AĞ.04 — Güvenlik Duvarı Standartları

Ağ Güvenliği IT Standartları · Türkçe

Açıklama

Şirketin güvenlik duvarı altyapısı için geçerli olan minimum standartlar bu doküman içerisinde tanımlanmıştır.

Standartlar

Kurulum ve Devreye Alma

  1. Güvenlik duvarı sistemleri tedarikçi firma tarafından desteklenen veya onaylanan donanımlar üzerinde çalıştırılır.
  2. Sistem satın alma öncesinde iş süreklilik planlarına ve SLA seviyesine uygun olarak destek ve bakım kriterleri değerlendirilir.
  3. Erişilebilirlik seviyesini artırmaya yönelik olarak donanımlar yedekli olarak konumlandırılır.
  4. Son versiyon yerine, üreticiden ilgili onay alınan en kararlı ve güvenli çalışan yazılım versiyonu tercih edilir.
  5. “Zone” bazlı mimariye göre (Internet, DMZ, Extranet vb.) planlanır ve gerektiği durumda fiziksel olarak da ayrı güvenlik duvarı gerekip gerekmediği analiz edilir. İnternete açık olan sistemler DMZ kısmında konumlandırılır.
  6. Ağ segmentasyonu, erişim listeleri (Access-list) aracılığıyla konfigüre etmek yerine güvenlik duvarı kullanılarak sağlanır.
  7. Güvenlik duvarı kural değişiklikleri öncesi talep-onay akış süreci işletilir ve risk analizi yapılır. Süreç, şirketin değişiklik yönetimi çerçevesinde yürütülür. Kural değişiklikleri bilgi güvenliği ekipleri ya da BT yöneticileri tarafından onaylanır.
  8. Konsol bağlantıları için en fazla 5 dakikalık zaman aşımı süresi uygulanır.
  9. Yönetim konsoluna erişim belirli IP'ler ile sınırlandırılır.
  10. Güvenlik duvarı yöneticilerinin yaptığı tüm işlemlerin logu (belirli güvenlik duvarları destekliyor) merkezi log sunucusuna alınır; ağ güvenlik yöneticileri bu logu değiştiremez.
  11. Sisteme erişim sağlayacak kişi sayısı birden fazla ise; TACACS+ veya RADIUS sunucu ile AAA (Authentication, Authorization, Accounting) entegrasyonu yapılır.
  12. Cihaz üzerinde HTTPS veya SSH yöntemi ile erişim belirli IP'lerden olacak şekilde sınırlandırılır. Telnet, HTTP, FTP gibi güvensiz erişim yöntemleri ve gereksiz servisler kapatılır.
  13. Güvenlik duvarını adresleyen trace ve ping trafiği bloklanır.
  14. “Any-to-any access” kuralı bulunmaz. En son kural “any-to-any deny” olarak konfigüre edilir.
  15. Saat ve takvim otomatik olarak merkezi zaman sunucusu (NTP) üzerinden senkronize edilir.
  16. İç ağdan dış ağa açılan protokoller HTTPS (TLS 1.2 ve üzeri, TLS 1.3 tercih) ve zorunlu hallerde HTTP ile sınırlandırılır. Diğer protokollere ihtiyaca göre IP bazlı erişim verilir.
  17. Dış ağdan iç ağa erişim verilmez. Dış ağdan erişimler DMZ ağında sonlanır. İstisna olarak iç ağa erişimler varsa dış statik IP kısıtı uygulanarak, kimlik kontrolü yapılabilecek şekilde kontrollü olarak alınır.
  18. İç ağda segmentasyonu sağlayan güvenlik duvarları doğru bir şekilde konfigüre edilerek, iş gereksinimi dâhilinde minimum erişim prensibine göre VLAN'lar arası veya IP bazlı erişime izin verilir.

İşletim ve Bakım

  1. Cihaza ait topoloji güncel tutulur.
  2. Cihaz konfigürasyonunun haftalık bazda yedeği alınır.
  3. Yeni oluşabilecek tehditlere karşı, sistemin yazılım güncellemeleri takip edilir, incelendikten sonra uygulanır.
  4. Sistemin olay logları ilgili yöntemlerce (Syslog, SIEM vb.) düzenli olarak alınır. 5651 sayılı kanun kapsamında güvenlik duvarı loglarının değiştirilmediği garanti edilecek şekilde zaman damgası ve hash teknolojileri kullanılarak saklanır.
  5. En az yılda bir olmak üzere sistemin yedeklilik testleri yapılır.
  6. Sistem konfigürasyonunda yapılan her tür ek ve tanım, açıklaması ile birlikte tanımlanır.
  7. En az 6 ayda bir sistem üzerinde tanımlı kurallar gözden geçirilerek, gereksiz kurallar belirlenmiş bir plan dâhilinde kontrollü olarak silinir.
  8. Güvenlik cihazlarının performans değerleri (CPU, RAM vb.), trafik yoğunluğu, bağlantı sayısı ve atak durumlarının sürekli takip edilmesine yönelik merkezi izleme süreçleri tasarlanır.
  9. E-posta, SNMP trap ve benzeri yöntemler ile çevrimiçi alarm mekanizması aktif edilir.

İyi Uygulama Örnekleri

  1. Güvenlik duvarı sistemleri üzerinde UTM fonksiyonları devreye alınacaksa, sistemlerin kritikliği göz önünde bulundurularak hareket edilir. Gerektiğinde fonksiyonlar için ayrı cihaz konumlandırılabilir.
  2. Finansal sistemler ve şirket için kritik olan diğer yapılar için çift katmanlı güvenlik duvarı mimarisi önerilmektedir. Bu mimariye göre, internet erişimi sağlanan sistemler ön katmanda güvenlik duvarı arkasında; veri tabanı gibi yapılar ise arka katmandaki güvenlik duvarı arkasında planlanır.
  3. Güvenlik duvarı üzerinde tanımlı kurallarda ilk satırda, internet tarafından yapılan erişimler için 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 0.0.0.0/8, 224.0.0.0/4 ve broadcast adresleri (x.y.z.255) network blokları için kısıtlama yapılır.
  4. Tanımlı güvenlik duvarı kurallarının analizi için bu konuda özelleştirilmiş ürünler kullanılabilir.
  5. İstenmeyen erişim kesintilerine yol açabileceğinden, güvenlik duvarı değişikliklerinin cihaz üzerinde uygulanma zamanları belirlenir. Acil olmayan değişiklikler bekletilerek, şirkete uygun zaman diliminde ilgili değişiklikler toplu olarak gerçekleştirilir.

Referanslar

← Tüm IT Standartları