AĞ.04 — Güvenlik Duvarı Standartları
Açıklama
Şirketin güvenlik duvarı altyapısı için geçerli olan minimum standartlar bu doküman içerisinde tanımlanmıştır.
Standartlar
Kurulum ve Devreye Alma
- Güvenlik duvarı sistemleri tedarikçi firma tarafından desteklenen veya onaylanan donanımlar üzerinde çalıştırılır.
- Sistem satın alma öncesinde iş süreklilik planlarına ve SLA seviyesine uygun olarak destek ve bakım kriterleri değerlendirilir.
- Erişilebilirlik seviyesini artırmaya yönelik olarak donanımlar yedekli olarak konumlandırılır.
- Son versiyon yerine, üreticiden ilgili onay alınan en kararlı ve güvenli çalışan yazılım versiyonu tercih edilir.
- “Zone” bazlı mimariye göre (Internet, DMZ, Extranet vb.) planlanır ve gerektiği durumda fiziksel olarak da ayrı güvenlik duvarı gerekip gerekmediği analiz edilir. İnternete açık olan sistemler DMZ kısmında konumlandırılır.
- Ağ segmentasyonu, erişim listeleri (Access-list) aracılığıyla konfigüre etmek yerine güvenlik duvarı kullanılarak sağlanır.
- Güvenlik duvarı kural değişiklikleri öncesi talep-onay akış süreci işletilir ve risk analizi yapılır. Süreç, şirketin değişiklik yönetimi çerçevesinde yürütülür. Kural değişiklikleri bilgi güvenliği ekipleri ya da BT yöneticileri tarafından onaylanır.
- Konsol bağlantıları için en fazla 5 dakikalık zaman aşımı süresi uygulanır.
- Yönetim konsoluna erişim belirli IP'ler ile sınırlandırılır.
- Güvenlik duvarı yöneticilerinin yaptığı tüm işlemlerin logu (belirli güvenlik duvarları destekliyor) merkezi log sunucusuna alınır; ağ güvenlik yöneticileri bu logu değiştiremez.
- Sisteme erişim sağlayacak kişi sayısı birden fazla ise; TACACS+ veya RADIUS sunucu ile AAA (Authentication, Authorization, Accounting) entegrasyonu yapılır.
- Cihaz üzerinde HTTPS veya SSH yöntemi ile erişim belirli IP'lerden olacak şekilde sınırlandırılır. Telnet, HTTP, FTP gibi güvensiz erişim yöntemleri ve gereksiz servisler kapatılır.
- Güvenlik duvarını adresleyen trace ve ping trafiği bloklanır.
- “Any-to-any access” kuralı bulunmaz. En son kural “any-to-any deny” olarak konfigüre edilir.
- Saat ve takvim otomatik olarak merkezi zaman sunucusu (NTP) üzerinden senkronize edilir.
- İç ağdan dış ağa açılan protokoller HTTPS (TLS 1.2 ve üzeri, TLS 1.3 tercih) ve zorunlu hallerde HTTP ile sınırlandırılır. Diğer protokollere ihtiyaca göre IP bazlı erişim verilir.
- Dış ağdan iç ağa erişim verilmez. Dış ağdan erişimler DMZ ağında sonlanır. İstisna olarak iç ağa erişimler varsa dış statik IP kısıtı uygulanarak, kimlik kontrolü yapılabilecek şekilde kontrollü olarak alınır.
- İç ağda segmentasyonu sağlayan güvenlik duvarları doğru bir şekilde konfigüre edilerek, iş gereksinimi dâhilinde minimum erişim prensibine göre VLAN'lar arası veya IP bazlı erişime izin verilir.
İşletim ve Bakım
- Cihaza ait topoloji güncel tutulur.
- Cihaz konfigürasyonunun haftalık bazda yedeği alınır.
- Yeni oluşabilecek tehditlere karşı, sistemin yazılım güncellemeleri takip edilir, incelendikten sonra uygulanır.
- Sistemin olay logları ilgili yöntemlerce (Syslog, SIEM vb.) düzenli olarak alınır. 5651 sayılı kanun kapsamında güvenlik duvarı loglarının değiştirilmediği garanti edilecek şekilde zaman damgası ve hash teknolojileri kullanılarak saklanır.
- En az yılda bir olmak üzere sistemin yedeklilik testleri yapılır.
- Sistem konfigürasyonunda yapılan her tür ek ve tanım, açıklaması ile birlikte tanımlanır.
- En az 6 ayda bir sistem üzerinde tanımlı kurallar gözden geçirilerek, gereksiz kurallar belirlenmiş bir plan dâhilinde kontrollü olarak silinir.
- Güvenlik cihazlarının performans değerleri (CPU, RAM vb.), trafik yoğunluğu, bağlantı sayısı ve atak durumlarının sürekli takip edilmesine yönelik merkezi izleme süreçleri tasarlanır.
- E-posta, SNMP trap ve benzeri yöntemler ile çevrimiçi alarm mekanizması aktif edilir.
İyi Uygulama Örnekleri
- Güvenlik duvarı sistemleri üzerinde UTM fonksiyonları devreye alınacaksa, sistemlerin kritikliği göz önünde bulundurularak hareket edilir. Gerektiğinde fonksiyonlar için ayrı cihaz konumlandırılabilir.
- Finansal sistemler ve şirket için kritik olan diğer yapılar için çift katmanlı güvenlik duvarı mimarisi önerilmektedir. Bu mimariye göre, internet erişimi sağlanan sistemler ön katmanda güvenlik duvarı arkasında; veri tabanı gibi yapılar ise arka katmandaki güvenlik duvarı arkasında planlanır.
- Güvenlik duvarı üzerinde tanımlı kurallarda ilk satırda, internet tarafından yapılan erişimler için 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 0.0.0.0/8, 224.0.0.0/4 ve broadcast adresleri (x.y.z.255) network blokları için kısıtlama yapılır.
- Tanımlı güvenlik duvarı kurallarının analizi için bu konuda özelleştirilmiş ürünler kullanılabilir.
- İstenmeyen erişim kesintilerine yol açabileceğinden, güvenlik duvarı değişikliklerinin cihaz üzerinde uygulanma zamanları belirlenir. Acil olmayan değişiklikler bekletilerek, şirkete uygun zaman diliminde ilgili değişiklikler toplu olarak gerçekleştirilir.
Referanslar
- Wikipedia: Defense in depth (computing) — en.wikipedia.org/wiki/Defense_in_depth_(computing)
- Firewall Deployment for Multitier Applications — zeltser.com/multi-firewall
- Public DMZ network architecture — security.stackexchange.com
- Etherealmind: Design Enterprise DMZ Firewall Clusters — etherealmind.com