Add to collection(s) Add to saved
  1. Engineering
  2. Informatica
  3. Computernetwerk

Beschrijving DMZ-omgeving (1142-1)

advertisement 
Beschrijving DMZ-omgeving (1142-1)
Paragraaf 11.4.2 van de NEN7510 geeft aan dat de instelling het netwerk moet
splitsen in afzonderlijke logische domeinen. Voor een scheiding tussen externe
en interne netwerken is het gebruikelijk om een zogenaamde ‘Demilitarised
Zone’ in te richten. Dit is een omgeving die staat tussen de buitenwereld
(bijvoorbeeld het internet) en het interne netwerk in. In dit voorbeelddocument
wordt aangegeven welke eisen qua beveiliging en beheer aan een dergelijke
omgeving kunnen worden gesteld.
1/5
versie 1.0 – 24
jul 17
Handboek NEN7510
11.4.2 Beschrijving DMZ-omgeving
Doelstelling
Een DMZ-omgeving is een omgeving die staat tussen de buitenwereld
(bijvoorbeeld het internet) en het interne netwerk in. ‘DMZ’ staat hierbij voor
‘Demilitarised Zone’. In dit document wordt de technische inrichting van een
DMZ-omgeving beschreven. Deze beschrijving heeft tot doel duidelijk vast te
leggen aan welke technische voorwaarden een DMZ-omgeving moet voldoen.
Bij de beschrijving van de DMZ-omgeving wordt onderscheid gemaakt naar de
volgende onderdelen:
 Algemene voorwaarden
 Fysieke plaatsing en beveiliging van de DMZ-omgeving
 Logische plaatsing en beveiliging van de DMZ-omgeving
 Hardware
 Besturingssysteem
 Webserver (indien van toepassing)
 Operationeel beheer
 Continuïteitsbeheer.
Algemene voorwaarden
Voor het beheer en de beveiliging van de DMZ-omgeving gelden de volgende
algemene voorwaarden:
 Op de DMZ-omgeving zijn de aansluitvoorwaarden van de ICT-afdeling van
toepassing.
 Nieuwe DMZ-toepassingen worden ingericht in de DMZ-omgeving.
 Het netwerkverkeer van en naar de DMZ-omgeving wordt gelogd. De logfile
wordt drie maanden bewaard voor analysedoeleinden.
 Vanuit de DMZ-omgeving kan er geen gebruik worden gemaakt van op het
interne netwerk aangeboden infrastructuurdiensten, zoals DHCP, interne
DNS en ADS.
 In de DMZ-omgeving is in principe per server slechts één
netwerkaansluiting actief.
 Indien contact vanaf de DMZ-server met het interne netwerk vereist is, vindt
dit plaats via een aparte netwerkaansluiting.
 Routering van één DMZ-server tussen verschillende netwerkaansluitingen
is niet toegestaan.
Fysieke plaatsing en beveiliging van de DMZ-omgeving
Voor de fysieke plaatsing en beveiliging van de DMZ-omgeving gelden de
volgende voorwaarden:
 De hardware die wordt ingezet ten behoeve van de DMZ-omgeving is
geplaatst in de beveiligde computerruimte van de ICT-afdeling.
 Toegang tot de computerruimte van de ICT-afdeling is alleen voorbehouden
aan hiertoe geautoriseerde medewerkers van de ICT-afdeling. In
uitzonderingsgevallen kunnen andere medewerkers toegang krijgen tot de
centrale computerruimten van de ICT-afdeling volgens de hiervoor binnen
de ICT-afdeling geldende procedures.
 De hardware die wordt ingezet in de DMZ-omgeving is geplaatst in een
hiertoe bestemd rack.
2/5
versie 1.0 – 24
jul 17
Handboek NEN7510
11.4.2 Beschrijving DMZ-omgeving
Logische plaatsing en beveiliging van de DMZ-omgeving
Voor de logische plaatsing en beveiliging van de DMZ-omgeving gelden de
volgende voorwaarden:
 De DMZ-server is geplaatst in een hiertoe bestemd VLAN.
 De ip-range voor de DMZ-omgeving is x.x.x.x. Deze range is vastgelegd in
het IP-nummerplan.
 DMZ-toepassingen met een gelijkwaardig beveiligingsniveau kunnen
eventueel, indien technisch mogelijk, op een gezamenlijke server worden
geplaatst.
 Indien mogelijk, is de toepassingsprogrammatuur en de database van de
DMZ-toepassing gescheiden. Wanneer de DMZ-toepassing betrekking
heeft op de verwerking van vertrouwelijke gegevens is deze scheiding
verplicht. Zulks te bepalen door de verantwoordelijke van de DMZtoepassing na overleg en afstemming met de beherend apotheker. In geval
van een scheiding van toepassingsprogrammatuur en database, is de
server waarop de toepassingsprogrammatuur draait geplaatst in de DMZomgeving en de server waarop de database zich bevindt, in het interne
netwerk van de apotheek.
 Koppeling van de DMZ-server naar de databaseserver vindt onder meer
plaats op basis van controle van de gebruikte ip-nummers en
poortnummers.
 In de DMZ-omgeving wordt standaard gebruik gemaakt van het ip-protocol.
 In de DMZ-omgeving geldt met betrekking tot de instelling van
poortnummers het principe van ‘default deny’. Dit betekent dat alle poorten
zijn geblokkeerd, tenzij de noodzaak van het openen van de poort aanwezig
is voor de functionaliteit van de DMZ-toepassing en opening van de poort
niet strijdig is met het gehanteerde beveiligingsbeleid.
 DMZ-servers verwijzen niet (direct of indirect) naar apparatuur die in het
interne netwerk van de apotheek zijn geplaatst.
 Dynamische routering is niet toegestaan. Routering moet altijd statisch
worden opgezet door het valideren van een default router. Hierbij wordt
gebruik gemaakt van vaste ip-adressen die worden uitgegeven door de
ICT-afdeling.
 Ten behoeve van Intrusion Detection and Prevention wordt aan de
buitenzijde en aan de binnenzijde van de firewall een netwerk sensor
geplaatst.
 Ten behoeve van Intrusion Detection and Prevention wordt op iedere DMZserver een host sensor geplaatst.
 Logging van events vindt plaats op het niveau van het besturingssysteem
en op niveau van de DMZ-toepassing. De ICT-afdeling heeft het recht om
toegang te verkrijgen tot de logbestanden voor controledoeleinden.
 De DMZ-omgeving bevat middelen voor de detectie van wijzigingen in
systeembestanden. Minimaal één maal per week wordt met behulp van
deze middelen een integriteitscontrole op de systeembestanden uitgevoerd.
 Standaard wachtwoorden van standaard accounts van het
besturingssysteem, de webserver en de webapplicatie, zoals uitgeleverd
door de leverancier, worden voor inproductiename gewijzigd.
Hardware
Voor de hardware geldt de volgende voorwaarde:
3/5
versie 1.0 – 24
jul 17
Handboek NEN7510
11.4.2 Beschrijving DMZ-omgeving

In de DMZ-omgeving wordt standaard apparatuur van de ICT-afdeling
gebruikt.
Besturingssysteem
Voor het besturingssysteem gelden de volgende voorwaarden:
 Het besturingsysteem wordt gehardend tegen aanvallen van buitenaf. Dit
betekent dat de functionaliteit die niet benodigd is voor de toepassing, van
het besturingssysteem is verwijderd.
 In de DMZ-omgeving wordt standaard de gangbare centraal toegepaste
versie van de volgende besturingssystemen gebruikt (in volgorde van
voorkeur):
 [Unix, FreeBSD
 Linux, Redhat
 Windows server].
Webserver (indien van toepassing)
Voor de webserver gelden de volgende voorwaarden:
 De webserver wordt gehardend tegen aanvallen van buitenaf. Dit betekent
dat de functionaliteit die niet benodigd is voor de toepassing, van de
webserver is verwijderd.
 In de DMZ-omgeving wordt standaard de gangbare centraal toegepaste
versie van de volgende webservers gebruikt (in volgorde van voorkeur):
 [Apache
 Internet Information Services (IIS)].
Operationeel beheer
Voor het operationeel beheer van de DMZ-omgeving gelden de volgende
voorwaarden:
 De configuratie items van de DMZ-omgeving worden vastgelegd in de
Configuratiebeheerdatabase (CBDB).
 Incidenten in de DMZ-omgeving worden geregistreerd en geanalyseerd.
ICT-beveiligingsincidenten worden ook gemeld aan het Computer
Emergency Response Team (CERT) van de apotheek.
 Wijzigingen in de DMZ-omgeving worden alleen via een proces van
wijzigingsbeheer doorgevoerd.
 Er zijn procedures aanwezig en maatregelen getroffen die ervoor zorgen
dat (security)patches voor het besturingssysteem, de webserver en de
webtoepassing tijdig en op een gecontroleerde manier kunnen worden
doorgevoerd. De ICT-afdeling heeft het recht de DMZ-omgeving te
controleren op de aanwezigheid van de meest recente versies van het
besturingssysteem, de webserver en de webtoepassing en hiervoor
dwingende aanwijzingen af te geven, c.q. deze door te voeren.
 De DMZ-omgeving bevat standaard middelen voor de wering van
kwaadaardige programmatuur (virussen, spyware, etc.). Deze middelen
worden volgens een vaste frequentie bijgewerkt en tussentijds indien
hiervoor een aanleiding aanwezig is (bijvoorbeeld een aanwijzing van het
CERT).
 In de DMZ-omgeving bevindt zich alleen uitvoerbare code die benodigd is
voor het uitvoeren van de in deze omgeving operationele DMZtoepassingen. Het betreft hier bovendien alleen de meest recente versie
van deze uitvoerbare code. Compilers en linkers zijn in deze omgeving niet
4/5
versie 1.0 – 24
jul 17
Handboek NEN7510
11.4.2 Beschrijving DMZ-omgeving




toegestaan. Wanneer om operationele redenen niet aan deze eis kan
worden voldaan, kan hiervan worden afgeweken. Dit kan alleen
plaatsvinden na overleg met en toestemming van de ICT-afdeling.
Het aantal accounts voor het beheer van de DMZ-omgeving, de hierin
aanwezige besturingsprogrammatuur, webservers en webtoepassingen
wordt tot een noodzakelijk minimum beperkt.
Beheer van DMZ-servers mag alleen plaatsvinden vanuit het interne
netwerk van de apotheek of op afstand met behulp van de door de ICTafdeling hiertoe verstrekte middelen (VPN-clientsoftware met sterke
authenticatie).
De ICT-afdeling beschikt over een beheeraccount van de DMZ-server die in
de DMZ-omgeving is geplaatst. Het beheeraccount is voorzien van de
hoogste rechten. Dit beheeraccount wordt alleen gebruikt om in
noodgevallen bij afwezigheid van de reguliere beheerder de webserver
buiten gebruik te stellen of te onderzoeken in geval van een incident.
Het beslag van (onderdelen) van de DMZ-omgeving wordt gepland en
gemonitored op de volgende onderdelen:
 CPU-gebruik
 Verbruik harddisk
 Netwerkverbruik (intern en extern)
 Firewall processortijd en diskverbruik
 Webserver processortijd en diskverbruik (indien van toepassing).
Continuïteitsbeheer
Voor het continuïteitsbeheer van de DMZ-omgeving gelden de volgende
voorwaarden:
 Van alle DMZ-servers wordt een back-up gemaakt volgens het in de SLA
overeengekomen werkwijze.
 Back-up van de DMZ-servers geschiedt met behulp van de centrale backupvoorzieningen van de ICT-afdeling. Een restore wordt alleen uitgevoerd
op dezelfde server in dezelfde DMZ-omgeving.
 De ICT-afdeling beschikt over procedures voor het herstel van de DMZserver en –toepassing binnen de hiervoor afgesproken termijn.
5/5
versie 1.0 – 24
jul 17
Handboek NEN7510
11.4.2 Beschrijving DMZ-omgeving
Related documents
Informatiebeveiliging in de zorg: NEN 7510 nieuw
Informatiebeveiliging in de zorg: NEN 7510 nieuw
Procedure anti-virusmaatregelen (1041-1)
Procedure anti-virusmaatregelen (1041-1)
Aan: de directeuren en leerkrachten van groep 7 en 8 Betreffende
Aan: de directeuren en leerkrachten van groep 7 en 8 Betreffende
Systeemeisen WinRIS versie 8.5
Systeemeisen WinRIS versie 8.5
5 HAVO: Afronding informatica SE6: PHP Geef een omschrijving wat
5 HAVO: Afronding informatica SE6: PHP Geef een omschrijving wat
DNS - Telenet Users
DNS - Telenet Users
Promedico-VDF Systeemadvies Datum: 31 maart 2016
Promedico-VDF Systeemadvies Datum: 31 maart 2016
De voordelen - Threadstone
De voordelen - Threadstone
Productbeschrijving: Meer dan 11.000 Europese LPG
Productbeschrijving: Meer dan 11.000 Europese LPG
ChainWise server randvoorwaarden
ChainWise server randvoorwaarden
Beveiligingen in LS-installaties
Beveiligingen in LS-installaties
Server KP22 - Keyprocessor
Server KP22 - Keyprocessor
Beveiliging en privacy 3c Jip van de laar Klas IM1a3 False positives
Beveiliging en privacy 3c Jip van de laar Klas IM1a3 False positives
ICT-kosten: theorie in praktijk
ICT-kosten: theorie in praktijk
Rada infoblad
Rada infoblad
Beheersing en verlaging van ICT- beheerkosten: de vergelijking van
Beheersing en verlaging van ICT- beheerkosten: de vergelijking van
Download
advertisement