     – Authentication, Authorisation, Accounting
ACI     – (Cisco) Application Centric Infrastructure
ACK     – Acknowledgement
ACL     – Access Control List
AD      – (Microsoft) Active Directory
API     – Application Programming Interface
APIC    – (Cisco) Application Policy Infrastructure Controller
APIC-DC – (Cisco) Application Policy Infrastructure Controller – DataCentre
ARP     – Address Resolution Protocol
ASIC    – Application-Specific Integrated Circuit
BGP     – Border Gateway Protocol
BPDU    – Bridge Protocol Data Unit
CoPP    – Control Plane Policing
C&C     – Command and Control
CC      – Controlled Conduit
CEF     – Cisco Express Forwarding
CIP     – Common Industrial Protocol (ODVA)
CMD     – Command
COS     – Class Of Service
CPwE    – Cisco Plantwide Ethernet
CRC     – Cyclic Redundancy Check
CTS     – Cisco TrustSec
dACL    – Dynamic Access Control List
DAI     – Dynamic ARP Inspection
DC      – Datacentre
DDOS    – Distributed Denial of Service
DHCP    – Dynamic Host Configuration Protocol
DLR     – Device Level Ring
DMVPN   – Dynamic Multipoint Virtual Private Network
DMZ     – Demilitarised Zone
DLR     – Device Level Ring
DNS     – Domain Name Service
DNA     – (Cisco) Digital Network Architecture
DNA E/A/P – (Cisco) Digital Network Architecture Essentials/Advanced/Premium Licensing
DSCP    – (IP) Differentiated Services Code Point
DTP     – (Cisco) Dynamic Trunking Protocol
EIGRP   – Exterior Interior Gateway Routing Protocol
EPG     – End Point Group
ERP     – Enterprise Resource Planning
ERSPAN  – Encapsulated Remote Switched Port Analyser
ETA     – (Cisco) Encrypted Traffic Analytics
FNF     – Flexible NetFlow
GPS     – Global Positioning System
GE      – Gigabit Ethernet
GETVPN  – Group Encrypted Transport Virtual Private Network
GRE     – Generic Routing Encapsulation
GUI     – Graphical User Interface
HMI     – Human Machine Interface
HR      – Human Relations
HSR     – High-availability Seamless Redundancy (Ring)
HTTP    – Hypertext Transfer Protocol
HTTPS   – Hypertext Transfer Protocol Secure
HW      – Hardware
IACS    – Industrial Automation and Control Systems
IBN     – Intent-Based Networking
ICMP    – Internet Control Message Protocol
ICS     – Internet Control System
IE      – Industrial Ethernet
IEC     – International Electrotechnical Commission
IDS     – Intrusion Detection System
IDMZ    – Industrial De-Militarised Zone
IEEE    – Institute of Electrical and Electronics Engineers
IETF    – Internet Engineering Task Force
IKEv2   – Internet Key Exchange Version 2
IND     – Industrial Network Director (Cisco)
IOS     – (Cisco) Internet Operating System
IOS-XE  – “XE” train of the (Cisco) Internet Operating System
IOx     – Application environment for Cisco Networking Equipment
IP      – Internet Protocol
IPAM    – Internet Protocol Address Management
IPS     – Intrusion Prevention System
IPSec   – Internet Protocol Security (protocol suite)
ISA     – International Society of Automation
ISE     – Identity Services Engine (Cisco)
ISIS    – Intermediate System to Intermediate System (Routing Protocol)
IND     – (Cisco) Industrial Network Director
IOC     – Indicators of Compromise
IRIG-B  – Inter-Range Instrumentation Group time code “B”
IT      – Internet Technology
ITSec   – Internet Technology Security
L2      – (ISO Model) Layer 2
L3      – (ISO Model) Layer 3
LAN     – Local Area Network
LDAP    – Lightweight Directory Access Protocol
LIMS    – Laboratory Information Management System
LSP     – Label Switch Path
LTE     – Long-Term Evolution (4G mobile communications standard)
MAB     – MAC Authentication Bypass
MAC     – Medium Access Control
MACsec  – IEEE MAC Security Standard (IEEE 802.1AE)
MDM     – Mobile Device Management
MES     – Manufacturing Execution System
MRP     – Media Redundancy Protocol
NAT     – Network Address Translation
NBA     – Network Behaviour Analysis
NTP     – Network Time Protocol
ODVA    – Open DeviceNet Vendor Association
OPC     – Open Platform Communications (OPC Foundation)
OPC UA  – OPC Unified Architecture
OPS     – Operations
OSPF    – Open Shortest Path First (Routing Protocol)
OT      – Operations Technology
pxGrid  – Platform Exchange Grid
PCN     – Process Control Network
PLC     – Programmable Logic Controller
POE     – Power Over Ethernet
POE+    – Power Over Ethernet Plus
PRP     – Parallel Redundancy Protocol
PTP     – Precision Time Protocol
PVST+   – (Cisco) Rapid per VLAN Spanning Tree Plus
PROFINET – Process Field Net
PROFINET RT – PROFINET Real-Time
PROFINET IRT – PROFINET Isochronous Real-Time
QoS     – Quality of Service
RADIUS  – Remote Authentication Dial-In User Service
RBAC    – Roll-Based Access Control
RBACL   – Roll-Based Access Control List
RDP     – Remote Desktop Protocol
REP     – Resilient Ethernet Protocol
RIB     – Routing Information Base
RSPAN   – Remote Switch Port Analyser
SCADA   – Supervisory Control And Data Acquisition
SDA     – (Cisco) Software Defined Access
SGACL   – Scalable Group Access Control List
SGT     – Scalable Group Tag
SIEM    – Security Information and Event Management
SNMP    – Simple Network Management Protocol
SPAN    – Switch Port Analyser
SPT     – Spanning Tree
STP     – Spanning Tree Protocol
SW      – Software
TOD     – Time Of Day
TCP     – Transport Control Protocol
TLS     – Transport Layer Security
TSN     – Time Sensitive Networking
UADP    – (Cisco ASIC) Unified Access Data Plane
UDP     – User Datagram Protocol
USB     – Universal Serial Bus
VoIP    – Voice Over IP
VLAN    – Virtual Local Area Network
VM      – Virtual Machine
VN      – Virtual Network
VXLAN   – Virtual Extensible Local Area Network
VNI     – VXLAN Network Identifier
VPN     – Virtual Private Network
VRF     – Virtual Routing and Forwarding
VSOM    – (Cisco) Video Surveillance Operations Manager
VSS     – Virtual Switching System
VTP     – (Cisco) VLAN Trunking Protocol
VXLAN   – Virtual Extensible Local Area Network
WAN     – Wide Area Network
WEBUI   – World Wide Web User Interface
WWW     – World Wide Web


source: https://www.ciscolive.com/c/dam/r/ciscolive/apjc/docs/2019/pdf/BRKIOT-1315.pdf :


©2019

Industrial Automation Security Design Guide 2.0 :


First Published: 2023-01-17
Last Modified: 2023-01-17
©2023 © Cisco Systems, Inc. All rights reserved.
 
Tags:
  • Add Memory
  • Share This Entry

Оптимальный перечень защитных мер DMZ

2017-02-07 17:12
bga68comp: (Default)
Оптимальный перечень защитных мер DMZ

wiki: DMZ (англ. Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных.


  1. DMZ разделяется на IP-подсети из расчета отдельная подсеть для каждого узла.
  2. IP адреса назначаются вручную администраторами. DHCP не используется.
  3. На сетевых интерфейсах, к которым подключены узлы DMZ, активируется MAC и IP фильтрация, ограничения по интенсивности широковещательного трафика и трафика, содержащего TCP SYN запросы.
  4. На коммутаторах отключается автоматическое согласование типов портов, запрещается использование native VLAN.
  5. На узлах DMZ и серверах внутренней сети, к которым данные узлы подключаются, настраивается TCP SYN Cookie.
  6. В отношении узлов DMZ (и желательно остальной сети) внедряется управление уязвимостями ПО.
  7. В DMZ-сегменте внедряются системы обнаружения и предотвращения вторжений IDS/IPS.



Схема с двумя межсетевыми экранами

Tags:
  • Add Memory
  • Share This Entry

Profile

bga68comp: (Default)
bga68comp

June 2025

S M T W T F S
123 4567
8 91011121314
15161718192021
22232425262728
2930     

Syndicate

RSS Atom

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated 2025-06-22 17:51
Powered by Dreamwidth Studios