Serverite turvanõuded

Nõuded serveritele

Olulised teenused peavad olema dubleeritud.
Ühele serverile paigaldatakse reeglina 1 teenus (va. varuserverina).
Serveri viirustõrjeprogramm peab olema alati aktiivne.

Serverite haldamise üldine printsiip peab olema PIIRAV. Kõik teenused on keelatud, välja arvetud need, mis on lubatud teenuste nimekirjas.
Server peab olema serveriruumis või suletavas serverikapis.
Füüsiline ligipääs serveritele peab olema piiratud.
Kõik serverid peavad olema tagatud katkematu toiteallikaga.
Serverite mikrofonid ja kaamerad peavad olema blokeeritud.

Serverite administraatorite õiguste andmise kord peab olema kehtestatud.
Serveri süsteemiadministraatori volitruste muutmisel tuleb kasutada nelja silma printsiipi.
Serveri installeerimine peab toimuma ilma võrguta või turvalises võrgus.
Serveri administreerimiseks tohib kasutada ainult konsooli või krüpteeritud kanaleid.
Serverit ei tohi administreerida välisvõrgust.
Serverites tuleb kasutada operatsioonisüsteemi, millel on tootjapoolne tugi.
OP süsteemi ja rakenduste installeerimisel kasutatakse ainult tootja või tema poole lubatud allikate tarkvara.
Kõik installeerimispaketid kontrollitakse pahavara vastu.
Kõik installeerimispakettide kontrollsummad tuleb kontrollida.
Kõigile pakettidele tuleb paigaldada viimased paranduspaketid ja turvapaigad.
Tarkvara uuendused ja turvapaigad paigaldatakse esimesel võimalusel.
Tundlikku informatsiooni sisaldavad failisüsteemi osad krüpteeritakse vähemalt 128 bitise võtmega.

Serveris ei tohi olla vaikeseadistusega kontosid.
Kasutamata teenuseid ei tohi olla avatud.
Serveris peavad olema piiratud kasutajakontod.
Installeerimisel loodud vaikimisi kasutajate paroolid tuleb kohe muuta turvaliseks.
Serverite administreerimine tehakse reeglinaeelnevalt kokkulepitud ajal, mis see ei häiri kasutajate tööd.
Serveri administreerimiseks vajalikke kasutajanimesid ja –paroole hoitakse kinnises ümbrikus seifis..

Serveri alglaadimine tuleb piirata parooliga.
Peale serveri administraatori töölt lahkumist tuleb paroolid koheselt vahetada.
Serveri administraatorite õiguseid tuleb perioodiliselt kontrollida.

Serveri konfiguratsioon tuleb dokumenteerida (riistvara, kõvaketta partitsioonid ja nende kasutusala, OP süsteem ja vajalikud teenused jne).
Serveri konfiguratsioonimuudatused tuleb dokumenteerida.
Dokumentatsiooni alusel peab olema võimalik server taastamise teostada isikul, kes ei oma detailset informatsiooni konkreetsest serverist ega konfiguratsioonist.
Enne muudatusi tuleb teha serverist täielik varukoopia.
Regulaarselt tuleb kontrollida varukoopialt taastamise võimalust.


Kataloogiteenus
Üks kataloogiteenuse server peab olema füüsiline, teised võivad olla virtuaalsed.
Kataloogiteenus peab omama vähemalt kahte omavahel andmeid sünkroniseerivat teenuseserverit.
Kataloogi skeemi (va. uuendamine) võib muuta ainult teenuse omaniku loal.
Välisvõrgust on ligipääs kataloogiteenusele lubatud ainult üle turvalise ühenduse.
Kataloogid asuvad domeeni puu juurkataloogis.
Kataloogiteenus peab võimaldama kataloogi osade ajutist võrgust lahkumist ilma lisatöö vajaduseta.
Kataloogiteenuses on keelatud isikustamata autentimine..
Kataloogiteenuses ei tohi edastada paroole krüpteerimata kujul.


Active Directory
AD domeenikontrolleril peab olema staatiline IP aadress.
AD domeenikontrollereis peab olema vähemalt kaks.
Flexible Single Master Operation funktsioon ei tohi olla ainult ühel kontrolleril.
AD tuleb kasutada minimaalselt NTLM autentimisprotokolli. Eelistatud on kerberos autentimine.
AD domeenikontrollerite uuendamine peab toimuma regulaarselt, nõiteks kord kuus, peale Microsoft patch Tuesday’d ühe nädala jooksul.
AD standardne konto „administraator“ tuleb ümber nimetada ja muuta tema kirjeldus.
Peale „administraator konto ümbernimetamist tuleb luua samanimeline, ilma õigusteta konto.
AD vaikimisi olevasse gruppi „account Administrators“ ei tohi kuuluda ühtki kasutajat.
AD vaikimisi olevasse gruppi „backup Administrators“ liikmete arv peab olema minimaalne.
AD Administraatori kasutajate ja administraatorgruppide kasutamist peab tähelepanelikult jälgima.
AD domeenikontrollerite varundamiseks kasutatakse eraldiseisvat varunduskontot.


Veebiserver ja veebileht
Veebileht peab vastama seatud eesmärgile: kellele ja millist informatsiooni ta pakub.
Veebileht peab vastama OWASP tasemele 2 (standard).
Igal veebilehel peab olema määratud omanik..
Veebiserveri omanik võib juurde pääseda ainult veebiserveri www juurkataloogile.
Veebiserveris on ligipääsetav ainult standard pordid (80, 443).
Avalikust internetist sisemise veebiserveri poole ei saa pöörduda.
Veebiserveri administreerimine toimub ainult sisevõrgust.
Privilegeeritud kasutajad (administraator, root) tuleb desaktiveerida ja luua vajalike õigustega alternatiivsed kasutajad.
Tundlikku informatsiooni (paroolid, isikuandmed, krediitkaardiandmed jt edastamise internetis tuleb kasutada TLS/SSL iga kaitstud HTTPS protokolli.
HTTPS protokolli kasutatavatel veebilehtedel tuleb kasutada usaldusväärset sertifikaadipakkujat.
Veebiserveris olevatele staatilistele failidele tuleb luua kontrollsummad ja seda perioodiliselt kontrollida.
Veebiserveriteenus võib ligi pääseda failisüsteemi kataloogidele, mida veebiserver kasutajatele pakub.
Kõigile www juurkataloogis olevatele kataloogidele ja failidele, mida pole hiljem tarvis muuta, antakse ainult lugemisõigus.
Veebilehel kasutatavad programmid ja skriptid käivitatakse ainult selleks ette nähtud kataloogis.
Veebiserverist tuleb eemaldada kõik mittevajalikud lehed (test, näidis, vaikelehed).
Veebilehed ja –rakendused võetakse kasutusele peale turvatesti läbimist.
Veebiserveri sisu ülekandmiseks on lubatud kasutada ainult turvalisi protokolle.
Veebilehe failide paigaldamisel tuleb need eelnevalt kontrollida pahavara ja jääkinfo (peidetud tekst, kommentaarid, muudatuste markeeringud, metaandmed, kirjeldused jne suhtes.
Veebilehe sisu peab saama muuta vajadusel staatiliseks.
Veebiserveris ei kasutata IP edasisuunamist.
Veebiserveris ei kasutata ega pakuta e-posti teenust .
Veebiserverites ei pakuta DNS serveriteenust .
Veebiserveri side piiramiseks kasutatakse võrguseadme põhist pakettfiltrit.
Operatsioonisüsteemi ja selle teenuste info varjamiseks tuleb kasutada banner-spoofingut.
Veebiserveri konfiguratsioon dokumenteeritakse ja see hoitakse ajakohasena.
Turvapaikade ja värskenduste hankimisel tuleb eelistada usaldusväärseid pakkujaid või tarkvara tootjat.


Postiserver
E-postiteenuse servereid tohib majutada ainult asutuse poolt hallatavates ruumides või asutuse partneti juures.
E-postiteenuse klient tuleb võimalusel seadistada selliselt, et ta oleks kasutajale enne tarvitamist turvaliselt konfigureeritud.
E-postiteenuse kõik kasutajad peavad olema autenditud.
Välistele partneritele on lubatud e-postiteenuse konto avamine ainult infoturbe eest vastutava isiku loal.
E-postiaadressides tuleb kasutada ainult ASCII sümboleid.
E-postiteenuse kalendrifunktsioon võib olla vaikimisi kõigile nähtav tasemel „vaba/kinni“.
Kasutaja postkastile peab olema määratud mahupiirang.
Enne mahupiirangu täitumist hoiatatakse sellest kasutajat.
E-posti automaatedastus peab olema e-posti kliendile keelatud Suurte saajanimekirja puhul on soovitatav kasutada pimekoopia (BBC) rida.
Aktiivsisuga kirjade saatmine peab olema keelatud.
Keelatud peavad olema failivormingud, mis võivad kahjustada asutuse võrku (täitmisprogrammid (.com,. exe) skriptid (.js,.vbs,.bat) registrifailid (.reg), ekraanisäästjad (.scr) jms) .
E-postiteenuses tuleb kasutada rämpsposti filtreerimise teenust.
E-postiteenuse pahavara kaitse peab kasutajale saatma teate blokeeritud kirjast või edastama kirja ilma pahavarata.
Soovimatuks märgitud sõnumid tuleb suunata automaatselt eraldi kausta.
E-postiteenusel peab olema sisse seatud
* abuse@domeen.ee
* noc@domeen.ee
* security@domeen.ee
* postmaster@domeen.ee
* hostmaster@domeen.ee
* webmaster@domeen.ee
E-postiteenuse logisid tuleb säilitada vähemalt 1 aasta.


Nimeserver
Ettevõttel peab olema vähemalt 2 DNS serverit: Internetis kättesaadav, väline DNS server ja asutusesisene DNS server.
Väline DNS server tohib vastata ainult tema halduses olevate aadresside piires (Advertisingu DNS) .
Teised edastab ta kõrgemale tasemele.
Asutusesisene DNS (Resolvingu DNS) lahendab ka talle tundmatuid aadresse.
Asutusesisene DNS ei tohi vastu võtta avalikust võrgust tulevaid päringuid.

Logiserver
Logid peavad olema krüptoaheldatud.
Võimalusel kasutama logide ajatembeldamist.
Logihaldussüsteem ja logi edastavad serverid peavad kasutama ühtset ajateenust (NTP).
Logisid tuleb kontrollida peale turvaintsidenti või pisteliselt, kuid mitte harvem kui 3 kuu tagant.

Logitakse
Serverite OP süsteemi turvateateid ja paremeetrite muutmist.
Riist- ja tarkvara töö katkestused ja tõrked.
Rakenduste/teenuste installeerimist, konfigureerimist, logimise protseduuri muutmist.
Võrguliikluse koondteavet.
Küberturbeintsidendi toimumise teavitusi.
Kasutajaõiguste konfigureerimist.
Õnnestunud ja ebaõnnestunud autentimised ja kasutaja blokeerimine.

Logid säilitatakse ühtses logihaldusserveris.
Logimiseks tuleb kasutada eraldi võrku.
Logihaldussüsteem peab olema skaleeritav.
Serverid poeavad edastama logi logihaldusserverile.
Logihaldussüsteem peab võimaldama logide töötlemist enamlevinud logitüüpidest: syslog, MS Eventlog, SNMP, Netflow, IPFIX jne.
Logihaldussüsteem peab võimaldama logide korreleerimist, et vältida liiasusega teateid.
Peab võimaldama logisid analüüsida.
Logihaldussüsteem peab võimaldama saata teavitusi kokkulepitud tingimuste alusel.
Logihaldussüsteem peab võimaldama logisid arhiveerida.
Logide edastamisel logihaldussüsteemile serverile tuleb eelistada krüpteeritud andmesidet.
Logihaldussüsteem peab tuvastama
* Kasutaja sisse/väljalogimise ebaharilikul kellaajal.
* Korduvad ebaõnnestunud autentimiskatsed.
* Korduvaid volitamata juurdepääsukatseid.
* Märkimisväärset ajavahemikku, mil logi ei salvestatud.
* Märkimisväärset suurt võrgukoormust või –katkestust.
* Teenuste vaikimisi administraatori kontode kasutust.