Postes de travail et serveurs - Recommandations sécurisation canaux entrée / sortie V /09/2010

Transcription

1 ISMS (Information Security Management System) Sécurisation des postes de travail et serveurs Recommandations quant à la sécurisation des canaux d entrée / de sortie Version control - please always check if you re using the latest version Doc. Ref. : ISMS.042.inputoutput Release Status Date Written by Approved by /12/2010 Johan Costrop Groupe de travail Sécurité de l information du Comité général de coordination de la BCSS Remarque : ce document contient les remarques d un groupe de travail auquel ont participé les personnes suivantes : madame Pinte (ONSS) et messieurs Bochart (BCSS), Petit (FMP), Quewet (SPF Santé publique), Symons (ONEm), Vandergoten (INAMI) et Van Cutsem (ONSSAPL) P 1

2 Table des matières ISMS... 1 (INFORMATION SECURITY MANAGEMENT SYSTEM) INTRODUCTION SCOPE APERÇU DES BESOINS FONCTIONS TECHNIQUES SECURISATION DE L UTILISATION DES PORTS ET DES PERIPHERIQUES Interfaces supportées Périphériques supportés Enrôlement des périphériques Filtrage des périphériques Compatibilité avec les Smartphone ou similaire Filtrage des types de fichiers Contrôle du Plug n Play Fonction Host IPS Application de quotas d utilisation CHIFFREMENT DES DONNEES Chiffrement des données Algorithmes de chiffrement Portabilité des données chiffrées Key Escrowing Protection des mots de passe Non désactivable Chiffrement matériel Chiffrement de fichiers individuels Chiffrement de groupe Suppression des données volées Informations sur les schémas d authentification GESTION DE LA SOLUTION Administration centralisée Gouvernance et reporting Configurations appliquées aux utilisateurs Politique des mots de passe Configurations par poste de travail Éléments configurables Politiques dynamiques ou contextuelles Logging au niveau du poste de travail / serveur MAINTENANCE ET COMPATIBILITE Intégration dans l infrastructure informatique Support du système d exploitation Support antimalware Suivi de l état de la protection Droits d accès Intégration transparente Smart Card SSO P 2

3 6.1.8 Authentification par eid Compatibilité avec le chiffrement de disque Protection des serveurs Protection des smart phones Langues Impact sur les performances du système Disponibilité du système de gestion Compatibilité avec les postes de travail partagés Déploiement du software Virtualisation AUTRES POINTS D ATTENTION P 3

4 1 Introduction L utilisation de postes de travail dans les institutions de la sécurité sociale est largement répandue. L accès à ces postes de travail et les accès possibles via ces postes de travail - par les connexions réseau (réseau interne, VPN ) - à des applications et des données sont protégés et limités par des systèmes ad hoc (sécurisation réseau et infrastructure, systèmes d authentification et d autorisation ). De plus, ces postes de travail offrent un certain nombre de ports d entrée / de sortie locaux (y compris sans fil), avec le risque que l utilisateur, d un poste de travail, transfère, via ces ports, des données à partir ou vers des systèmes externes (ex. réseaux sans fil) ou des périphériques de stockage de masse (ex. lecteur DVD). Cette problématique a été abordée plus amplement le service Recherche de Smals qui a rédigé un rapport complet sur la situation en mai 2010 (Ref : Research nota 23, Data loss prevention, Thomas Baignères, mai 2010). 2 Scope Le présent document contient des recommandations quant à l élaboration d une solution permettant : de contrôler de manière centralisée les divers ports de communication des postes de travail (ou des serveurs) ; de sécuriser par des techniques de chiffrement les informations transmises aux périphériques de stockage de masse. Ce contrôle permettra par exemple d autoriser ou d interdire l usage d un port de communication selon son type, la nature du périphérique connecté, le profil de l utilisateur ou une combinaison de ces critères. Les recommandations décrites doivent être examinées à la lumière des besoins de l institution concernée. 3 Aperçu des besoins La solution aura pour fonctions principales de : gérer l utilisation (autoriser, interdire, filtrer, enregistrer les activités, ) des ports de communication, y compris sans fil, présents sur un ordinateur portable, un ordinateur fixe ou un serveur ; gérer la connexion des périphériques de stockage de données (tels que les clés USB), reconnus par l institution, tant pour en autoriser l usage exclusif que pour sécuriser les données qui y sont enregistrées ; offrir des fonctionnalités de chiffrement des données transférées sur des périphériques dans le but de les protéger des accès illicites ; permettre une gestion centralisée, par un ou plusieurs administrateurs dont les rôles sont définis par les services compétents. Les accès des administrateurs peuvent être limités à certaines fonctions et/ou certains sous-ensembles selon leurs besoins et profil. P 4

5 Le tout s intégrera dans l environnement informatique de l institution (ex. Microsoft Windows et Microsoft Active Directory), restera compatible avec les solutions antimalware majeures du marché, aura un effet limité (et décrit) sur les performances du système et sera totalement transparent pour les utilisateurs n utilisant pas de périphérique nomade. La solution sera granulaire, tant en ce qui concerne la gestion et l octroi de privilèges administratifs qu en ce qui concerne les paramètres de configuration tels que les actions, les types de périphériques, les contextes stratégiques L intégration avec la carte d identité belge et le logging sont également importants. Enfin, toute partie d interface visible par l utilisateur final sera idéalement disponible au moins en français et en néerlandais, selon le profil de l utilisateur, ou à défaut en anglais. Ceci n est cependant pas requis pour les consoles d administration où l anglais est privilégié. 4 Fonctions techniques 4.1 Sécurisation de l utilisation des ports et des périphériques Interfaces supportées La solution devra supporter un grand nombre d interfaces actuelles et futures. La prise en charge des ports suivants est exigée : - USB - Bluetooth - Infrarouge - Firewire - PCMCIA - WiFi La prise en charge des ports suivants est recommandée : - Port parallèle - Port série - Port PS/2 - IDE/SATA - Ethernet Il doit exister une liste claire des interfaces supportées, avec mention des éventuelles limites. Pour les interfaces non supportées, il faut savoir clairement si, par défaut, elles sont ouvertes ou fermées pour chaque utilisation. La stratégie du support des interfaces futures (ex. Wireless USB) doit être vérifiée. P 5

6 4.1.2 Périphériques supportés La solution sera compatible avec la vaste majorité des périphériques nomades utilisant les interfaces citées, entre autres : souris, claviers, périphériques de stockage de masse, imprimantes, lecteurs/graveurs de CD/DVD/Blu-ray, scanners, lecteur de SmartCard, y compris les lecteurs de cartes d identité électroniques belges. Cette «compatibilité» peut être de différents niveaux : - Complète : la solution préserve la capacité du périphérique de fonctionner, permet à l administrateur d autoriser ou non le périphérique ainsi que de paramétrer plus finement la (les) façon(s) permise(s) d utiliser le périphérique en question. - D activation : la solution permet d activer ou de désactiver l usage du périphérique. - Neutre : la solution préserve la capacité du périphérique de fonctionner, sans altérer son fonctionnement, mais sans proposer de contrôles non plus. - Incompatible : le périphérique ne fonctionne pas avec la solution installée et/ou nécessite une configuration particulière. La compatibilité complète des périphériques suivants est requise : - Périphériques de communication (modems, cartes réseau et associés). - Stockages de masse (sticks, cartes mémoire, disques durs, SSD, CD/DVD, Blu-ray ). - Lecteurs de Smartcard (ACR38U au minimum, le fournisseur de la solution indiquera son degré de compatibilité avec les lecteurs présents dans la liste du catalogue du site La compatibilité d activation est le minimum requis pour les périphériques suivants : - Audio - Hub (permettant le branchement de plusieurs périphériques sur un seul port, ex. hub USB) - Imagerie (périphérique d imagerie numérique, comme les appareils photo) - Systèmes de transfert de données sans fil - PDA - Scanners - Vidéo - Imprimantes La compatibilité neutre est le minimum requis pour les périphériques des catégories suivantes, pour autant qu un stockage intégré ne soit pas prévu : - Souris - Claviers - Périphériques multifonctionnels spécifiques (ex. hub/série/parallèle, convertisseurs, lecteurs de cartes 5 en 1). L éventuelle incompatibilité avec le matériel utilisé ou prévu dans l institution doit être examinée. P 6

7 4.1.3 Enrôlement des périphériques La solution devra permettre l enrôlement systématique des périphériques avant de permettre leur utilisation dans le parc informatique. L utilisation de ces périphériques dépendra de la décision du service compétent. Le but est d éviter que, par exemple, une clé USB non autorisée puisse être utilisée ou qu une clé USB autorisée puisse être utilisée avant qu elle n ait été enregistrée correctement. Comment est dressé l inventaire initial des périphériques? Filtrage des périphériques La solution permettra aux administrateurs d autoriser ou d interdire l utilisation de périphériques selon leur type et leur marque. Ainsi, à titre d exemple, il sera possible d interdire les cartes réseau USB tout en autorisant les claviers ou souris USB. Ce filtrage doit pouvoir varier selon le type d utilisateur ou après un processus de déverrouillage (par exmple : via l utilisation d un mot de passe) Compatibilité avec les Smartphone ou similaire La compatibilité devra être vérifiée (compatibilité en matière d activation, cf. paragraphe 4.1.2) avec la synchronisation de smartphone, par exemple BlackBerry. Ceci signifie que le protocole de synchronisation (par exemple ActiveSync) - au minimum - doit rester fonctionnel, voire contrôlable. La solution permettra éventuellement de contrôler les services et les informations qui transitent par ce protocole. Ce contrôle opérera éventuellement une distinction entre les services de synchronisations utilisés, comme la synchronisation des s, du calendrier et des contacts Filtrage des types de fichiers La solution permettra éventuellement d opérer une distinction entre les types de fichiers transmis, lus ou écris, chiffrés ou déchiffrés. Cette solution pourrait servir entre autres à appliquer des autorisations spécifiques selon le type de fichier Contrôle du Plug n Play La solution permettra éventuellement de prendre le contrôle de l activation ou non du PnP sur les périphériques nomades et donc de l activer selon le type d appareil (par exemple : autoriser l installation de drivers pour une imprimante, mais pas pour une carte réseau PCMCIA) Fonction Host IPS Certains périphériques activent automatiquement leur pilote ou un code qui y est stocké. Certains contiennent simplement des fichiers exécutables. Dans tous les cas de figure, ces fichiers exécutables peuvent être malveillants, sans nécessairement être reconnus par les programmes antimalware. P 7

8 La solution offrira éventuellement la possibilité de protéger le poste de travail contre ces tentatives d intrusion ou contre tout comportement que l on pourrait qualifier de «suspect» ou d «abusif» par ces périphériques Application de quotas d utilisation La solution permettra éventuellement de définir des quotas de transfert ou d utilisation par utilisateur. Ces quotas limiteront les volumes de données transférées par unité de temps, les durées d utilisation de certains périphériques 4.2 Chiffrement des données Chiffrement des données La solution devra permettre de chiffrer la zone de stockage des données du périphérique de stockage. Cette fonctionnalité doit être activable par l administrateur qui pourra, selon des critères de profil ou de contexte (tel poste de travail ou tel périphérique) : - rendre ce chiffrement systématique et incontournable ; - rendre ce chiffrement facultatif, au choix de l utilisateur final ; - interdire l utilisation du chiffrement Algorithmes de chiffrement L algorithme AES 256 bits ou meilleur devra faire partie des algorithmes proposés par la solution. De plus, si la solution propose plusieurs algorithmes de chiffrement, l administrateur doit pouvoir sélectionner le ou les algorithmes qu il souhaite mettre à la disposition des utilisateurs Portabilité des données chiffrées La portabilité des données chiffrées devra être possible. Ceci signifie que des données chiffrées au moyen de la solution sur un périphérique nomade doivent être déchiffrables sur un poste de travail similaire ne disposant pas de la solution. Une authentification est pour cela nécessaire. Il est indispensable de préciser si cette fonctionnalité peut être configurée (activable ou non, centralement ou non), auditée (produit-elle des logs?) et si des règles de complexité peuvent être définies pour l éventuel mot de passe qui protège les données Key Escrowing Le Key Escrowing décrit la capacité de recouvrir des données chiffrées au moyen d une procédure impliquant un administrateur et/ou un tiers de confiance. Cette solution devra reposer sur une authentification forte. Le fournisseur de la solution expliquera clairement comment les administrateurs peuvent récupérer des données chiffrées par un utilisateur à l aide de cette solution. Il détaillera le niveau de logging entourant cette activité et expliquera comment cette fonctionnalité, qui doit P 8

9 être disponible à l échelle de l entreprise, restera sûre malgré des inévitables rotations de personnel, en particulier lorsque des administrateurs de sécurité prennent d autres fonctions au sein de l entreprise Protection des mots de passe La solution devra disposer d une protection des mots de passe contre les attaques habituelles ciblant les mots de passe, à savoir : attaques de type dictionnaire ; accès à la zone de stockage du mot de passe ; sniffing ; Cette protection sera valable tant pour les mots de passe demandés à l utilisateur final que pour les mots de passe demandés à l administrateur Non désactivable La solution devra se prémunir contre une désactivation ou un contournement par l utilisateur final. Pour des utilisateurs sans droits d administrateur, la désactivation devra être rendue impossible. Pour des utilisateurs détenant des droits d administrateur, la désactivation devra au minimum être détectable et signalée au gestionnaire central Chiffrement matériel Certaines institutions utilisent des périphériques de mémoire intensivement, notamment pour y stocker temporairement des informations sensibles. La solution proposera éventuellement des périphériques USB incluant un chiffrement matériel Chiffrement de fichiers individuels La solution permettra éventuellement un chiffrement de fichiers individuels, à la demande de l utilisateur. Dans ce cas, il faut vérifier comment la portabilité des fichiers est assurée pour une utilisation de ces fichiers sur un ordinateur équipé ou non de la solution et par un utilisateur différent ou non. Il convient d examiner dans quelle mesure cette fonctionnalité de chiffrement de fichiers individuels peut être configurée, activée ou désactivée par l administrateur Chiffrement de groupe La solution offrira éventuellement la possibilité de partager les informations chiffrées entre plusieurs membres d un groupe. P 9

10 Le fournisseur de la solution devra clairement expliquer comment celle-ci répond à ce besoin, de même en ce qui concerne l administration des groupes et de ses membres Suppression des données volées La solution permettra éventuellement de supprimer ou de tracer des informations stockées sur des périphériques volés. Soit en disposant d une fonctionnalité «call home» qui permettra au périphérique de connaître son état (volé ou non), soit par effacement des données après un nombre déterminé de tentatives d accès infructueuses Informations sur les schémas d authentification L authentification des utilisateurs devra de préférence être gérée à l aide des services d authentification existants de l institution (ex. Windows Active Directory). Les autres techniques d authentification, que la solution supporte, devront être identifiées. Les capacités d intégration et de compatibilité de ces techniques d authentification devront être étudiées en rapport avec la mise en œuvre des autres composants de cette solution : la console de management, le chiffrement d une zone de stockage sur un périphérique, le déverrouillage d une telle zone, le chiffrement d un fichier, le Key Escrowing 5 Gestion de la solution Administration centralisée La solution devra pouvoir être administrée de manière centralisée avec une gestion des accès sur base de rôles (RBAC). Vu que la solution devra pouvoir s adapter aux besoins de l institution, il est recommandé qu un «super administrateur» puisse déléguer certaines tâches tout en en gardant le contrôle et la supervision et que chaque sous-ensemble de l administration centralisée puisse gérer ses propres règles Gouvernance et reporting La solution devra permettre à ses gestionnaires d évaluer en permanence le niveau de sécurité de l environnement protégé par la solution. Elle devra entre autre permettre la génération d un tableau de bord reprenant l état de la situation. En outre, la solution devra permettre la production de statistiques et tendances ainsi que la génération de rapports sur la base de critères tels que : les types de périphériques, les groupes d utilisateurs. Enfin, ces informations devront pouvoir être exportées dans un format exploitable Configurations appliquées aux utilisateurs P 10

11 Les politiques de configurations techniques devront pouvoir être appliquées aux utilisateurs ou groupes d utilisateurs tels que définis dans la gestion centrale des utilisateurs (ex. Windows Active Directory). Celles-ci devront cohabiter avec d éventuelles politiques appliquées aux postes de travail Politique des mots de passe La solution devra permettre la définition d une politique de complexité et de péremption des mots de passe. Il faudra, d une part, explicitement confirmer que ces politiques s appliquent tant aux mots de passe des administrateurs qu à ceux des utilisateurs et, que d autre part des politiques de mots de passe différentes puissent être définies selon le contexte de leur utilisation Configurations par poste de travail Les configurations de sécurité ou certains aspects de celles-ci seront assignés par poste de travail pour permettre ou empêcher certains périphériques d y fonctionner. Les règles de priorité régissant les potentielles situations de conflit entre deux configurations seront décrites. Par exemple lorsqu une action est autorisée sur un poste de travail mais interdite à un utilisateur donné s y connectant Éléments configurables La structure de la configuration de sécurité et ses différents éléments devront être décrits afin de mieux en comprendre le niveau de granularité. Des exemples pourront illustrer les explications Politiques dynamiques ou contextuelles La solution offrira des configurations de sécurité dynamiques, c'est-à-dire capables d évoluer selon le contexte d utilisation (utilisateur, poste de travail, réseau, heure) Logging au niveau du poste de travail / serveur La solution aura la capacité de produire des traces (logging) pour l ensemble des activités et évènements (y compris la gestion). Le niveau de logging devra être configurable, de plus les traces ne pourront être altérable par l utilisateur. Lorsque le poste de travail n est pas connecté au réseau, la production de ces traces sera conservée localement dans l attente d une connexion avec le serveur central pour une consolidation. Les informations seront classées par catégorie et l administrateur des traces disposera d un outil permettant la gestion de ces traces : consultation, archivage, importation d archives, exportation de tout ou partie vers des formats exploitables. La durée de conservation de ces traces sera déterminée par les services compétents. P 11

12 6 Maintenance et compatibilité Intégration dans l infrastructure informatique Si l objectif est l intégration de la solution dans l infrastructure informatique de l institution (ex. infrastructure Windows AD), il faudra vérifier que chaque élément (console centrale, serveur central, modules distribués éventuels) puisse y être intégré Support du système d exploitation La protection des postes de travail et la console de management devront être compatibles au moins avec les principaux systèmes d exploitation utilisés par l institution (ex. versions XP, Vista et 7 de Windows). La compatibilité du serveur de management avec le système d exploitation du serveur utilisé devra être vérifiée (ex. versions 2003 et 2008 de Windows Server). Dans de nombreux cas, le serveur de gestion devra pouvoir être installé et opérer sur un serveur Windows virtualisé. La solution doit également offrir la garantie que les versions futures des systèmes d exploitation principaux du marché seront supportées Support antimalware La solution devra être compatible avec les dispositifs antimalware de l institution. Toute limitation à ce niveau doit être mentionnée explicitement par le fournisseur de la solution. Il faut s assurer de la compatibilité avec les versions futures de ces produits Suivi de l état de la protection La solution devra permettre aux administrateurs de suivre le niveau de protection du parc installé, notamment : nombre de postes de travail protégés (nombre d agents sondes- déployés) ; nombres d agents (sondes) actifs (dont la dernière activité signalée au serveur de gestion est inférieure à un nombre de jours ou semaines configurables) ; nombre d agents (sondes) inactifs (qui ne se sont plus manifestés depuis un laps de temps configurable). Il faut vérifier comment le produit génère ces rapports et assure le suivi du parc installé. P 12

13 6.1.5 Droits d accès Les utilisateurs seront dotés de droits d accès minimum (ni Power User, ni administrateur). La solution ne devra en aucun cas nécessiter des privilèges élevés de la part de l utilisateur final pour fonctionner entièrement. Cette contrainte ne s applique pas a ux administrateurs de la solution Intégration transparente L intégration de la solution dans les systèmes devra être entièrement transparente pour les utilisateurs. Pourront êtres visibles notamment : les notifications d interdictions imposées par la configuration de sécurité à un utilisateur effectuant une opération non autorisée ; le déverrouillage d une zone chiffrée ; le chiffrement d une zone. Par contre, une fois les protections levées, l utilisation de documents chiffrés devra être identique à l utilisation d un document non chiffré. Par exemple, si l on accède à des fichiers chiffrés sur une mémoire USB, cela se fera de façon totalement transparente, hormis l éventuelle étape de déverrouillage, depuis l explorateur de fichiers ou la fonction «ouvrir» de tout programme Smart Card SSO La solution sera compatible avec un système de single sign on, utilisant une SmartCard, y compris pour une éventuelle authentification «pré-boot» en cas de disque chiffré. Plus particulièrement, une information détaillée concernant la compatibilité avec les standards PKCS#11 (et CAPI) ainsi que PKCS#15 devra être fournie Authentification par eid L utilisation de la carte d identité électronique belge est généralisée. L utilisation de cette carte eid pour l authentification, le chiffrement, l administration, le Key Escrowing, etc. est considérée comme un atout important Compatibilité avec le chiffrement de disque Il faut s assurer que la solution soit compatible avec le système de chiffrement de disque utilisé par l institution. En effet, la solution sera éventuellement installée dans un parc informatique contenant des postes de travail dont le disque est déjà chiffré Protection des serveurs La solution devra aussi pouvoir être utilisée pour sécuriser les canaux de communication des serveurs. La solution sera donc compatible avec les systèmes serveur à protéger. P 13

14 Protection des smart phones La solution disposera éventuellement aussi d une solution pour protéger les smart phones (Symbian, Windows Mobile, iphone OS, Android, RIM ) ou assistants mobiles Langues Les logiciels offriront de préférence une interface dans la langue de l utilisateur final (néerlandais, français, allemand). Dans le cas d une solution multilingue, l utilisateur pourra choisir sa langue sans réinstallation du logiciel Impact sur les performances du système Les performances d un système pourront être dégradées par la solution dans une limite acceptable. Quatre éléments majeurs peuvent avoir un impact sensible sur les performances d un système : - la vitesse de transfert de petits et de gros fichiers entre le poste de travail et les périphériques ; - l utilisation de mémoire vive par la solution ; - l utilisation de CPU par la solution ; - l espace disque utilisé par la solution. Concernant les taux de transfert entre les périphériques et le poste de travail, nous considérons qu une dégradation inférieure à 15 % de la durée de transfert avec chiffrement / déchiffrement constitue le maximum tolérable. Cette contrainte est valable tant sur des petits que sur des gros fichiers. Concernant la mémoire vive, il faut vérifier l impact : - au démarrage ; - après avoir transféré, vers une zone chiffrée, 100 fichiers de plus de 200 KB et de moins de 1 MB. Concernant l utilisation du processeur, le pourcentage CPU utilisé par le module de la solution ne doit pas dépasser 3-5 % en utilisation moyenne (hors pics dus au chiffrement). L impact sur l espace disque doit être vérifié ainsi que les configurations recommandées pour l agent local (sonde) et la console de management. Le fournisseur de la solution mettra à disposition une documentation relative aux tests benchmark dont une description circonstanciée des conditions de test Disponibilité du système de gestion La solution ne peut en aucun cas diminuer la disponibilité de l infrastructure IT. Ceci implique que les agents (sondes) seront indépendants de la disponibilité du système de gestion. L indisponibilité du système de gestion ne fera qu empêcher les mises à jour et la centralisation des informations de logging, qui seront cependant stockées sur chacun des postes de travail ou déviées vers un serveur de logging alternatif. Enfin, le système de gestion disposera de préférence d une option de haute disponibilité permettant de garantir un fonctionnement continu du service. P 14

15 Compatibilité avec les postes de travail partagés La solution devra éventuellement pouvoir fonctionner sur des postes de travail partagés par des utilisateurs de langue différente et avec des profils différents Déploiement du software Idéalement, l'installation doit pouvoir s effectuer sans intervention de l'utilisateur. Pour pouvoir automatiser le déploiement du système, les informations suivantes sont nécessaires : Quelles sont les exigences minimales en termes de software (par exemple :.Net Framework )? Quelle partie de configuration système est affectée par l installation, quelles sont les exigences? Quels fichiers INI ou clés de registre sont créés ou modifiés? Fichiers installés Services installés Certains droits d'accès NTFS ou Registry doivent-ils être modifiés pour qu'un utilisateur (sans droits d administrateur) puisse utiliser le software? Si nécessaire, comment enregistrer la licence (serial number, fichier key ou autre)? Toute autre information requise par les services techniques Virtualisation La solution sera idéalement compatible avec les environnements virtualisés. 7 Autres points d attention Les points suivants sont également à prendre en considération dans le cadre de l évaluation de la solution proposée : Structure des coûts (prix des licences, frais de maintenance, frais de formation) en rapport avec l ampleur de l institution et l expansion prévue. Procédure de démonstration, proof of concept, critères de décision finale. Prestations de services : (période de) maintenance, installation, consultance, formation. P 15