.jpg)
Turvaserveri administraatori kontrollküsimused
Turvalisuse kontrollnimekiri
Millega tegu?
Siin on loetletud erinevad kontroll küsimused, millele vastamine aitab sul mõista turvalise X-tee kasutamise olulisi punkte.
| Kontrollküsimus | Mis oht siin peitub? |
|---|---|
| Kas sinu turvaserver on kõige uuemal X-Road tarkvara versioonil? | Uuendamata tarkvara võib sisaldada turvanõrkusi, mille kaudu võib ründaja saada eksploiteerida sinu turvaserverit. Uuendamata tarkvaral võivad esineda tarkvaratõrked, mis takistavad andmevahetuse teostamist. Väga vana versiooni korral ei pruugi RIA kasutajatugi olla võimeline sinu tõrkeid lahendada. |
Kas sinul on seadistatud suhtlus infosüsteemi ja turvaserveri vahel HTTPS ja mTLS'i peale? | Turvaserver ei valideeri, et sissetulnud päring on saadetud õige rakenduse poolt, mitte pahatahtliku ründaja poolt. Rakendus ei valideeri, et talle saadetud vastus on edastatud just sinu turvaserveri poolt, mitte pahatahtliku ründaja poolt. |
| Kas sinu välisvõrgus on piiratud ligipääs turvaserveri portidele 80 ja 443? | Iga suvaline rakendus välisvõrgust saab proovida teha X-tee päringuid sinu turvaserveri kaudu ja sinu asutuse nimel. |
| Kas sinu sisevõrgus on piiratud ligipääs turvaserveri portidele 80 ja 443? | Iga suvaline rakendus sisevõrgus saab teha X-tee päringuid sinu turvaserveri kaudu. Kui sinu sisevõrgu suvalisse rakendusse on sisse murtud, siis selle kaudu võib pahalane teha X-tee päringuid läbi sinu turvaserveri. |
| Kas sinu turvaserveris on võrgupõhiselt piiratud ligipääs pordile 4000? | Turvaserveri tarkvara pordi 4000 kaudu võivad suvalised külastajad sinu turvaserveri admin liidesesse sisse logida. Ligipääs pordile 4000 tuleb tagada ainult neile isikutele, kelle ülesandeks on turvaserveri haldamine. Sisselogimise katsete arv ei ole X-Road tarkvara poolt piiratud. |
| Kas sinu turvaserveris on sign sertifikaat hoitud HSM seadme peal? | HSM seadme mitte kasutamine tähendab, et kui pahalasel õnnestub sinu turvaserverisse sisse murda, siis tal on ka kohene ligipääs sinu asutuse sign ehk e-templi sertifikaadi privaatvõtmele. NB! SK ID Solutions poolt väljastatud toodangukeskkonna e-templi (sign) sertifikaadid peavad olema hoitud HSM seadme peal. |
| Kas sinu turvaserveri masinas on paigaldatud ainult turvaserveri tarkvara? | Kõrvaline ja turvaserveri jaoks ebavajalik tarkvara võib negatiivselt mõjutada turvaserveri tööd ning lisada uusi ründevektoreid, mille kaudu saab pahalane sisse murda. |
| Kas sinu turvaserveri töö on seiratud? | Automaatseire puudumisel võid turvaserveri töö tõrkest teada saada alles siis, kui on juba reaalne kahju tekkinud. |
| Kas sinu turvaserveri sõnumilogid on talletatud? | Kui sõnumilogisid ei talleta, ei pruugi olla võimalik fikseerida mis sõnumeid (päringud/vastused) vahetati. Sõnumilogide talletamine võimaldab fikseerida, mis päringud tehti ning mis olid nende vastused. See lisab X-tee andmevahetusele olulise tõenduselemendi, sest sõnumilogid on ajatembeldatud ja allkirjastatud asutuse e-templi sertifikaadiga. |
| Kas sinu turvaserveri arvutikell on õige? | Turvaserveri logides võib tekkida ajaline nihe tegeliku kellaajaga. |
| Kas sinu turvaserveri taasteplaan on regulaarselt läbi testitud? | Turvaserveri ajakohase taasteplaani puudumise tõttu võib andmevahetuse katkestus kesta oluliselt kauem, kui selle lahendamiseks on vajalik olemas olev turvaserveri taastada. |
| Kas sinu turvaserveri on RIA monitooringule ligipääsetav? | Kui RIA keskmonitooringu turvaserverid ei pääse andmeid koguma, siis ei näe sa enda alamsüsteemide kasutusraporteid ning turvaserveri tehniliste tõrgete esinemise korral peab RIA kasutajatugi rohkem andmeid sinu käest küsima. |
Olulist lugemist