De 6 kerncompetenties van onze BIO FRIENDLY IT-diensten
IT Security
Wat doen wij voor u?
Wij bieden onze klanten alleen het allerhoogste niveau van internetbeveiliging. Wat dit onderwerp betreft, bevelen wij open source-oplossingen en op Unix gebaseerde besturingssystemen aan. We beschrijven hier alle onderdelen van de beveiliging van BIO FRIENDLY IT, en het onderwerp gegevensbeveiliging beschrijven we apart op de volgende pagina. Als uw bedrijf een van hen is, weet u heel goed dat IT-beveiliging niet uw enige zorg is. Het gaat er veeleer om te voldoen aan de talrijke compliance-eisen waaraan uw bedrijf moet voldoen.
4D Netwerk Bescherming (© Gaastra GmbH 2021)
Wij helpen u om uw dataverkeer zo goed mogelijk te identificeren, te isoleren en te beveiligen. Onze ambitie is om mogelijke toegangspoorten en achterdeuren voor malware aan uw kant zo veel mogelijk te sluiten. Wij analyseren uw dataverkeer, dat zich in 3 richtingen afspeelt: inkomend, uitgaand en binnen uw netwerk. Wij identificeren altijd de bron en de bestemming van het verkeer. Het type dataverkeer wordt bepaald door protocol en poorten. Wij maken onderscheid tussen de volgende apparaatklassen op uw terrein: Werkstationcomputers, afhankelijk van het besturingssysteem, servers, mobiele apparaten, smart home-apparaten en netwerkapparaten zoals firewalls, routers en switches.
Wij beveiligen al uw apparaten op basis van de apparaatklasse in hun eigen afzonderlijke subnetten (subnetwerken) van elkaar. Als uw subnetten niet voldoende gescheiden zijn, kan bijvoorbeeld een geïnfecteerde Windows-computer een belangrijke server lamleggen met ransomware. Daarom scheiden we je subnetten om zoiets te vermijden. Voor uw inkomend dataverkeer worden voor elk subnet alleen de absoluut noodzakelijke poorten/protocollen toegestaan. Voor uw uitgaand verkeer en voor serversubnetten staan wij alleen minimale protocollen toe voor bepaalde doelapparaten.
Als uw server volledige toegang tot het internet heeft, raden wij u aan de back-end van uw platform extra te beveiligen met een eigen toegang, hetzij via een eigen VPN-tunnel, hetzij via een eigen lijst van toegestane IP-adressen. Bovendien bieden wij hier voldoende bescherming tegen vijandige logins en DDOS-aanvallen. Wij helpen u om dit soort aanvallen zo goed mogelijk te detecteren en ze automatisch om te leiden.
Geplande Software Updates
Om een maximale veiligheid in uw gebouwen te garanderen, vinden wij updates voor al uw IT-componenten onontbeerlijk. Dit omvat consumentensoftware, serversoftware, plug-ins, firmware, drivers, besturingssysteem en BIOS-updates. Indien mogelijk, raden wij u aan automatische updates te activeren om ervoor te zorgen dat uw componenten altijd up-to-date zijn. Als automatische updates op uw systeem om stabiliteitsredenen niet zijn geactiveerd, raden wij u aan deze updates binnen een week na controle handmatig uit te voeren. De bron van uw updates moet altijd gemarkeerd zijn als Current. Als u alleen een bron hebt die niet meer wordt bijgewerkt, kunnen wij helaas geen optimale veiligheid meer garanderen. In dat geval raden wij u aan dit onderdeel te vervangen.
Betrouwbaarheid
Het is nooit uit te sluiten dat netwerken uitvallen, hardwarecomponenten defect raken of softwarefouten optreden. Daarom stellen wij als voorzorgsmaatregel voor elk onderdeel een voor u geoptimaliseerd herstelplan voor. Voor de internetverbinding in uw kantoor raden wij u aan permanent twee of meer concurrerende providerlijnen beschikbaar te hebben, bij voorkeur met verschillende technologieën, bv. glasvezel en DSL. Kritieke servers in uw kantoor, zoals firewalls, telefoonsystemen, switches en CRM/financiële servers, moeten een gesynchroniseerde hot-standby server als back-up hebben, die binnen een paar seconden automatisch het werk van de uitgevallen server overneemt.
Als alternatief voor de "hot standby server", bieden wij u aan de cloud hardware uit te rusten met zeer veel interne redundanties. Dit verkleint uw IT-voetafdruk, maar biedt nog steeds voldoende uitvalbeveiliging. Wij configureren uw servers bijvoorbeeld met twee transformatoren, zodat als één transformator uitvalt, de stroom of de transformator zelf kan uitvallen. Met een dagelijkse back-up binnen de server kunnen RAID-6 back-upschijven worden gebruikt voor het geval de belangrijkste solid-state "schijven" uitvallen. Ook raden wij altijd dubbele 10Gb glasvezelverbindingen aan met de internetbackbone op verschillende switches in het datacenter.
Onnodige software
Elke software, bibliotheek, of plug-in leidt tot een extra veiligheidsrisico. Daarom raden wij aan - zoals reeds beschreven in het onderwerp "IT-voetafdruk" - om alleen echt noodzakelijke software te gebruiken. Wij inventariseren alleen de software die nodig is voor uw bedrijf. Daarom raden wij u sterk aan om onnodige software te verwijderen.
Waarom is dit interessant voor u?
Uw voordelen zijn dat wij u helpen uw beveiliging te optimaliseren door netwerkbeveiliging, software-updates, veerkracht van uw hardware en software en door het te beperken tot noodzakelijke software. Dit alles gaat hand in hand met de andere kernelementen van onze BIO FRIENDLY IT.
Gezondheid ⇄ IT Security: WLAN biedt altijd potentiële veiligheidsleemten in vergelijking met bekabelde verbindingen (LAN), omdat radiosignalen kunnen worden onderschept & gemanipuleerd. WLAN-toegang kan buiten gebouwen dus nooit volledig worden beveiligd. WLAN, als het al wordt gebruikt, moet daarom altijd worden beveiligd binnen gesloten LAN-netwerken, elk in een OPEN quarantainenetwerk.
[Referentie: https://www.purevpn.com/blog/wifi-hacking-scty/]
Open Source ⇄ IT Security: Door het gebruik van open source software kan de veiligheid van gegevens voor grotere bedrijven worden vergroot, en wel om de volgende redenen:
- Kwaliteit geprogrammeerde broncode
- Netwerk automatiserings interfaces
- Veiligheid en compliance automatisering
- Perfecte integratie met onze Cloud 4.0
Dankzij de wereldwijde open-sourcegemeenschap worden beveiligingslekken sneller opgespoord en gedicht.
IT Security ⇄ IT-Voetafdruk: Door optimale netwerkbeveiliging, goed geplande software-updates en doordachte veerkracht gaan we ervan uit dat uw personeel en IT-infrastructuur over de hele linie minder worden belast. Minder hackeraanvallen en hardware- en softwareherstel betekenen ook minder stroomverbruik.
Minder benodigde software en hardware heeft voordelen voor de beveiliging, want elke overbodige component die wordt verwijderd - of vereenvoudiging van uw IT-infrastructuur - betekent ook telkens één veiligheidsrisico minder.
IT Security ⇄ Privacy: IT Security
en Privacy
gaan niet alleen hand in hand, maar zijn onderling afhankelijk. Bij andere IT-dienstverleners worden deze termen soms per vergissing
gecombineerd. Wij onderscheiden hier alle veiligheidsaspecten die rechtstreeks verband houden met gegevens
als Privacy
. Onder de ruimere term IT Security
gaat het om de bescherming van de technische verwerking van informatie. Het gaat in de eerste plaats om de foutloze werking en de betrouwbaarheid van uw IT-systemen. Referentie: Dr. Datenschutz
Onafhankelijkheid ⇄ IT Security: Meer onafhankelijkheid van derde partijen en investeerders stelt ons in staat uw IT-beveiliging naar eigen inzicht in te richten. Wij zijn niet beperkt tot alleen preset
oplossingen. Minder partnerschappen met derde partijen betekent natuurlijk ook minder kans op inbreuken op de beveiliging.
Hoe doen we dat? Onze eigen BIO-certificering
4D Netwerk Bescherming (© Gaastra GmbH 2021)
Elk type verkeer moet zo goed mogelijk worden geïdentificeerd, geïsoleerd en beveiligd. Onze ambitie is om gescheiden subnetwerken te creëren, om alle toegangspoorten en achterdeuren zoveel mogelijk te sluiten. Wij proberen dit te doen op basis van de volgende belangrijke onderscheidingen. Dataverkeer kan in 3 richtingen gaan: inkomend, uitgaand en binnen het netwerk. Wij identificeren altijd de bron en de bestemming van het verkeer. Het type dataverkeer wordt bepaald door protocol en poorten. Alle apparaten van het netwerk worden beschouwd als deelnemers, waarbij wij de volgende apparaatklassen onderscheiden: Computers (afhankelijk van het besturingssysteem), servers, mobiele apparaten, smart home-apparaten en netwerkapparaten zoals firewalls, routers en switches.
- BIO SN SUB Cl 1 OK: Alle apparaten van dezelfde apparaatklasse zijn van elkaar afgeschermd in hun eigen afzonderlijke subnetten (subnetwerken).
- BIO SN SUB Cl 2 FAIL: Subnetten zijn niet voldoende gescheiden, bijv. een geïnfecteerde Windows-computer bevindt zich in hetzelfde netwerk als een server en kan deze server derhalve lamleggen met ransomware.
- BIO SN INC Cl 1 OK: Inkomend verkeer: voor elk subnet zijn alleen de absoluut noodzakelijke poorten/protocollen toegestaan, bijv. voor WebServer alleen SSL via poort 443 en voor beheer alleen poort 22/SSH van een VPN-tunnelsubnet.
- BIO SN INC Cl 2 FAIL: Onnodige poorten/protocollen staan open met zeer verstrekkende risico's.
- BIO SN OUT Cl 1 OK: Voor uitgaand verkeer en voor serversubnetten: alleen minimale protocollen zijn toegestaan voor bepaalde doelapparaten, bijv. alleen SSL naar relevante updateservers om software bij te werken. Anders zijn alle mogelijke achterdeuren afgesloten.
- BIO SN OUT Cl 2 FAIL: De server heeft volledige toegang tot internet.
- BIO SN OUT Cl 1 OK: Voor uitgaand gegevensverkeer en voor serversubnetten geldt het volgende: voor bepaalde doelapparaten zijn alleen minimale protocollen toegestaan, bijvoorbeeld alleen SSL naar relevante updateservers om software bij te werken. Anders zijn alle mogelijke achterdeuren afgesloten.
- BIO SN OUT Cl 2 FAIL: De server heeft volledige toegang tot internet.
- BIO INC443 BACK Cl1 OK: Zelfs als inkomend SSL-verkeer voor het hele internet is toegestaan, beveiligen we bovendien het back-end van een platform met een eigen toegang, hetzij via een eigen VPN-tunnel of via een eigen lijst met toegestane IP-adressen.
- BIO INC443 BACK Cl2 FAIL: De back-end is overal toegankelijk.
.
- BIO ICN443 DDOS Cl 1 OK: Er is voldoende bescherming tegen vijandige aanmeldingen en DDOS-aanvallen. Deze worden gedetecteerd en automatisch doorgestuurd om de server te beschermen.
- BIO INC443 DDOS Cl 2 FAIL: Aanvallen van dit type worden niet afdoende geïdentificeerd en omgeleid.
Geplande Software Updates
Software-updates kunnen leiden tot een conflict tussen stabiliteit en veiligheid. Nieuwere, bijgewerkte software dekt meestal meer veiligheidsleemten, maar alleen ten koste van een verminderde stabiliteit. Relevantie doet zich vooral voor in het geval van kritieke leemten in de beveiliging. Om maximale veiligheid te garanderen, vinden wij actuele updates voor alle IT-componenten onontbeerlijk. Dit geldt voor eindgebruikerssoftware, serversoftware, plug-ins, firmware, stuurprogramma's, besturingssysteem- of BIOS-updates. Het volgende geldt voor alle onderdelen:
- BIO SU AUTO Cl 1 OK: Automatische updates zijn geactiveerd. Dit is de enige manier om deze component altijd up to date te houden.
- BIO SU AUTO Cl 2 WEEK OK: Automatische updates zijn mogelijk, maar worden om stabiliteitsredenen niet geactiveerd. Niettemin worden deze updates, na controle, binnen een week handmatig uitgevoerd.
- BIO SU AUTO Cl 3 FAIL: Automatische updates zijn niet ingeschakeld en zullen niet worden uitgevoerd.
- BIO SU MAN Cl 1 OK: Nieuwe updates worden maandelijks gecontroleerd en vervolgens - na optionele verificatie - binnen een week doorgevoerd.
- BIO SU MAN Cl 2 HALT OK: Voor bepaalde onderdelen vinden geen updates plaats als ze momenteel niet nodig zijn. Voor het volgende gebruik moet echter een update worden uitgevoerd.
- BIO SU MAN Cl 3 FAIL: Handmatige updates voor een bepaald onderdeel worden niet uitgevoerd, hoewel het in gebruik is.
- BIO SU SOURCE Cl 1 OK: De bron van de updates is up-to-date en gemarkeerd als huidige "Stable Branch".
- BIO SU SOURCE Cl 2 FAIL: Er wordt een "Old Stable Branch" gebruikt of de bron wordt niet langer bijgewerkt omdat deze de status "End Of Life" heeft bereikt.
Betrouwbaarheid
In geval van netwerk-, hardware- of softwareschade stellen wij voor elke server en elk werkapparaat een geoptimaliseerd herstelplan voor. Het kan nooit worden uitgesloten dat netwerken uitvallen, hardwarecomponenten defect raken of softwarefouten optreden. Daarom is het belangrijk om voorzorgsmaatregelen te nemen.
- BIO SC WAN Cl 1 OK: Twee of meer concurrerende providerlijnen zijn permanent beschikbaar voor internetverbinding, nog beter met verschillende technologieën, bijv. glasvezel en DSL.
- BIO SC WAN Cl 2 FAIL: In hun kantoor is ofwel slechts één lijn of zijn meerdere lijnen van dezelfde provider beschikbaar.
- BIO SC CRIT Cl 1 OK: Kritieke servers, zoals firewalls, telefoonsystemen, switches en CRM/financiële servers, hebben een hot stand-by server die binnen enkele seconden automatisch zorgt voor regelmatige gegevenssynchronisatie en storingscontroles.
- BIO SC CRIT Cl 2 HW OK: Zelfs zonder hot stand-by blijft de server bijzonder goed beveiligd door redundanties in de voeding, SSD's, harde schijven en netwerkverbinding.
- BIO SC CRIT Cl 3 FAIL: Een defect leidt tot uitvaltijd. Wachttijden moeten worden aanvaard tot vervangende hardware wordt geleverd. De apparaten moeten opnieuw worden aangesloten en de software moet opnieuw worden geïnstalleerd.
- BIO SC NON-CRIT Cl1 OK: Ter compensatie van het uitvallen van niet-kritieke hardware wordt een back-up in de vorm van een kloon (replicatie) aanbevolen. In sommige gevallen is het handig om een configuratiebestand te maken voor snel herstel. Een vervangingsplan voor hardware kan worden gebruikt om snel nieuwe hardware aan te schaffen.
- BIO SC NON-CRIT Cl1 FAIL: Er gaat veel tijd verloren bij het herstellen van gegevens zonder een back-up of vervangingsplan voor de hardware.
Als alternatief voor de "hot standby server", bieden wij u aan de cloud hardware uit te rusten met zeer veel interne redundanties. Dit verkleint uw IT-voetafdruk, maar biedt toch voldoende veerkracht. Wij configureren de servers bijvoorbeeld met twee transformatoren, zodat als één transformator uitvalt, de stroom of de transformator zelf kan uitvallen. Met een dagelijkse back-up binnen de server kunnen RAID-6 back-upschijven worden gebruikt voor het geval de belangrijkste solid-state "schijven" uitvallen. Ook raden wij altijd dubbele 10Gb glasvezelverbindingen aan met de internetbackbone op verschillende switches in het datacenter.
Onnodige software
Elke software, bibliotheek, of plug-in leidt tot een extra veiligheidsrisico. Daarom raden wij aan - zoals reeds beschreven in het onderwerp "IT-voetafdruk" - om alleen echt noodzakelijke software te gebruiken. We inventariseren alleen noodzakelijke software.
- BIO SSW Cl1 OK: De software die nodig is voor uw operatie.
- BIO SSW Cl2 FAIL: De software is onnodig en moet dringend worden verwijderd.