ICZ - Sekce Bezpečnost Petr Řehoř, ICZ a.s. 31. října 2013 1
Agenda Sekce Bezpečnost Důvěryhodná výpočetní základna bezpečnost sítí Microsoft Windows ICZ Protect Boot ochrana dat při ztrátě nebo odcizení notebooku Správa mobilních zařízení 2
3
Sekce Bezpečnost Zaměření na bezpečnost počítačové infrastruktury Zabezpečení VMware vsphere a Microsoft Windows Technologicky zaměřena na Microsoft a VMware Virtualizace VMware vsphere Operační systémy Microsoft Windows Mailový systém Microsoft Exchange Adresářové služby Active Directory Projekty z oblasti utajovaných informací Implementace a certifikace IS pro zpracování UI Vývoj HW a SW pro NBÚ 4
Důvěryhodná výpočetní základna Bezpečná počítačová infrastruktura pro provoz informačních systémů, která poskytuje prostředky pro řízení přístupu k aktivům podle norem Bezpečnostní politika organizace ČSN ISO/IEC 27001 a ČSN ISO/IEC 17799 Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Metodika pro implementaci, konsolidaci a zabezpečení sítí založených na Microsoft Windows a VMware vsphere 5
Důvěryhodná výpočetní základna Součásti DVZ Bezpečná komunikační infrastruktura Virtualizace serverů Infrastrukturní síťové služby Operační systémy Windows Adresářové služby a správa počítačů Síťové uživatelské prostředí PKI a čipové karty Zálohování a archivace dat Antivirová a antispamová ochrana Přístupy z Internetu Provozní a bezpečnostní monitoring sítě Kancelářské prostředí MS Office a elektronická pošta Spolupráce při zprovoznění IS v prostředí DVZ 6
Důvěryhodná výpočetní základna Zabezpečení Microsoft Windows Vychází z Microsoft Security Compliance Manager Windows a Windows Server, Exchange Server Internet Explorer, Microsoft Office Zabezpečení pomocí GPO na úrovni domény Active Directory Společná konfigurace bezpečnosti pro všechny verze Windows XP/7/8/2003/2008/2008 R2/2012 Zakazuje slabé algoritmy a nebezpečné protokoly Doplňuje další bezpečnostní nastavení reagující na aktuální dění Povolení TLS 1.1 a 1.2 na serverech i klientech Problémy blokových šifer v CBC módu v TLS 1.0 => Prioritizace algoritmu RC4 7
Důvěryhodná výpočetní základna Správa životního cyklu počítačů Instalace operačních systémů Microsoft Windows Zabezpečení a konfigurace operačního systému Instalace bezpečnostních oprav Instalace, konfigurace a zabezpečení aplikací Konfigurace uživatelského desktopu Cestovní profily Windows Deployment Service nebo Microsoft Deployment Toolkit Windows Server Update Service Skupinové politiky 8
Důvěryhodná výpočetní základna Nastavení základní úrovně bezpečnosti Všechny počítače v síti mají základní konfiguraci bezpečnosti operačních systémů a aplikací Konsolidace stanic a aplikací Jednotná konfigurace uživatelského desktopu na různých typech stanic (PC, notebook, terminálový server, virtuální stanice) Jednotná správa aplikací na různých typech stanic pomocí virtualizace aplikací Přechod na terminálové servery a/nebo virtuální stanice s tenkým klientem snižují náklady na pořízení a správu stanic a eliminují řadu rizik spojenými se standardními stanicemi 9
Důvěryhodná výpočetní základna Reference ve státní správě Český telekomunikační úřad Krajský úřad Jihočeského kraje Ministerstvo spravedlnosti Ministerstvo zahraničních věcí Vězeňská služba 10
ICZ Protect Boot Ochrana dat na přenosných počítačích Na přenosných počítačích obecně bývá uloženo velké množství citlivých dat organizace Cena dat představuje obvykle několikanásobek ceny notebooku v ČR existuje několik typů citlivých informací, které je nutné chránit podle zákona: Osobní údaje zákon č. 101/2000 (O ochraně osobních údajů) Zvláštní skutečnosti zákony č. 240/2010 a 430/2010 (Krizové řízení) Vnitřní informace zákon č. 246/2004 (O podnikání na kapitálovém trhu) 11
ICZ Protect Boot Zabezpečení dat Neexistuje bezpečnostní řešení, které ochrání data pokud je v počítači instalován zákeřný software běžící s právy administrátora Šifrování disku přenosného počítače je z hlediska dobrého zabezpečení podmínka nutná, nikoli však postačující Pro bezpečnost zašifrovaných dat musí být zajištěna také bezpečnost bootovacího procesu a bezpečná správa šifrovacího klíče 12
ICZ Protect Boot TrueCrypt Šifrování celého disku pomocí AES 256 bitů v XTS módu Vysoká rychlost šifrování při nízké zátěži CPU s procesory Intel i5 a i7 ICZ Protect Boot Read-Only USB Flash Disk se zavaděčem TrueCrypt a bezpečným úložištěm silného šifrovacího klíče Bezpečné zavedení nemodifikovaného zavaděče TrueCryptu z USB předmětu do operační paměti a načtení šifrovacího klíče z USB předmětu po zadání PINu Centrální správa ICZ Protect Boot pro organizaci 13
ICZ Protect Boot Hlavní přínosy Open Source TrueCrypt je komunitou ověřený kód Ztracený nebo odcizený počítač je jen standardní škodní událostí Ochrana bootovacího procesu neumožňuje útočníkovi modifikovat zavaděč operačního systému na disku Prvotní autentizace uživatele je realizována před spuštěním operačního systému a je nezávislá na počítači Pro šifrování disku je použit silný šifrovací klíč, který uživatel nezná Konstrukce ICZ Protect Boot je odolná proti změně obsahu a kompromitaci hesla Nevyžaduje TPM čip nebo šifrování v disku 14
Správa mobilních zařízení Použitelnost mobilních zařízení vzrostla tak, že je s nimi možné zpracovávat podnikové aplikace a data Uživatelé mají s mobilními zařízeními zkušenosti z osobního života a chtějí jejich výhody používat i v zaměstnání Pokud podnikové IT nezačne mobilní zařízení podporovat, budou je uživatelé používat bez jeho vědomí 15
16
Správa mobilních zařízení Bezpečnostní politika pro mobilní zařízení První krok k začlenění mobilních zařízení do podnikového IT Směrnice upravující možnost využívat mobilní zařízení pro práci s podnikovými aplikacemi a daty Zaměřená na mobilní zařízení v podnikovém i osobním vlastnictví Vzniká na základě analýzy rizik neexistuje jednotné řešení Upravuje podmínky používání mobilních zařízení pokud na nich jsou uložena a/nebo zpracovávána podniková data Umožňuje IT oddělení evidovat a spravovat mobilní zařízení pracující s podnikovými daty a v případě potřeby je vzdáleně smazat Bezpečnostní politika a administrativní opatření mohou předcházet implementaci technických opatření 17
Správa mobilních zařízení Exchange ActiveSync Jednoduchá správa mobilních zařízení Schopnost prosadit bezpečnostní politiku na všechna mobilní zařízení připojující se k podnikovému mailu Schopnost smazat obsah mobilního zařízení při jeho ztrátě nebo odcizení Licenčně pokryto existujícími licencemi Windows Server CAL a Exchange Server CAL Všeobecně podporované bezpečnostní politiky Allow Simple Password Password Expiration (mimo Android 2.2 a 2.3) Enforce Password History (mimo Android 2.2 a 2.3) Bezpečnostní politiky podporované v Android a ios Minimum Number of Complex Charatcters in Password Require Device Encryption Require Manual Sync When Roaming (Exchange 2010) 18
Správa mobilních zařízení Mobile Device Management Platforma pro pokročilou správu mobilních zařízení Schopnost prosadit bezpečnostní politiky podle typů mobilních zařízení Schopnost smazat obsah mobilního zařízení při jeho ztrátě nebo odcizení Instalace aplikací z vlastního AppStore Správa podnikových dokumentů Správa podnikového mailu 19
Správa mobilních zařízení AirWatch MDM Cloudové i On-Premis řešení Podpora pro velké organizace hierarchická struktura umožňující delegovat administrátorská oprávnění Flexibilní licencování - oddělené licence pro správu mobilních zařízení, správu obsahu a správu elektronické pošty Podpora pro přidělená zařízení, sdílená zařízení a soukromá zařízení (BYOD) 20
Děkuji za vaši pozornost Petr Řehoř petr.rehor@i.cz +420 737 280 114 ICZ a.s. Sekce Bezpečnost 21