Hloubková ochrana (výpočet) - Defense in depth (computing)

Obrana do hloubky je koncept používaný v Informační bezpečnost ve kterém je umístěno více vrstev bezpečnostních kontrol (obrany) v celém informační technologie (IT) systém. Jeho záměrem je poskytnout nadbytečnost v případě a bezpečnostní kontrola selže nebo je zneužita zranitelnost, která může pokrýt aspekty personál, procesní, technický a fyzický zabezpečení po dobu životního cyklu systému.

Pozadí

Myšlenkou přístupu v hloubkové obraně je bránit systém před konkrétním útokem pomocí několika nezávislých metod.^[1] Je to koncipovaná taktika vrstvení^{[Citace je zapotřebí ]}. podle Národní bezpečnostní agentura (NSA) jako komplexní přístup k informacím a elektronické bezpečnosti.^[2]^[3] Pojem hloubková obrana ve výpočetní technice je inspirován armádou strategie z stejný název, ale je zcela odlišný v pojetí. Vojenská strategie se točí kolem slabší perimetrové obrany a úmyslného poskytnutí prostoru k nákupu času, obálce a nakonec protiútoku protihráče, zatímco strategie zabezpečení informací jednoduše zahrnuje více vrstev kontrol, ale nikoli záměrně postupovat (srov. hrnec medu. )

Řízení

Hloubkovou obranu lze rozdělit do tří oblastí: fyzická, technická a administrativní.^[4]

Fyzické kontroly

Fyzické kontroly^[2] jsou cokoli, co fyzicky omezuje nebo znemožňuje přístup k IT systémům. Ploty, ochranné kryty, psi a kamerové systémy apod.

Technické kontroly

Technické kontroly jsou hardware nebo software, jehož účelem je chránit systémy a zdroje. Příkladem technických ovládacích prvků je šifrování disku, čtečky otisků prstů a ověřování. Technické ovládací prvky hardwaru se liší od fyzických ovládacích prvků v tom, že zabraňují přístupu k obsahu systému, ale ne samotným fyzickým systémům.

Správní kontroly

Administrativní kontroly jsou zásady a postupy organizace. Jejich účelem je zajistit, aby byly k dispozici náležité pokyny týkající se bezpečnosti a dodržování předpisů. Zahrnují věci, jako jsou postupy při najímání, postupy zpracování dat a bezpečnostní požadavky.

Běžně používané metody

Použití více než jedné z následujících vrstev představuje příklad hloubkové obrany.

Zabezpečení systému / aplikace:

Antivirový software
Ověření a Heslo bezpečnostní
Šifrování
Hashing hesla
Protokolování a audit
Vícefaktorové ověřování
Skenery zranitelnosti
Časovaná kontrola přístupu
Školení o povědomí o internetové bezpečnosti
Sandboxing
Systémy detekce narušení (IDS)

Zabezpečení sítě:

Fyzická bezpečnost:

Příklad

V následujícím scénáři je webový prohlížeč vyvinut pomocí hloubkové obrany:

vývojáři prohlížečů absolvují bezpečnostní školení
základna kódu se kontroluje automaticky pomocí nástrojů pro analýzu zabezpečení
prohlížeč je pravidelně auditován interním bezpečnostním týmem
... je občas auditován externím bezpečnostním týmem
... se provádí uvnitř karantény

Viz také

Reference

^ Schneier on Security: Zabezpečení v cloudu
^ ^A ^b Defence in Depth: Praktická strategie pro dosažení Information Assurance v dnešních vysoce propojených prostředích.
^ OWASP Wiki: Hloubková obrana^{[nespolehlivý zdroj? ]}
^ Stewart, James Michael; Chapple, Mike; Gibson, Darril (2015). CISSP (ISC) 2 Certified Information Systems Security Professional Official Study Guide.

[schneier2006-1] Schneier on Security: Zabezpečení v cloudu

[nsa1-2] A ^b Defence in Depth: Praktická strategie pro dosažení Information Assurance v dnešních vysoce propojených prostředích.

[owasp1-3] OWASP Wiki: Hloubková obrana^{[nespolehlivý zdroj? ]}

[4] Stewart, James Michael; Chapple, Mike; Gibson, Darril (2015). CISSP (ISC) 2 Certified Information Systems Security Professional Official Study Guide.

[1]

[2]

[3]

[4]