Tulemüürireeglite läbivaatamine ISO 27001, NIS2, DORA ja GDPR nõuete täitmiseks
Esmaspäeva hommikul kell 07:42 vaatab kasvava SaaS- ja FinTech-teenusepakkuja infoturbejuht kolme eraldi sõnumit.
Esimene on SOC-ilt. Kompromiteeritud arendaja tööjaam üritas öösel ühenduda sisemise andmebaasi alamvõrguga. Liiklus blokeeriti, kuid analüütik soovib kinnitust, et tulemüürireegel on teadlikult loodud, ajakohane ja heaks kiidetud.
Teine tuleb suurelt ärikliendilt. Klient soovib tõendusmaterjali selle kohta, et tootmis-, arendus-, ettevõtte- ja tugikeskkonnad on segmenteeritud, tulemüürireegleid vaadatakse läbi ning erandid aeguvad.
Kolmas tuleb vastavusjuhilt. Organisatsioon võib kuuluda NIS2 kohaldamisalasse olulise digitaalse teenusepakkujana, tal on GDPR-i kohustused volitatud töötlejana ning finantsteenuste kliendid küsivad DORA-laadset IKT-riski tõendusmaterjali. Juhatus soovib teada, kas sama ISO/IEC 27001:2022 tõendusmaterjal suudab vastata kõigile kolmele.
Seejärel saabub intsidendijärgne ülevaatus. Arendusserver oli hilisõhtuse muudatuse käigus peaaegu internetile avatud. Kliendiandmeid ei läinud kaotsi, kuid digiforensika meeskond leidis midagi algsest veast tõsisemat: viie aasta vanune „ajutise testi“ tulemüürireegel lubas endiselt laia liikumist arendus- ja tootmiskeskkonna vahel. Kui ründaja oleks juurdepääsu saanud, oleks võrk pakkunud väga vähe vastupanu.
See on hetk, mil paljud organisatsioonid avastavad ebamugava tõe. Neil võivad olla tulemüürid, VLAN-id, pilveturberühmad ja skeemid, kuid neil puudub juhtimine segmenteerimistsoonide, reeglite omanduse, ajutise juurdepääsu, muudatuste kinnituste, taaskinnitamise ja audititõendite üle.
- aastal ei ole „meil on tulemüür“ kaitstav vastus. Audiitorid, regulaatorid, kliendid ja kindlustusandjad tahavad tõendit, et võrgud on teadlikult eraldatud, liiklust juhitakse ärivajaduse alusel, riskantsed erandid on hallatud ning logid näitavad, et kontrollimeetmed toimivad.
Miks tulemüüride juhtimine on nüüd juhatuse tasandi teema
Võrgusegmenteerimist käsitleti varem tehnilise inseneritöö teemana. Taristumeeskonnad vastutasid VLAN-ide eest, tulemüüri administraatorid hooldasid reeglistikke, pilvemeeskonnad haldasid turberühmi ning vastavusfunktsioon nägi auditite ajal üksnes skeemi.
See töökorraldus enam ei toimi.
NIS2 direktiiv nõuab, et elutähtsad ja olulised üksused rakendaksid asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid võrgu- ja infosüsteemide riskide juhtimiseks. Artikkel 21 hõlmab riskianalüüsi, intsidentide käsitlemise, talitluspidevuse, tarneahela turbe, hankimise ja hoolduse turbe, tõhususe hindamise, põhilise küberhügieeni, juurdepääsukontrolli ja varahalduse põhimõtteid. Juhtorganid peavad need küberturvalisuse riskijuhtimise meetmed heaks kiitma ja nende üle järelevalvet tegema.
DORA kohaldub paljudele finantsüksustele alates 17. jaanuarist 2025 ning muudab IKT-riski juhtimise juhitud ja dokumenteeritud distsipliiniks. Artiklid 5, 6 ja 8 nõuavad juhtimist, IKT-riski juhtimise raamistikku ning IKT-ga toetatud ärifunktsioonide, teabevarade, IKT-varade, sõltuvuste, kriitiliste varade ja ühenduste tuvastamist. Artiklid 9, 10 ja 11 käsitlevad kaitset, ennetust, tuvastamist, reageerimist ja taastet. Artiklid 24 kuni 27 nõuavad digitaalse tegevuskerksuse testimist, sealhulgas teatud üksuste puhul täiustatud testimist. See teeb segmenteerimisest tegevuskerksuse küsimuse, mitte pelgalt tulemüüri küsimuse.
GDPR lisab privaatsuse vastutuse kihi. Artikkel 32 nõuab asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada riskile vastav turvalisuse tase, sealhulgas konfidentsiaalsus, terviklus, käideldavus ja vastupidavus. Artikkel 5(1)(f) nõuab terviklust ja konfidentsiaalsust ning artikkel 5(2) nõuab vastutust. Kui isikuandmete süsteemid on kättesaadavad kompromiteeritud lõppseadmetest, külalisvõrkudest või haldamata kolmandate isikute teedelt, võib järelevalveasutus küsida, miks need teed üldse olemas olid.
ISO/IEC 27001:2022 annab juhtimissüsteemi aluse, mis seob need kohustused kokku. See nõuab kohaldamisala, huvitatud osapoolte nõudeid, riskihindamist, riskikäsitlust, kohaldatavusdeklaratsiooni, tegevuse planeerimist ja ohjet, juhtkonna vastutust, mõõdetavaid eesmärke, dokumenteeritud teavet ja pidevat täiustamist. Lisa A, mida toetavad ISO/IEC 27002:2022 suunised, hõlmab kontrollivaldkondi, mida on vaja tarnijariskide, pilveteenuste, logimise, seire, turvalise arhitektuuri, keskkondade eraldamise ja muudatuste juhtimise jaoks.
Põhimõte on lihtne: võrgusegmenteerimine ja tulemüürireeglite läbivaatamine on nüüd juhtimise tõendusmaterjal.
Clarysec töökorralduse muster: 8.20, 8.22 ja 8.32
Clarysec käsitleb segmenteerimist ja tulemüüride läbivaatust ühe töökorralduse mustrina ISO/IEC 27002:2022 kontrollimeetmete üleselt, mitte eraldiseisvate tehniliste ülesannetena.
Kolm peamist kontrollimeedet on:
| ISO/IEC 27002:2022 valdkond | Juhtimisküsimus | Tõendusmaterjal, mida audiitorid ootavad |
|---|---|---|
| 8.20 võrguturve | Kas võrgud on kavandatud, hallatud, seiratud ja kaitstud riskipõhiselt? | Arhitektuuriskeemid, tulemüüristandardid, turvalised võrguprotseduurid, seirelogid, IDS/IPS tõendusmaterjal, VPN-i ja pilvevõrgu konfiguratsiooni näidised |
| 8.22 võrkude eraldamine | Kas tsoonid on eraldatud tundlikkuse, funktsiooni ja usaldustaseme alusel? | Tsoonimudel, andmevoogude maatriks, VLAN-ide ja alamvõrkude disain, DMZ piirid, tsoonidevahelised tulemüürireeglid, segmenteerimise testitulemused |
| 8.32 muudatuste juhtimine | Kas reeglimuudatusi hinnatakse, kinnitatakse, testitakse, logitakse ja vaadatakse läbi? | Muudatuste piletid, riskihindamised, kinnitused, tagasipööramise plaanid, rakendamisjärgsed läbivaatamised, erakorraliste muudatuste kirjed |
Dokumendis Zenith Blueprint: audiitori 30-sammuline teekaart [ZB] paigutab Clarysec võrguturbe faasi „Kontrollimeetmed praktikas“, samm 20: kontrollimeetmed 8.18 kuni 8.26. Juhend sõnastab põhilise auditiküsimuse selgelt:
„Oma olemuselt nõuab see kontrollimeede, et organisatsioonid tagaksid, et võrgud on turvalised juba arhitektuuri tasandil, mitte üksnes hiljem tulemüüre või viirusetõrjet lisades. See tähendab strateegilist mõtlemist võrgusegmenteerimise, juurdepääsukontrolli, edastamisel krüptimise, seire ja mitmekihilise kaitse üle. See algab lihtsa küsimusega: kes ja mis omavahel suhtlevad ning kas nad peaksid seda tegema?“
See küsimus — „kes ja mis omavahel suhtlevad ning kas nad peaksid seda tegema?“ — on parim praktiline lähtekoht tulemüürireeglite läbivaatamiseks. See viib arutelu eemale tuhandetest krüptilistest ACL-kirjetest ja äriliselt põhjendatud voogude juurde.
Sama Zenith Blueprint juhendab meeskondi hindama võrguturbe arhitektuuri, kontrollides, et tulemüürireeglid, IPS/IDS ja kaugjuurdepääsu konfiguratsioonid on ajakohased ja turvatud, ning kinnitama, et pilveturberühmad, marsruutimine ja VPC või alamvõrgu reeglid vastavad kavandatud arhitektuurile. Samuti ütleb see audiitoritele, et oodata tuleb võrguturbe arhitektuuri skeemi, mis näitab tulemüüre, VPN-lüüse, DMZ tsoone, VLAN-ide eraldust ja usalduspiire.
Muudatuste juhtimise puhul paigutab Zenith Blueprint ISO/IEC 27002:2022 kontrollimeetme 8.32 faasi „Kontrollimeetmed praktikas“, samm 21: kontrollimeetmed 8.27 kuni 8.34, ning rõhutab, miks tulemüüride juhtimine ebaõnnestub, kui muudatuste kontroll on nõrk:
„See kontrollimeede tunnistab IT valdkonna karmi tõde: paljusid intsidente ei põhjusta ründed, vaid halvasti juhitud muudatused. Liiga laialt avatud tulemüürireegel. Sisselülitatuks jäetud silumisseade. Pärast migratsiooni unustatud sõltuvus.“
Just nii muutuvad ajutised tulemüüriavamised püsivateks ründeteedeks.
Milline näeb välja hea võrgusegmenteerimine
Küpsel segmenteerimisprogrammil on neli kihti.
Esiteks on olemas tsoonimudel. Tsoonid ei ole juhuslikud alamvõrgud. Need on usalduspiirid, mis on joondatud ärifunktsiooni ja andmete tundlikkusega, näiteks internetile avatud DMZ, tootmise rakenduskiht, tootmise andmebaasikiht, ettevõtte kasutajavõrk, privilegeeritud haldusvõrk, arenduskeskkond, testkeskkond, varundusvõrk, külaliste Wi-Fi, OT- või IoT-tsoon ja kolmandate isikute juurdepääsutsoon.
Teiseks on olemas voomaatriks. Iga tsoonipaari kohta dokumenteerib organisatsioon lubatud allika, sihtkoha, protokolli, pordi, rakenduse, ärilise omaniku, süsteemiomaniku, andmetüübi, põhjenduse ja logimisnõude.
Kolmandaks on olemas reegli omandus. Igal tulemüürireeglil, pilveturberühma reeglil või tarkvaraliselt määratletud perimeetri poliitikal on omanik, aegumiskuupäev või taaskinnitamise kuupäev, seotud muudatuse pilet ja äriline põhjendus. „Kõik kõigile“ tuleb käsitleda leiuna, välja arvatud juhul, kui risk on ametlikult aktsepteeritud, ajaliselt piiratud ja toetatud kompenseerivate kontrollimeetmetega.
Neljandaks on olemas korduv läbivaatamine. Läbivaatamine tähendab enamat kui tulemüüri reeglibaasi eksportimist kord aastas. See hõlmab omaniku taaskinnitust, võrdlust vaadeldud liiklusega, kasutamata reeglite tuvastamist, ajutiste erandite valideerimist, internetiga kokkupuute ülevaatust, segmenteerimise testimist ja kooskõlastamist varade registriga.
Clarysec’i Võrguturbe poliitika [P-NS] sätestab ettevõtte ootuse selgelt:
„Kogu tsoonidevaheline liiklus peab olema kontrollitud tulemüüride või tarkvaraliselt määratletud perimeetri lahendustega ning selgesõnalise vaikimisi keela konfiguratsiooniga.“
Allikas: ettevõtte poliitika, Võrguturbe poliitika, jaotis „Juhtimisnõuded“, punkt 5.2.
Sama poliitika seob tulemüürimuudatused otseselt muudatuste juhtimisega:
„Kõik tulemüürireeglistike, marsruutimistabelite või turberühmade konfiguratsioonide muudatused peavad järgima organisatsiooni muudatuste juhtimise poliitikat (P5), sealhulgas tagasipööramise plaane ja auditilogimist.“
Allikas: ettevõtte poliitika, Võrguturbe poliitika, jaotis „Juhtimisnõuded“, punkt 5.4.
VKE-dele annab Clarysec’i Võrguturbe poliitika VKE-dele [P-NS-SME] sama põhimõtte operatiivses sõnastuses:
„Kõigi sissetulevate ühenduste puhul tuleb rakendada vaikimisi keela reegleid, välja arvatud juhul, kui ühendus on selgesõnaliselt vajalik ja heaks kiidetud“
Allikas: VKE poliitika, Võrguturbe poliitika VKE-dele, jaotis „Poliitika rakendamise nõuded“, punkt 6.1.2.
Ning konkreetselt segmenteerimise kohta:
„Segmentidevaheline liiklus tuleb filtreerida ning segmentidevaheline juurdepääs peab järgima vähimate õiguste põhimõtet“
Allikas: VKE poliitika, Võrguturbe poliitika VKE-dele, jaotis „Poliitika rakendamise nõuded“, punkt 6.2.3.
Need poliitikapunktid võimaldavad audiitoril jälgida seost riskist kontrollimeetmeni, kontrollimeetmest reeglini, reeglist heakskiiduni ning heakskiidust logideni.
Üks tõendusmaterjali pakett ISO 27001, NIS2, DORA ja GDPR jaoks
Paljud meeskonnad teevad vea, koostades eraldi tõendusmaterjali paketid: ühe ISO/IEC 27001:2022 jaoks, ühe NIS2 jaoks, ühe GDPR jaoks, ühe DORA klientidele ja ühe küberkindlustuse jaoks.
Parem lähenemine on koostada üks segmenteerimise ja tulemüüride juhtimise tõendusmaterjali pakett, mis vastendub eri raamistikega.
Zenith Controls: ristvastavuse juhend [ZC] vastendab ISO/IEC 27002:2022 kontrollimeetme 8.22 võrkude eraldamine ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust, on joondatud kaitse küberturbe kontseptsiooniga ning süsteemi- ja võrguturbe operatiivse võimekusega. Juhend seob 8.22 kontrollimeetmetega 8.20 võrguturve, 8.21 võrguteenuste turve, 8.7 kaitse pahavara vastu, 8.27 turvalise süsteemiarhitektuuri ja inseneripõhimõtted ning 8.31 arendus-, test- ja tootmiskeskkondade eraldamine.
Juhend selgitab segmenteerimise NIS2 asjakohasust järgmiselt:
„Võrkude eraldamine on otsene vastus nendele kohustustele, vähendades ründepinda ja takistades lateraalset liikumist võrgustatud süsteemide vahel.“
See lause kirjeldab, miks NIS2 küberhügieeni programmid ei tohiks käsitleda segmenteerimist valikulisena. Lunavara ohjeldamine ei seisne ainult lõppseadmete kaitses. See seisneb lateraalse liikumise piiramises, kui ennetus ebaõnnestub.
GDPR puhul vastendab Zenith Controls kontrollimeetme 8.22 artikkel 32 ja põhjenduspunktiga 49, märkides, et võrguskeemid ja tsoonipoliitikad muutuvad peamiseks vastavuse tõendusmaterjaliks. DORA puhul vastendab Zenith Controls võrguturbe ja eraldamise IKT-riski juhtimise ning intsidendi ohjeldamisega. Segmenteerimistestid saavad toetada IKT tegevuskerksuse tõendusmaterjali, eriti kui need tõendavad, et kompromiteerimine ühes tsoonis ei saa vabalt liikuda kriitilistesse finantsteenustesse, isikuandmete hoidlatesse või privilegeeritud haldussüsteemidesse.
| Tõendusmaterjali artefakt | Kasutus ISO/IEC 27001:2022 ja ISO/IEC 27002:2022 jaoks | Kasutus NIS2 jaoks | Kasutus DORA jaoks | Kasutus GDPR jaoks |
|---|---|---|---|---|
| Võrguturbe arhitektuuri skeem | Toetab ISMS-i kohaldamisala, tegevuse ohjet, 8.20 ja 8.22 | Näitab tehnilisi meetmeid võrgu- ja infosüsteemide turbe jaoks | Näitab IKT ühendusi ja kriitiliste teenuste sõltuvusi | Näitab isikuandmete süsteemide ümber olevaid kaitsepiire |
| Tsooni- ja voomaatriks | Tõendab riskipõhist eraldamist ja vähimate õiguste põhimõtet | Toetab küberhügieeni ja tõhususe hindamist | Toetab IKT-varade ja sõltuvuste klassifitseerimist | Toetab artikkel 32 tehnilisi meetmeid ja vastutust |
| Tulemüürireeglite läbivaatamise kirjed | Kontrollimeetmete seire ja pideva täiustamise tõendusmaterjal | Näitab, et meetmeid vaadatakse läbi ega käsitleta staatilistena | Toetab IKT-riski läbivaatamist ja tegevuskerksuse testimist | Tõendab töötlemise turvalisuse jätkuvat tagamist |
| Tulemüürireeglite muudatuste piletid | Toetab 8.32 muudatuste juhtimist | Toetab turvalist hooldust ja jälgitavust | Toetab kontrollitud IKT-muudatusi ja tegevuskerksust | Näitab, et isikuandmete süsteeme mõjutavaid muudatusi hinnatakse riskipõhiselt |
| Erandiregister | Toetab riskikäsitlust ja jääkriski aktsepteerimist | Näitab juhtkonna järelevalvet kõrvalekallete üle | Toetab riskitaluvust ja juhtimist | Näitab vastutust ajutise kokkupuute eest |
| Blokeeritud ja lubatud tsoonidevahelise liikluse logid | Toetab logimist, seiret ja kontrollimeetmete tõhusust | Toetab tuvastamist ja intsidentidele reageerimist | Toetab intsidentide klassifitseerimist ja teavitamist | Toetab rikkumise hindamist ja tõendusmaterjali säilitamist |
See tabel ei ole ainult vastavusvastendus. See on tõendusmaterjali kogumise tegevuskava.
Tulemüürireeglite läbivaatamine, mis päriselt toimib
Tulemüürireeglite läbivaatamine ebaõnnestub, kui küsitakse ainult: „Kas seda reeglit on endiselt vaja?“ Reegli omanikud vastavad sageli jah, sest nad kardavad midagi katki teha.
Parem läbivaatamine küsib kuus küsimust:
- Millist äriteenust see reegel toetab?
- Milline varaomanik ja andmete omanik selle voo heaks kiitis?
- Kas sihtkoht on andmete ja funktsiooni jaoks õiges tsoonis?
- Kas reegel on lubavam, kui vaadeldud liiklus nõuab?
- Kas kõrge riskiga voogude puhul on logimine sisse lülitatud?
- Kas reeglil on läbivaatamise kuupäev, aegumiskuupäev või erandikirje?
Võrguturbe poliitika VKE-dele nõuab perioodilist läbivaatamist:
„IT-tugiteenuse osutaja peab kord aastas läbi vaatama tulemüürireeglid, võrguarhitektuuri ja traadita võrgu konfiguratsioonid“
Allikas: VKE poliitika, Võrguturbe poliitika VKE-dele, jaotis „Juhtimisnõuded“, punkt 5.6.1.
Iga-aastane läbivaatamine on baastase, mitte ülempiir. Kõrge riskiga reeglid vajavad sagedasemat taaskinnitamist.
| Reegli kategooria | Näide | Läbivaatamise sagedus | Heakskiidu ootus |
|---|---|---|---|
| Internetist tootmiskeskkonda suunduv sisenev liiklus | Avalik API rakenduslüüsini | Kord kvartalis või pärast olulist väljalaset | Teenuseomanik, turbefunktsioon, muudatuse kinnitaja |
| Tsoonidevaheline tootmise andmebaasijuurdepääs | Rakenduskiht andmebaasikihini | Kord kvartalis | Rakenduse omanik ja andmete omanik |
| Haldusjuurdepääs | Hüppeserver serverite haldusportidesse | Kord kuus või kord kvartalis | Taristu omanik ja infoturbejuhi volitatud esindaja |
| Kolmandate isikute juurdepääs | Tarnija VPN tugialamvõrku | Kord kuus või lepingu verstaposti juures | Tarnija omanik ja turbefunktsioon |
| Ajutine erand | Erakorraline juurdepääs migratsiooni ajal | Enne aegumist, maksimaalselt 90 päeva | ISMS-i juht või infoturbejuht |
| Standardne madala riskiga sisemine reegel | Seireserver hallatavatele lõppseadmetele | Kord aastas | Teenuseomanik |
Võrguturbe poliitika on erandite osas selgesõnaline:
„Taotluse peab läbi vaatama ja heaks kiitma ISMS-i juht või infoturbejuht ning see tuleb registreerida infoturbe juhtimissüsteemi erandite registris, maksimaalse heakskiiduperioodiga 90 päeva, mida saab kordushindamise järel pikendada.“
Allikas: ettevõtte poliitika, Võrguturbe poliitika, jaotis „Riskikäsitlus ja erandid“, punkt 7.3.
VKE-de puhul nõuab Võrguturbe poliitika VKE-dele, et eranditaotlused sisaldaksid õigeid minimaalseid andmeid:
„Taotlus peab sisaldama põhjendust, kohaldamisala, kestust ja kompenseerivaid kontrollimeetmeid (nt IP lubatud loend, logimine)“
Allikas: VKE poliitika, Võrguturbe poliitika VKE-dele, jaotis „Riskikäsitlus ja erandid“, punkt 7.3.3.
See punkt muudab erandite käsitlemise mitteametlikust vestlusest auditiks sobivaks riskikäsitluseks.
Praktiline näide: riskantse tootmise andmebaasi reegli eemaldamine
Oletame, et ettevõte leiab läbivaatamise käigus järgmise reegli:
| Väli | Praegune väärtus |
|---|---|
| Allikas | Ettevõtte kasutajate VLAN |
| Sihtkoht | Tootmise andmebaasi alamvõrk |
| Port | TCP 5432 |
| Tegevus | Luba |
| Kommentaar | Ajutine juurdepääs aruandluse migratsiooniks |
| Loodud | 14 kuud tagasi |
| Omanik | Teadmata |
| Logimine | Keelatud |
See on klassikaline auditileid. See rikub vähimate õiguste põhimõtet, puudub selge omanik, aegumiskuupäev, ajakohane põhjendus ja logimine. Samuti tekitab see GDPR artikkel 32 kokkupuute, kui tootmise andmebaas sisaldab klientide isikuandmeid.
Parandusprotsess peab looma tõendusmaterjali, mitte ainult halva reegli eemaldama.
| Samm | Tegevus | Clarysec viide | Loodav audititõendus |
|---|---|---|---|
| 1. Vastenda reegel tsoonimudeliga | Kinnita, kas ettevõtte kasutajad peaksid kunagi jõudma tootmise andmebaasi alamvõrku | Zenith Blueprint, „Kontrollimeetmed praktikas“ samm 20 | Ajakohastatud arhitektuuri ülevaatuse märkmed ja tsooniklassifikatsioon |
| 2. Loo või uuenda voo kirje | Dokumenteeri allikas, sihtkoht, port, andmetüüp, omanik, põhjendus ja risk | Zenith Controls, 8.22 vastendus | Tsooni- ja voomaatriksi kirje |
| 3. Ava muudatuse pilet | Tee ettepanek reegli eemaldamiseks või asendamiseks kontrollitud aruandlusteenuse teega | Võrguturbe poliitika, punkt 5.4 | Muudatuse kirje koos riskianalüüsi, testiplaani ja tagasipööramiskavaga |
| 4. Otsusta käsitlus | Eemalda lai reegel või asenda see kirjutuskaitstud koopiaga, bastionhostiga, IP lubatud loendiga ja logimisega | Võrguturbe poliitika, punkt 7.3 | Riskikäsitluse otsus või ajaliselt piiratud erand |
| 5. Lülita heakskiidetud voogude logimine sisse | Saada kõrge riskiga tsoonidevahelised tulemüüri sündmused seiresse | Logimis- ja seirepoliitika, punkt 6.1.1.6 | SIEM-i kirjed, teavitusreeglid ja seire kuvatõmmised |
| 6. Valideeri segmenteerimine | Testi, et andmebaasi alamvõrk ei ole kättesaadav muul viisil kui heakskiidetud teede kaudu | Zenith Blueprint, samm 20 | Segmenteerimise testitulemus ja parandusmeetme sulgemine |
Clarysec’i Logimis- ja seirepoliitika [P-LM] hõlmab välissuhtlust ja tulemüürireeglite päästikuid logimise seisukohast oluliste sündmustena:
„Välissuhtlus ja tulemüürireeglite päästikud“
Allikas: ettevõtte poliitika, Logimis- ja seirepoliitika, jaotis „Poliitika rakendamise nõuded“, punkt 6.1.1.6.
Kõrge riskiga tsoonidevaheliste reeglite puhul peaksid tulemüüri päästikud jõudma SIEM-i või seireplatvormi koos teavitustega ebatavaliste lähtehostide, mahtude või ajavahemike kohta.
VKE poliitika nõuab ka muudatuste distsipliini:
„Kõik võrgukonfiguratsioonide muudatused (tulemüürireeglid, kommutaatori ACL-id, marsruutimistabelid) peavad järgima dokumenteeritud muudatuste juhtimise protsessi“
Allikas: VKE poliitika, Võrguturbe poliitika VKE-dele, jaotis „Poliitika rakendamise nõuded“, punkt 6.9.1.
Selle ühe reegli korrastamine loob tõendusmaterjali ISO/IEC 27001:2022 tegevuse ohje, ISO/IEC 27002:2022 kontrollimeetmete 8.20, 8.22 ja 8.32, NIS2 küberhügieeni, GDPR artikkel 32 ning DORA-laadse IKT-riski juhtimise jaoks.
Pilv, SaaS ja hübriidvõrgud tuleb kaasata
Tänapäevane segmenteerimine ei tähenda ainult VLAN-e ja füüsilisi tulemüüre. See hõlmab AWS-i turberühmi, Azure’i võrgu turberühmi, Kubernetes’i võrgupoliitikaid, pilve marsruutimistabeleid, SaaS-i administraatorite lubatud loendeid, privaatseid lõpp-punkte, VPN-e, SD-WAN-i, identiteediteadlikke proksisid ja tarkvaraliselt määratletud perimeetri kontrollimeetmeid.
SaaS-teenusepakkuja või reguleeritud digiteenuse puhul peab tulemüürireeglite läbivaatamine hõlmama vähemalt järgmist:
- internetile avatud koormusjaoturid ja rakenduslüüsid
- pilveturberühmad ja võrgu ACL-id
- privaatsete alamvõrkude marsruutimistabelid
- peering- ja transiitlüüside teed
- VPN-i ja kaughalduse teed
- haldusliidesed ja haldustasandid
- Kubernetes’i ingress ja võrgupoliitikad
- CI/CD käitustööriistade juurdepääs tootmiskeskkonda
- logimise katvus keelatud ja lubatud kõrge riskiga voogude jaoks
- kolmandate isikute tugijuurdepääs ja hädaolukorra juurdepääsuteed
Kui pilveturberühm lubab sissetulevat andmebaasiliiklust laialt ettevõtte IP-vahemikult, käsitle seda nagu tulemüürireeglit. Sellel peab olema omandus, põhjendus, heakskiit, läbivaatamine, logimine ja aegumine.
Siin tugevdavad toetavad ISO standardid samuti tervikpilti. ISO/IEC 27017 toetab selgust pilveturbe vastutuste osas. ISO/IEC 27033 annab süvendatud juhiseid võrguturbe arhitektuuri, DMZ-de, segmenteerimistsoonide, liikluse filtreerimise ja turvalise võrkudevahelise side kohta. ISO/IEC 27701 tugevdab privaatsusjuhtimist seal, kus isikut tuvastav teave liigub võrkude vahel. ISO/IEC 27035 toetab intsidendi ohjeldamist ning ISO/IEC 27005 toetab segmenteerimise valimist riskikäsitlusena loata juurdepääsu, pahavara leviku ja lateraalse liikumise vastu.
Kuidas audiitorid sama kontrollimeedet erinevalt testivad
Üks Zenith Controls tugevusi on see, et see selgitab, kuidas erinevad auditi metoodikad uurivad sama kontrollimeedet. Tõendusmaterjali saab taaskasutada, kuid küsimused erinevad.
| Auditi vaade | Tõenäoline küsimus | Parim tõendusmaterjal |
|---|---|---|
| ISO/IEC 27001:2022 audiitor | Kas segmenteerimine on valitud, rakendatud ja läbi vaadatud riskipõhiselt? | Riskihindamine, kohaldatavusdeklaratsioon, võrgupoliitika, skeemid, läbivaatamise kirjed |
| ISO/IEC 27007-laadne audiitor | Kas rakendatud tulemüürireeglid ja VLAN-skeemid vastavad dokumenteeritud poliitikale? | Tulemüürireeglite valimid, ruuteri ACL-id, VLAN-disain, administraatorite intervjuud |
| ISO/IEC 27006-1:2024 sertifitseerimisauditi lähenemine | Kas kriitilisi võrgupiire auditeeritakse sobiva pädevuse ja riskipõhise planeerimisega? | Auditiplaan, tehniline valim, pilveturberühmade tõendusmaterjal, testitulemused |
| NIST-keskne audiitor | Kas piire ja infovooge jõustatakse ja seiratakse? | Tulemüürireeglid, ACL-id, segmenteerimistestid, seirekirjed |
| COBIT 2019 audiitor | Kas võrguturve on juhitud, seiratud ja raporteeritud? | Omandusmaatriks, võtmetulemusnäitajad, juhtkonna aruandlus, riskiregister |
| ISACA ITAF audiitor | Kas IT üldkontrollid toimivad järjepidevalt? | Muudatuste piletid, erandite kinnitused, logid, reeglite taaskinnitamise valimid |
| GDPR järelevalveasutus | Kas isikuandmete süsteemid olid kaitstud asjakohaste tehniliste meetmetega? | Andmevoogude kaardid, isikut tuvastava teabe tsooni isoleerimine, juurdepääsuteed, tulemüürilogid |
| DORA-keskne hindaja | Kas segmenteerimine toetab IKT tegevuskerksust ja intsidentide ohjeldamist? | IKT-varade sõltuvuskaart, kriitiliste funktsioonide vood, intsidendi tööjuhised, testimiskirjed |
DORA-keskne hindaja võib küsida, kas makselüüsi kompromiteerimine võimaldab edasi liikuda klientide andmebaasidesse. NIS2 pädev asutus võib küsida, kas lunavara administraatori tööjaamas pääseb ligi põhiteenuse osutamise süsteemidele. GDPR asutus võib küsida, millised võrgutaseme piirangud kaitsesid isikuandmeid töötlevaid süsteeme. ISO audiitor võib lihtsalt küsida riskihindamist, kohaldatavusdeklaratsiooni, poliitikat, protseduuri ja tõendeid selle kohta, et läbivaatamised toimusid.
Parimad programmid vastavad kõigile neile küsimustele samade artefaktidega.
Mõõdikud, mis teevad segmenteerimise juhtkonnale nähtavaks
NIS2 ja DORA rõhutavad mõlemad juhtkonna vastutust. ISO/IEC 27001:2022 nõuab eestvedamist, eesmärke, rolle, ressursse, aruandlust ja pidevat täiustamist. See tähendab, et segmenteerimisel peavad olema mõõdikud, millest juhtkond aru saab.
Kasulikud juhtimismõõdikud hõlmavad järgmist:
- määratud omanikuga tulemüürireeglite osakaal
- dokumenteeritud ärilise põhjendusega reeglite osakaal
- aegunud ajutiste reeglite arv
- reeglite arv, mille allikas, sihtkoht või teenus on „any“
- internetile avatud teenuste arv kriitilisuse järgi
- logimisega kõrge riskiga tsoonidevaheliste voogude osakaal
- erakorraliste tulemüürimuudatuste arv kvartalis
- heakskiidetud muudatuste piletitega vastendatud valimireeglite osakaal
- segmenteerimistestide ebaõnnestumiste arv
- keskmine aeg riskantsete või kasutamata reeglite parandamiseks
- üle 90 päeva vanuste erandite arv
- läbi vaadatud ja taaskinnitatud kolmandate isikute juurdepääsureeglite arv
Võrguturbe poliitika nimetab jaotises „Rakendamine ja vastavus“, punktis 8.2.2, „tulemüürireeglite tõhususe“ vastavuse ja rakendamise kaalutlusena. See sõnastus on oluline, sest reegli olemasolust ei piisa. Reeglid peavad olema tõhusad, läbi vaadatud ja kooskõlas ajakohase riskiga.
Koosta 2026. aasta segmenteerimise tõendusmaterjali pakett
Praktiline segmenteerimise ja tulemüürireeglite läbivaatamise tõendusmaterjali pakett peab olema valmis enne, kui audiitor seda küsib.
Miinimumina tuleb säilitada:
- ajakohane võrguarhitektuuri skeem, sealhulgas pilve- ja hübriidtsoonid
- tsooniklassifikatsiooni standard, sealhulgas tundlikkus ja usaldustase
- kriitiliste teenuste ja isikuandmete süsteemide voomaatriks
- tulemüüri ja pilveturberühma reeglite eksport
- reegli omanike ja taaskinnitamise register
- tulemüüri läbivaatamise protseduur ja läbivaatamise kalender
- valimisse võetud tulemüürimuudatuste muudatuskirjed
- erandiregister koos kinnituste, aegumise ja kompenseerivate kontrollimeetmetega
- segmenteerimise testitulemused ja parandusmeetmete kirjed
- logimise ja seire tõendusmaterjal kõrge riskiga voogude kohta
- intsidentide tööjuhised, mis näitavad tsoonipõhist ohjeldamist
- juhtkonna aruandlusmõõdikud ja koosoleku protokollid
Vastenda see tõendusmaterjal ISO/IEC 27001:2022 punktide ja lisa A kontrollivaldkondadega. Seejärel ristviita see NIS2 artikkel 21, GDPR artikkel 32, DORA IKT-riski juhtimise ja testimisnõuete, NIST CSF 2.0 tulemuste, nagu GOVERN, PROTECT, DETECT ja RESPOND, ning COBIT juhtimispraktikatega.
NIST CSF 2.0 on eriti kasulik juhatusega suhtlemise kihina. Selle GOVERN-funktsioon keskendub õiguslikele, regulatiivsetele ja lepingulistele nõuetele, riskivalmidusele, rollidele, poliitikatele ja järelevalvele. Selle operatiivsed tulemused käsitlevad konfiguratsioonihaldust, logimist, seiret, andmekaitset, intsidentidele reageerimist ja taastet. See aitab juhtkonnal mõista riski ilma tulemüüri ACL-e lugemata.
Levinud leiud, mida Clarysec segmenteerimisauditites näeb
SaaS-i, fintech’i, hallatud teenusepakkujate ja reguleeritud VKE-de seas korduvad samad leiud:
- lame võrk kasutajate lõppseadmete ja tootmisteenuste vahel
- tootmise andmebaasid on kättesaadavad arendus- või ettevõttevõrkudest
- vanadest mallidest kopeeritud laiad pilveturberühmad
- ajutised tarnijareeglid ilma aegumiskuupäevata
- tulemüürimuudatused tehtud väljaspool muudatuste protsessi
- reeglid ilma omaniku või ärilise põhjenduseta
- kõrge riskiga lubavate reeglite logimine keelatud
- külaliste Wi-Fi ei ole täielikult isoleeritud
- haldusliidesed on kättesaadavad üldvõrkudest
- skeemid ei vasta tegelikule marsruutimisele
- puuduvad tõendid, et reeglite läbivaatamised on lõpule viidud
- pärast olulisi arhitektuurimuudatusi puudub segmenteerimise testimine
- puudub vastendus isikuandmete süsteemide ja võrgutsoonide vahel
- puudub juhtkonna aruandlus võrgu kokkupuute kohta
Need leiud ei ole ainult tehnilised nõrkused. Need kahjustavad organisatsiooni suutlikkust tõendada NIS2 küberhügieeni, DORA operatsioonilist tegevuskerksust ja GDPR artikkel 32 vastutust.
Reaktiivsest korrastamisest kaitstava kontrollimeetmeni
Võrgusegmenteerimine ja tulemüürireeglite läbivaatamine on koht, kus turbearhitektuur kohtub auditi tegelikkusega. Kui suudad näidata riskipõhist tsoonimudelit, kontrollitud tsoonidevahelisi vooge, heakskiidetud tulemüürimuudatusi, ajaliselt piiratud erandeid, logimise tõendusmaterjali ja perioodilist valideerimist, saad vastata paljudele ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST ja COBIT küsimustele ühe sidusa looga.
Clarysec saab aidata sul selle loo üles ehitada.
Kasuta Zenith Blueprint: audiitori 30-sammuline teekaart, et struktureerida rakendusteekond, eriti „Kontrollimeetmed praktikas“ samm 20 võrguturbe ja segmenteerimise jaoks ning samm 21 muudatuste juhtimise jaoks. Kasuta Zenith Controls: ristvastavuse juhend, et vastendada ISO/IEC 27002:2022 kontrollimeetmed 8.20, 8.22 ja 8.32 NIS2, DORA, GDPR, NIST ja COBIT auditi ootustega. Kinnita oma tööreeglid Clarysec’i Võrguturbe poliitikas, Võrguturbe poliitikas VKE-dele ja Logimis- ja seirepoliitikas.
Sinu järgmine samm on lihtne ja suure väärtusega: vali üks kriitiline teenus, näiteks kliendi tootmiskeskkond, maksetöötlus või identiteedihaldus, ning tee sel nädalal 10 reegli valimil põhinev läbivaatamine. Iga reegli puhul kinnita omanik, põhjendus, allikas, sihtkoht, port, logimine, muudatuse pilet ja aegumine. Kui sa ei suuda neid seitset fakti tõendada, on sul 2026. aasta segmenteerimise täiustamiskava algus.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
