Sie betreiben ausgeklügelte Rechteverwaltung auf Ihrem Domino System, die Daten in den zahlreichen Datenbanken und Anwendungen sind gut abgesichert.
Wirklich?
Ist Ihr "Generalschlüssel" für den ID-Vault auch gut geschützt, oder wird die Server-ID unverschlüsselt verwendet?
Können Sie sicher gehen, dass die Gruppendokumente nicht unberechtigt geändert werden?
Wie breit sind weitreichende Administrationsrechte z.B. an Support-Kollegen "gestreut"?
BCC bietet mit DominoProtect eine Lösung, die mögliche Sicherheitslücken schließt, das Systemmanagement in komplexen Umgebungen vereinfacht und hilft Revisions- und Compliance-Anforderungen zu erfüllen.
Dieser Vortrag von der DNUG Frühjahrskonferenz 2014 in Karlsruhe bietet einen Einstieg in das Thema Sicherheit & Compliance in IBM Collaboration Infrastrukturen und beleuchtet insbesondere folgende Bereiche:
* Security Monitoring - wie Sie sicherheits- und systemkritische Änderungen in Ihrer IBM Domino Umgebung in Echtzeit überwachen
* Compliance - wie Änderungen oder sogar Zugriffe auf sensible Elemente zuverlässig verhindert und dokumentiert werden können
* Change Management - wie Konfigurationsänderungen nicht ohne Freigabe aktiviert und Rollback & Recovery mit nur einem Klick möglich werden
BCC solutions for IBM Notes & Domino Infrastructure & Administration
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
1. Zusammenarbeit 2.0: Fit für die Zukunft.
Keine Kompromisse! Mehr Sicherheit
& Compliance für IBM Domino
Matthias Förg
BCC Unternehmensberatung GmbH
www.bcc.biz
matthias_foerg@bcc.biz
+49 6196 64040-40
2. Keine Kompromisse! – Mehr Sicherheit & Compliance
BCC in aller Kürze
Lösungen für das sichere und kosteneffiziente Management von
Social Business & Collaboration Infrastrukturen mit dem
Schwerpunkt auf IBM Collaboration Solutions (ICS/Lotus)
Consulting, Lösungen & Implementierung
Gegründet 1996, 30 Mitarbeiter
Firmensitz in Eschborn bei Frankfurt am Main,
Niederlassungen in Düsseldorf (Ratingen), Karlsruhe
Tochterunternehmen:
• BCC Business Collaboration Company Ltd. in London, UK
• ICODEX Software GmbH in Wien, Österreich
> 800 Kunden; > 3 Millionen Anwender; > 80 Partner
3. Keine Kompromisse! – Mehr Sicherheit & Compliance
Zentrale Frage
Wie gewährleisten Sie die
Einhaltung von Sicherheits-
anforderungen an Ihre Messaging-
& Collaboration-Infrastruktur?
4. Keine Kompromisse! – Mehr Sicherheit & Compliance
Ausgangssituation
Sicherheitsanforderungen
• Unternehmenssicherungskonzepte (z. B. BaFin
Vorschiften in Kreditinstituten)
• IT-Sicherheitskonzept des einzelnen Unternehmens
• Handbuch IT Change Management
• Arbeits- und Verfahrensanweisungen, Checklisten
Herausforderung für die IT
• Definition der konkreten Change Prozesse
• Prozessüberwachung und Eskalation
• Lückenlose Dokumentation
5. Keine Kompromisse! – Mehr Sicherheit & Compliance
Informationsquellen
BSI Grundschutzhandbuch
• Organisationsempfehlungen
• Konfigurationsempfehlungen
• Detaillierte Abhandlung
zum Thema E-Mail
BSI „ISi Checks“ Handbücher &
Checklisten
• ISi Check IBM Lotus Domino
• ISi Check Mail Clients
Allgemein
• ISi Check LANA
6. Keine Kompromisse! – Mehr Sicherheit & Compliance
Informationsquellen
IBM (Lotus) Domino Administrator Hilfe, Security
• Operating System Security
• Network Security
• Server Security
• ID Security
• Application Security
• Workstation Security
• ID-Vault
• …
7. Keine Kompromisse! – Mehr Sicherheit & Compliance
Risiken in der „nativen“ Administration
ID Typen und Schutzbedarf
• CERT.IDs > Mehrfachkennwortschutz
• SERVER.IDs > Mehrfachkennwortschutz
• USER.IDs > Kennwortsicherheit
• Alle ID-Typen > Physikalischer Schutz (Diebstahl,
Korruption, Verlust)
lückenlose Historie
Dokumentation von Erstellung,
Änderungen und Löschung
10. Keine Kompromisse! – Mehr Sicherheit & Compliance
ID Vault – Was empfiehlt die IBM?
IBM legt allen Anwendern nahe, die Server-ID unbedingt
zu schützen:
„We understand that most Domino servers are not
password-protected to make unattended reboots simpler,
but the vault server's ID file is a key element in the security
of your ID vault. A sophisticated attacker with a vault
database and one of the corresponding server Ids ... would
have all of the cryptographic information needed to
masquerade as the vault server and decrypt all of the ID
files stored in the vault.“
11. Keine Kompromisse! – Mehr Sicherheit & Compliance
ID Vault - Was empfiehlt das BSI?
"Da Server-IDs für ausgezeichnete Systemkomponenten zur Identifikation
benutzt werden, müssen sie entsprechend gut geschützt werden.
[...]
Die Verwendung eines Passwortes erfordert die Passworteingabe bei jedem
Serverstart. Falls keine organisatorischen Gründe dagegen sprechen (z. B.
wenn der Remote-boot von Servern an verschiedenen Standorten regelmäßig
und ohne Vor-Ort-Unterstützung erfolgen muss), wird die Nutzung von
Server-ID-Passwörtern empfohlen. Sicherheitskopien müssen immer mit
einem Passwort versehen sein. Durch den Einsatz von Dritthersteller-
Software kann auch dann ein automatisierter Systemstart ermöglicht
werden, wenn die Server-IDs mit Passwörtern geschützt sind."
12. Keine Kompromisse! – Mehr Sicherheit & Compliance
ID Vault, Server.ID & ACL
Der Zugriff und die Nutzung der Server ID des Vault Servers
muss besonders geschützt werden
• Setzen von Passwörtern auf die Server ID Dateien
• Upgrade Server ID Keys auf 2048 Bit (Keyrollover)
Überwachung der Vault ACL und Auditor Rolle
• SECURE_DISABLE_AUDITOR=1 in der Notes.ini um diese
Funktion auszuschalten
• Schutz der Anwendungs-ACL vor Änderungen
• Beschränkung der „FullAccess-Admin“ Funktion
13. Keine Kompromisse! – Mehr Sicherheit & Compliance
Kurzvorstellung DominoProtect
Implementierung zusätzlicher Sicherheitsebene
• Unabhängig von Domino Admin Rechten
• Nicht durch Admin manipulierbar
Erweiterte detaillierte Protokollierung
• von sicherheitsrelevanten Änderungen
• Protokollierung außerhalb von Domino möglich
• mit Benachrichtigung bei sicherheitskritischen Änderungen
Realtime Protection
• Verhinderung von Änderungen & Zugriffen
• Verhinderung von Manipulationen
Change Management
• Änderung nur mit Genehmigung
• Rollback bei unerwünschten
Änderungen
14. Keine Kompromisse! – Mehr Sicherheit & Compliance
Beispiele
Kennwortschutz der Server-ID‘s
ACL Änderung an der Mail-Datenbank der Geschäftsführer nur per
Request
ACL Änderung für Datenbanken „Verträge“ und „Betriebsrat“
werden per E-Mail gemeldet
Änderung der Mitgliedschaften in den Gruppen
„Geschäftsführung“ und „Betriebsrat“ nur per Change Request
Änderung bei den Gruppen „Personalabteilung“ & „Buchhaltung“
werden per E-Mail gemeldet
Schutz des Feld „Full Access Admin“
15. Keine Kompromisse! – Mehr Sicherheit & Compliance
Warum DominoProtect?
Vereinfachung
der Administration durch Standards
Zuwachs an Sicherheit
durch Change Prozesse und Fall Back
Unterstützung
Dokumentation
Automatische aktuelle Doku
Kaum Einarbeitung
bei Personalwechsel
16. Keine Kompromisse! – Mehr Sicherheit & Compliance
BCC Unternehmensberatung GmbH
Matthias Förg
matthias_foerg@bcc.biz
+49 6196 64040-40
Fragen?
17. Zusammenarbeit 2.0: Fit für die Zukunft.
Bitte nehmen Sie sich die Zeit,
um diesen Vortrag zu bewerten
(A6-Block in Ihren Konferenzunterlagen)
Rückgabe
Geben Sie das ausgefüllte Bewertungsblatt bei
dem Moderator/Betreuer Ihres Vortrages bzw.
am Tagungscounter der DNUG ab.
Verlosung
Unter allen Teilnehmern
wird ein iPod nano verlost.