V prvním článku o bezpečnosti při vývoji webových řešení v FG Forrest jsme se věnovali opatřením, která uplatňujeme vůči zaměstnancům a externím spolupracovníkům. Ve druhém díle si popíšeme, jak chráníme přihlašování do klientských a vnitrofiremních systémů.
K hlavním bezpečnostním zásadám patří neudělovat uživatelům či technickým prostředkům vyšší práva a přístupy než je nezbytně nutné. Vždy probíhá individuální posouzení a hledání optimálního řešení.
U všech systémů, které to umožňují, jsme zavedli technologii dvoukrokového ověření (2SV / 2FA). Uživatel tedy při přihlášení zadává v prvním kroku svoje přihlašovací jméno a heslo, a ve druhém kroku údaj, který pochází z jiného zařízení než z počítače: nejnověji hardwarovým tokenem (dotykem), nebo opsáním dočasného kódu vygenerovaného z mobilní aplikace či potvrzením v mobilní aplikaci, případně kódem ze SMS.
Při vývoji zohledňujeme běžné bezpečnostní standardy jako např. OWASP TOP 10. Naše oddělení oddělení kvality provádí kontrolu vyvíjených řešení podle neustále vylepšovaného checklistu, spouští automatizované penetrační testy a dohlíží nad opravami. Nabízíme i ruční penetrační testy, např. od společnosti DCIT, Citadelo a od hackerů typu Romana Kummela.
Dalším nabízeným nástrojem na odhalení zranitelností jsou bug bounty programy od společnosti Hacktrophy. Jakmile kterákoli z uvedených metod odhalí nedostatek na jednom klientském projektu, implementujeme opravu do všech projektů FG.
Infrastrukturu pro provoz klientských webů a e-shopů si FG pronajímá různými formami:
Z pohledu GDPR nejsou poskytovatelé těchto služeb zpracovateli osobních dat, ani k nim nemají přístup. FG je jediným administrátorem operačního systému, přičemž přístupem k uloženým datům disponují pracovníci IT oddělení (kompletní administrace) a vývojáři (přístup k vybraným datům). Vzdálený přístup je umožněn pouze pomocí SSH protokolu s uživatelskými certifikáty (klíči) z definovaných povolených IP adres. Přístup pomocí uživatelských hesel není povolen.
Také jsou využívány služby typu VPS (Virtual Private Server) nebo managed služby (pronajaté servery v péči administrátorů poskytovatele). Někteří klienti provozují vlastní infrastrukturu a pak se FG pohybuje v rámci domluvených pravidel.
Při správě klientských řešení používáme maximální dostupné šifrování, a to jak při přenosech mezi servery a uživateli, tak při ukládání zálohovaných dat (poskytovatel prostoru pro zálohy nemá přístup k zálohovaným datům).
Na každém provozovaném serveru je zprovozněn firewall, individuálně nakonfigurovaný s ohledem na provozované služby.
Všechny provozované servery produkují záznamy o své činnosti - logy. V nich uložené informace se hodí při opravě chyb či pádů a pro dohledání provozních informací. FG disponuje systémem pro centrální ukládání logů ze všech provozovaných systémů. Přenos logů do centrálního úložiště probíhá v reálném čase, je šifrován a na koncových bodech je ve firewalech povolena komunikace pouze z vyjmenovaných IP adres. Přístup do centrálního úložiště logů mají jen delegovaní uživatelé.
Pro přihlašování do interních systémů FG je využíván systém pro ověřování uživatelů s nastavenými pravidly. Každé heslo musí mít minimálně 14 znaků a musí obsahovat písmena, číslice i zvláštní znaky. Po několika neplatných pokusech dochází k dočasné blokaci účtu na definovaný interval a při změně hesla nelze použít v minulosti již použité.
Pro správu všech provozovaných serverů používáme nástroj Configuration management CHEF. K jeho přednostem patří:
Díky nástroji CHEF (v kombinaci s vlastními úpravami) udržujeme všechna spravovaná řešení na jednotné úrovni bezpečnosti.
Zároveň bedlivě sledujeme a testujeme nové technologie (jako např. Kubernetes) a vyhodnocujeme jejich přínosy pro provozovaná řešení.
Radek Šafránek, Chief Information Security Officer
Další podobné články:
Jak v FG dbáme na bezpečnost I. (o školení zaměstnanců a externistů, a zabezpečení zaměstnaneckých počítačů a smartphonů)
Jak v FG dbáme na bezpečnost III. (doporučení pro klientské weby a e-shopy: o využívání Web Application Firewallu (WAF) a ochraně proti DDoS útokům)
