You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

Sunet Drive

På denna sida dokumenterar vi hur Sunet Drive uppfyller MSBs riktlinjer för säkerhetsåtgärder i informationssystem för statliga myndigheter.

ParagrafMSBFS 2020:7 TextSunet DriveKommentar
Kapitel 2
2Myndigheten ska bedriva omvärldsbevakning för att underlätta identifiering och hantering av hot mot och sårbarheter i myndighetens informationssystem.Detta arbete sker kontinuerligt inom ramen för Sunet SOC för samtliga Sunet-tjänster
3Myndigheten ska genomföra riskbedömning för enskilda informationssystem och myndighetens produktionsmiljö i sin helhet.Detta arbete sker kontinuerligt inom ramen för Sunet SOC för samtliga Sunet-tjänster
4

Myndigheten ska upprätthålla uppdaterad dokumentation över

  1. hård- och mjukvara som används i varje enskilt informationssystem,
  2. beroenden mellan olika interna informationssystem respektive beroenden av informationssystem hos externa aktörer,
  3. vilka informationssystem som behandlar information som har behov av utökat skydd, och
  4. vilka informationssystem som är centrala för myndighetens förmåga att utföra sitt uppdrag.
Detta ingår i Sunet arbete med samtliga tjänster. Vissa av dessa krav handlar om värdering av skyddsvärd information som i samtliga fall ligger på kundens ansvar.
Kapitel 3
1

Myndigheten ska, vid utveckling, anskaffning eller utkontraktering av informationssystem, identifiera krav på säkerhet avseende

  1. uppdelning i nätverkssegment,
  2. filtrering av nätverkstrafik,
  3. behörigheter, digitala identiteter och autentisering,
  4. kryptering,
  5. säkerhetskonfigurering,
  6. säkerhetstester och granskningar,
  7. ändringshantering, uppgradering och uppdatering,
  8. robust och korrekt tid,
  9. säkerhetskopiering,
  10. säkerhetsloggning och tillhörande analys,
  11. övervakning av nätverkstrafik,
  12. övervakning av informationssystem inklusive säkerhetsfunktioner,
  13. skydd mot skadlig kod,
  14. skydd av utrustning,
  15. redundans och återställning,
  16. kontinuitet under fredstida krissituation samt inför och vid höjd beredskap,
  17. arkivering, och
  18. avveckling. Myndigheten ska dokumentera vilka säkerhetsåtgärder som valts för att möta respektive krav.

Alla Sunet-tjänster designas med dessa principer som utgångspunkt. Specifikt:

  • Alla tjänster designas utifrån principen "defence in depth" vilket bla betyder att brandväggar och nätverksfiltrering sker på flera nivåer i en tjänst. Sunet drive anväder både OpenStack security groups såväl som hostbrandväggar som skapas automatiskt av vårt CM-system.
  • Digitala identiteter hanteras mha integration med SAML. En gemensam redundant SAML2SAML-proxy baserad på SATOSA används för att ansluta såväl SWAMID som andra eID till tjänten.
  • Sunet Drive erbjuder access till nextcloud API (via sk API-nycklar) som kan användas för att provisionera och de-provisionera identiteter.
  • Sunet Drive har stöd för kryptering av filer. Alla hemligheter eller andra uppgifter med skyddsvärde (tex databaslösenord) lagras i krypterad form i infrastrukturen. Access sker integrerat med vårt CM-system.
  • Alla Sunet system synkroniserar tid med PTS tidsservrar.
  • Alla konfigurationsförändringar är spårbara och säkerställs via digitala signaturer i vårt CM. 
  • Säkerhetskopiering av systemets infrastruktur utom fil-data sker via Sunet BaaS.
  • Loggning sker till Sunet loggningsinfrastruktur och kan på kundens initiativ även omdirigeras till kundens eget logghanteringssystem via syslog.
  • Övervakning av nätverkstrafik och loggar sker som del av Sunets driftsarbete. Detta inkluderar hantering av DDoS-attacker.
  • Allt säkerhetsarbete i Sunet sker med fokus på förebyggande arbete. Detta inkluderar ovärldsbevakning i syfte att fånga upp och motverka aktuella attacker. Detta arbete tillämpas på samtliga Sunet-tjänster. Sunets tjänster etableras i datacenter med högsta säkerhetsklassning.
  • Deprovisionering av identiteter sker på kundens initiativ mha API.
  • Användning av netcloud inbyggda stöd för kryptering sker på initiativ från kunden.
  • Konfiguration av separat logghantering ingår inte i tjänsten. Det finns planer på att etablera en loggtjänst i Sunet. För närvarande hänvisar vi till den inbyggda logghanteringen i nextcloud.
2

Myndigheten ska, innan driftsättning och inför förändring som kan påverka säkerheten i informationssystemen,

  1. genom säkerhetstester och granskning kontrollera att valda säkerhetsåtgärder är tillräckliga för att möta identifierade krav på säkerhet, och
  2. verifiera att det finns nödvändig dokumentation för drift och förvaltning.
  • Detta arbete sker inom ramen för Sunets interna process för överlämning till Drift.

3Myndighetens arbete med utveckling och tester som kan påverka informationssäkerheten i produktionsmiljön ska ske i en från produktionsmiljön avskild del av it-miljön.
  • Sunet Drive har en separat test- och utvecklingsmiljö.

4Myndigheten ska identifiera och hantera behovet av en utbildningsmiljö som är avskild från produktionsmiljön.
  • Något behov av separat utbildningsmiljö för Sunet Drive har inte identifierats.

Kapitel 4
1Myndigheten ska förhindra spridning av incidenter och minska konsekvenser av angrepp genom att placera informationssystem med olika funktioner i separata nätverkssegment i sin produktionsmiljö.
  • I Sunet Drive implementeras detta dels genom OpenStack security groups. Se även punkten om säkerhetsarbete ovan.

2Myndigheten ska filtrera nätverkstrafiken så att endast nödvändiga dataflöden förekommer mellan olika nätverkssegment.
  • I Sunet Drive implementeras detta dels genom OpenStack security groups. Se även punkten om säkerhetsarbete ovan.

3Myndigheten ska säkerställa att endast behöriga användare och informationssystem har åtkomst till it-miljön och utforma sin behörighetshantering på ett sådant sätt att varje digital identitet inte har mer åtkomst till information och informationssystem än vad den behöver.
  • Detta krav ligger i huvusak på kundens ansvar och möjliggörs av tekniska funktioner i nextcloud.
4Digitala identiteter som ger systemadministrativ behörighet ska endast användas för systemadministration och tilldelas restriktivt.
  • Sunet delar upp ansvar för olika säkerhetskritiska administrativa åtgärder på olika grupper.

5

Flerfaktorsautentisering ska användas vid

  1. egen och inhyrd personals åtkomst till produktionsmiljön via externt nätverk,
  2. systemadministrativ åtkomst till informationssystem, och
  3. åtkomst till informationssystem som behandlar information som bedömts ha behov av utökat skydd.
  • Sunet CM-system kräver digitala signaturer med hårdvarubaserade multifator-tokens (MFA) för samtliga förändringar. Dessa förändringar spåras och valideras av samtliga ingående system.
  • Access till nextcloud kan konfigureras så att MFA alltid krävs. Det pågår arbete med att identifiera möjliga utvecklingsprojekt som gör det enklare att styra åtkomst på en mer detaljerad nivå i nextcloud baserad på sk förtroendenivåer.
  • Kunden har möjlighet att använda antingen MFA i nextcloud, via eduID eller via egen IdP.
6

Myndigheten ska ha interna regler för hantering av autentiseringsuppgifter med krav på

  1. längd och komplexitet,
  2. när byte ska ske,
  3. hur distribution ska ske, och
  4. hur autentiseringsuppgifterna ska skyddas.
  • Hantering av identiteter är i huvudsak en fråga för lärosätet eftersom Sunet Drive använder SAML för all identitetshantering.
  • Lokala konton i nextcloud används inte så systemet ska normalt inte hantera några autenticeringsuppgifter.
  • Dessa regler hanteras i huvudsak inom SWAMID och genom dokumentation av lärosätets regler för lösenords- och inloggningshantering.
7Myndigheten ska identifiera och hantera behovet av kryptering för att skydda information mot obehörig åtkomst och obehörig förändring vid överföring och lagring.
  • Sunet Drive har stöd för kryptering av filer via inbyggda funktioner i nextcloud.
  • Användning av nextcloud egna funktioner för kryptering kräver etablerade processer hos kunden för hantering och arkivering av kryptonycklar.
8Myndigheten ska använda Domain Name System Security Extensions (DNSSEC) avseende samtliga domännamn som myndigheten registrerat i domännamnssystemet (DNS).
  • Sunet Drive såväl som alla andra Sunet-zoner är signerade.

9

Myndigheten ska ha interna regler för kryptering med krav på

  1. hantering av krypteringsnycklar,
  2. godkännande och förvaltning av krypteringslösningar, och
  3. hur krypteringsalgoritmer, krypteringsprotokoll och nyckellängder ska väljas.
  • Sunet Drive har stöd för kryptering av filer via inbyggda funktioner i nextcloud.
  • Användning av nextcloud egna funktioner för kryptering kräver etablerade processer hos kunden för hantering och arkivering av kryptonycklar.
10

Myndigheten ska, för att skydda informationssystem mot obehörig åtkomst,

  1. byta ut förinställda autentiseringsuppgifter,
  2. stänga av, ta bort eller blockera systemfunktioner som inte behövs, och
  3. i övrigt anpassa konfigurationer för att uppnå avsedd säkerhet.
  • Sunet genomför periodisk genomgång av samtliga identiteter med systemåtkomst. Dessa identiteter införs och rensas från samtliga Sunet-tjänster via vårt CM-system ochdessa förändringar är därmed digitalt spårbara.
  • Hantering av identiteter i Sunet Drive är i huvudsak en fråga för lärosätet eftersom Sunet Drive använder SAML för all identitetshantering.
  • Lokala konton i nextcloud används inte så systemet ska normalt inte hantera några autenticeringsuppgifter.

  • No labels