Zeige mehr…

Allgemeine IT-Sicherheit

Betriebssystem

Welches Betriebssystem ist im Einsatz und warum?

Als Betriebssystem werden Long Term Support (LTS)-Versionen von Ubuntu Server eingesetzt.
LTS-Versionen werden vom Hersteller Canonical für 5 Jahre unterstützt und bekommen regelmäßige Security-Updates, welche automatisch auf den Systemen eingespielt werden.

Im Gegensatz zu anderen Betriebssystemen erhalten wir durch Ubuntu LTS-Versionen einen langen Supportzeitraum, behalten aber die Möglichkeit, Dienste (wie Datenbanken oder Webserver) in einer Version zu erhalten, welche von den meisten Atlassian-Produkten unterstützt wird.
Es wird immer die aktuellste LTS-Version eingesetzt, sofern diese bereits mit den aktuellen Atlassian-Produkten kompatibel ist.

Grundkonfiguration anhand unseres Config Managements

Durch unser Config Management können wir sicherstellen, dass auf jedem System verschiedene Anpassungen gemacht werden, welche das Sicherheitsniveau weiter erhöhen:

Zusätzlich zu diesen Sicherheitsvorkehrungen können wir mithilfe unseres Config Managements eine standardisierte Konfiguration für Backups, Monitoring und Dienste wie Logrotate bereitstellen.

Um die Integrität dieser Konfigurationen zu gewährleisten, werden alle Änderungen von mindestens einem weiteren Mitarbeiter geprüft und revisionssicher in einem Versionskontrollsystem gespeichert.

Getrennte Netze, VPN

Vernetzung unserer Standorte

Um den sicheren Netzwerk-Verkehr zwischen unseren Standorten zu gewährleisten, befinden sich an jedem Standort Systeme, welche verschlüsselte IPSec-Verbindungen zu anderen Standorten von //SEIBERT/MEDIA aufbauen. Hierbei werden folgende Verfahren zur sicheren Datenübertragung benutzt:

Sowohl eingehende, als auch ausgehende Verbindungen aller Systeme zu anderen Standorten werden somit durch ein gesichertes Netzwerk von verschiedenen Routern und VPN-Knoten geführt.

Mitarbeiter-VPN

Jeder Mitarbeiter benötigt einen VPN-Zugang um Systeme in unserer Infrastruktur zu erreichen. Dabei bekommt jeder Mitarbeiter im Zuge des Onboardings ein generiertes, auf ihn zugeschnittenes Zertifikat. Dieses Zertifikat ist nur ein Jahr gültig und muss danach neu generiert werden.
Das aktuelle Zertifikat kann jedoch jederzeit von Mitarbeitern der IT widerrufen werden. Dies passiert automatisch, sollte der Mitarbeiter das Unternehmen verlassen.

Zusätzlich bekommt jeder Mitarbeiter bei der Einwahl in das VPN eine eindeutige IP-Addresse, mit welcher er innerhalb des Netzwerks identifiziert werden kann.

Hosting bei //SEIBERT/MEDIA

Um die Systeme vor unbefugtem Zugriff zu schützen, besitzen alle bei //SEIBERT/MEDIA gehosteten Maschinen zwei Netzwerkschnittstellen.

On-Premise Hosting

Systeme, welche beim Kunden gehostet werden, sind im Regelfall (sofern nicht anders mit dem Kunden abgesprochen) über eine dedizierte Site2Site-Verbindung an unsere Infrastruktur angeschlossen. Dadurch muss der Kunde das System nicht öffentlich im Internet verfügbar machen und kann den Zugriff auf die Systeme auf Mitarbeiter von //SEIBERT/MEDIA beschränken.

Die Mitarbeiter von //SEIBERT/MEDIA werden erst durch explizite Freischaltung durch die interne IT und in Absprache mit dem Projektmanager autorisiert, auf die Kundensysteme zuzugreifen. Hierbei werden Listen mit Zugriffsberechtigungen gepflegt und bei etwaigem Verlassen eines Mitarbeiters angepasst, sowie die Rechte des Mitarbeiters entzogen.

Sollte es aus diversen Gründen nicht möglich sein, eine Site2Site-Verbindung mit dem Kunden aufzubauen, so besteht die Möglichkeit, dass der Kunde das System auf die IP-Adressen von //SEIBERT/MEDIA beschränkt.

Remote-Wartungen

SSH

Grundsätzlich kann jedes System durch die Secure Shell (SSH) von allen Systemadministratoren erreicht werden. Dafür benötigen die einzelnen Mitarbeiter jeweils eine eigenes Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel, sowie einen eigenen Benutzer auf der Maschine.

Zusätzlich wird jeder eingegebene Befehl in einem Log gespeichert, um nach etwaigen Ausfällen analysieren zu können, wann welcher Mitarbeiter Änderungen vorgenommen hat.

Firewall

Zusätzlich zu den Maßnahmen der getrennten Netze läuft auf jedem System eine iptables-Firewall um die ein- und ausgehenden Verbindungen noch granularer zu filtern.

Darunter zählen:

TLS-Verschlüsselung des Webservers

Sofern es nicht ausdrücklich anders vom Kunden gewünscht ist, werden alle Webserver mit TLS betrieben. Dabei legen wir Wert darauf, immer aktuelle Cipher Suiten zu benutzen.
Dem Kunden ist freigestellt, ob er //SEIBERT/MEDIA das bereits vorhandene SSL-Zertifikat und den privaten Schlüssel anvertraut, oder die SSL-Zertifikate über Let's Encrypt automatisch auf dem System generiert und erneuert werden.

Zeige mehr…
Zeige mehr…