Jak v FG dbáme na bezpečnost II.

V prvním článku o bezpečnosti při vývoji webových řešení v FG Forrest jsme se věnovali opatřením, která uplatňujeme vůči zaměstnancům a externím spolupracovníkům. Ve druhém díle si popíšeme, jak chráníme přihlašování do klientských a vnitrofiremních systémů.

Minimalizace přístupových práv

K hlavním bezpečnostním zásadám patří neudělovat uživatelům či technickým prostředkům vyšší práva a přístupy než je nezbytně nutné. Vždy probíhá individuální posouzení a hledání optimálního řešení. 

Dvoukrokové přihlašování

U všech systémů, které to umožňují, jsme zavedli technologii dvoukrokového ověření (2SV / 2FA). Uživatel tedy při přihlášení zadává v prvním kroku svoje přihlašovací jméno a heslo, a ve druhém kroku údaj, který pochází z jiného zařízení než z počítače: nejnověji hardwarovým tokenem (dotykem), nebo opsáním dočasného kódu vygenerovaného z mobilní aplikace či potvrzením v mobilní aplikaci, případně kódem ze SMS.

Bezpečnostní testy 

Při vývoji zohledňujeme běžné bezpečnostní standardy jako např. OWASP TOP 10. Naše oddělení oddělení kvality provádí kontrolu vyvíjených řešení podle neustále vylepšovaného checklistu, spouští automatizované penetrační testy a dohlíží nad opravami. Nabízíme i ruční penetrační testy, např. od společnosti DCIT, Citadelo a od hackerů typu Romana Kummela. 

Dalším nabízeným nástrojem na odhalení zranitelností jsou bug bounty programy od společnosti Hacktrophy. Jakmile kterákoli z uvedených metod odhalí nedostatek na jednom klientském projektu, implementujeme opravu do všech projektů FG.

Technická opatření

Infrastrukturu pro provoz klientských webů a e-shopů si FG pronajímá různými formami:

  • dedikované fyzické servery 
  • virtualizační zdroje (IaaS - Infrastructure as a Service)

Z pohledu GDPR nejsou poskytovatelé těchto služeb zpracovateli osobních dat, ani k nim nemají přístup. FG je jediným administrátorem operačního systému, přičemž přístupem k uloženým datům disponují pracovníci IT oddělení (kompletní administrace) a vývojáři (přístup k vybraným datům). Vzdálený přístup je umožněn pouze pomocí SSH protokolu s uživatelskými certifikáty (klíči) z definovaných povolených IP adres. Přístup pomocí uživatelských hesel není povolen.

Také jsou využívány služby typu VPS (Virtual Private Server) nebo managed služby (pronajaté servery v péči administrátorů poskytovatele). Někteří klienti provozují vlastní infrastrukturu a pak se FG pohybuje v rámci domluvených pravidel.

Šifrování

Při správě klientských řešení používáme maximální dostupné šifrování, a to jak při přenosech mezi servery a uživateli, tak při ukládání zálohovaných dat (poskytovatel prostoru pro zálohy nemá přístup k zálohovaným datům).

Firewall

Na každém provozovaném serveru je zprovozněn firewall, individuálně nakonfigurovaný s ohledem na provozované služby.

Logování

Všechny provozované servery produkují záznamy o své činnosti - logy. V nich uložené informace se hodí při opravě chyb či pádů a pro dohledání provozních informací. FG disponuje systémem pro centrální ukládání logů ze všech provozovaných systémů. Přenos logů do centrálního úložiště probíhá v reálném čase, je šifrován a na koncových bodech je ve firewalech povolena komunikace pouze z vyjmenovaných IP adres. Přístup do centrálního úložiště logů mají jen delegovaní uživatelé.

Politika hesel

Pro přihlašování do interních systémů FG je využíván systém pro ověřování uživatelů s nastavenými pravidly. Každé heslo musí mít minimálně 14 znaků a musí obsahovat písmena, číslice i zvláštní znaky. Po několika neplatných pokusech dochází k dočasné blokaci účtu na definovaný interval a při změně hesla nelze použít v minulosti již použité.

Centrální konfigurace

Pro správu všech provozovaných serverů používáme nástroj Configuration management CHEF. K jeho přednostem patří:

  • jednotný přístup ke správě
  • rychlé změny napříč spravovanými servery
  • eliminace lidských chyb, ruční zásahy na serverech jsou přepsány konfiguračním nástrojem CHEF
  • v kombinaci s verzovacím systémem GIT dohledatelnost konfiguračních změn
  • rychlost zprovoznění nových serverů

Díky nástroji CHEF (v kombinaci s vlastními úpravami) udržujeme všechna spravovaná řešení na jednotné úrovni bezpečnosti.

Zároveň bedlivě sledujeme a testujeme nové technologie (jako např. Kubernetes) a vyhodnocujeme jejich přínosy pro provozovaná řešení.

Radek Šafránek, Chief Information Security Officer

Další podobné články:
Jak v FG dbáme na bezpečnost I. (o školení zaměstnanců a externistů, a zabezpečení zaměstnaneckých počítačů a smartphonů)
Jak v FG dbáme na bezpečnost III. (doporučení pro klientské weby a e-shopy: o využívání Web Application Firewallu (WAF) a ochraně proti DDoS útokům)

Mohlo by vás zajímat

Představujeme: Nový blog pro Kooperativu od FG Forrest

Seznamte se s naším dalším projektem pro pojišťovnu Kooperativa. Tentokrát jde o blog „Bezpečnost má zelenou“.

Celý článek

Bezpečnost informací je naše priorita – získali jsme certifikaci ISO 27001

Abychom našim klientům dokázali, že náš systém managementu bezpečnosti informací bereme opravdu vážně, podnikli jsme řadu kroků k tomu, abychom získali certifikaci normy ISO 27001.

Celý článek

Přeskočit na hlavní nabídku