Betriebssystem
Welches Betriebssystem ist im Einsatz und warum?
Als Betriebssystem werden Long Term Support (LTS)-Versionen von Ubuntu Server eingesetzt.
LTS-Versionen werden vom Hersteller Canonical für 5 Jahre unterstützt und bekommen regelmäßige Security-Updates, welche automatisch auf den Systemen eingespielt werden.
Im Gegensatz zu anderen Betriebssystemen erhalten wir durch Ubuntu LTS-Versionen einen langen Supportzeitraum, behalten aber die Möglichkeit, Dienste (wie Datenbanken oder Webserver) in einer Version zu erhalten, welche von den meisten Atlassian-Produkten unterstützt wird.
Es wird immer die aktuellste LTS-Version eingesetzt, sofern diese bereits mit den aktuellen Atlassian-Produkten kompatibel ist.
Grundkonfiguration anhand unseres Config Managements
Durch unser Config Management können wir sicherstellen, dass auf jedem System verschiedene Anpassungen gemacht werden, welche das Sicherheitsniveau weiter erhöhen:
- Löschen des "ubuntu"-Benutzers, welcher auf allen Ubuntu-Systemen vorinstalliert ist, über welchen man ohne großen Aufwand Zugriff auf das System bekommt, da das Passwort des Benutzers im Regelfall ein Standard-Passwort des Herstellers ist.
- Automatisches Generieren und Setzen eines geheimen Passwortes des "root"-Benutzers. Dieses ist somit auf allen Systemen unterschiedlich und kann nur von Systemadministratoren mithilfe eines geheimen Schlüssels entschlüsselt werden. Dieser Schlüssel wird in einem jährlichen Turnus neu generiert. Dadurch können wir erzwingen, dass sich auch das Passwort des root-Benutzers jährlich ändert.
- Automatisches Löschen von Accounts ehemaliger Mitarbeiter im Zuge eines standardisierten Offboarding-Prozesses
Zusätzlich zu diesen Sicherheitsvorkehrungen können wir mithilfe unseres Config Managements eine standardisierte Konfiguration für Backups, Monitoring und Dienste wie Logrotate bereitstellen.
Um die Integrität dieser Konfigurationen zu gewährleisten, werden alle Änderungen von mindestens einem weiteren Mitarbeiter geprüft und revisionssicher in einem Versionskontrollsystem gespeichert.
Getrennte Netze, VPN
Vernetzung unserer Standorte
Um den sicheren Netzwerk-Verkehr zwischen unseren Standorten zu gewährleisten, befinden sich an jedem Standort Systeme, welche verschlüsselte IPSec-Verbindungen zu anderen Standorten von //SEIBERT/MEDIA aufbauen. Hierbei werden folgende Verfahren zur sicheren Datenübertragung benutzt:
- IKEv2
- Verschlüsselung: AES256
- Hashing: SHA256
- DHGroup: 16 (modp4096)
Sowohl eingehende, als auch ausgehende Verbindungen aller Systeme zu anderen Standorten werden somit durch ein gesichertes Netzwerk von verschiedenen Routern und VPN-Knoten geführt.
Mitarbeiter-VPN
Jeder Mitarbeiter benötigt einen VPN-Zugang um Systeme in unserer Infrastruktur zu erreichen. Dabei bekommt jeder Mitarbeiter im Zuge des Onboardings ein generiertes, auf ihn zugeschnittenes Zertifikat. Dieses Zertifikat ist nur ein Jahr gültig und muss danach neu generiert werden.
Das aktuelle Zertifikat kann jedoch jederzeit von Mitarbeitern der IT widerrufen werden. Dies passiert automatisch, sollte der Mitarbeiter das Unternehmen verlassen.
Zusätzlich bekommt jeder Mitarbeiter bei der Einwahl in das VPN eine eindeutige IP-Addresse, mit welcher er innerhalb des Netzwerks identifiziert werden kann.
Hosting bei //SEIBERT/MEDIA
Um die Systeme vor unbefugtem Zugriff zu schützen, besitzen alle bei //SEIBERT/MEDIA gehosteten Maschinen zwei Netzwerkschnittstellen.
- Dabei hat die Schnittstelle eine IP-Adresse in einem privaten Netz, welches nur durch unsere Infrastruktur erreicht werden kann.
- Die zweite Schnittstelle hat eine öffentliche IP-Adresse, über die ausschließlich z.B. der Webserver verfügbar ist.
On-Premise Hosting
Systeme, welche beim Kunden gehostet werden, sind im Regelfall (sofern nicht anders mit dem Kunden abgesprochen) über eine dedizierte Site2Site-Verbindung an unsere Infrastruktur angeschlossen. Dadurch muss der Kunde das System nicht öffentlich im Internet verfügbar machen und kann den Zugriff auf die Systeme auf Mitarbeiter von //SEIBERT/MEDIA beschränken.
Die Mitarbeiter von //SEIBERT/MEDIA werden erst durch explizite Freischaltung durch die interne IT und in Absprache mit dem Projektmanager autorisiert, auf die Kundensysteme zuzugreifen. Hierbei werden Listen mit Zugriffsberechtigungen gepflegt und bei etwaigem Verlassen eines Mitarbeiters angepasst, sowie die Rechte des Mitarbeiters entzogen.
Sollte es aus diversen Gründen nicht möglich sein, eine Site2Site-Verbindung mit dem Kunden aufzubauen, so besteht die Möglichkeit, dass der Kunde das System auf die IP-Adressen von //SEIBERT/MEDIA beschränkt.
Remote-Wartungen
SSH
Grundsätzlich kann jedes System durch die Secure Shell (SSH) von allen Systemadministratoren erreicht werden. Dafür benötigen die einzelnen Mitarbeiter jeweils eine eigenes Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel, sowie einen eigenen Benutzer auf der Maschine.
Zusätzlich wird jeder eingegebene Befehl in einem Log gespeichert, um nach etwaigen Ausfällen analysieren zu können, wann welcher Mitarbeiter Änderungen vorgenommen hat.
Firewall
Zusätzlich zu den Maßnahmen der getrennten Netze läuft auf jedem System eine iptables-Firewall um die ein- und ausgehenden Verbindungen noch granularer zu filtern.
Darunter zählen:
- Nur SSH-Verbindungen erlauben, welche von per VPN authentifizierten Mitarbeiter-Rechnern kommen
- Monitoring-Dienste sind nur für die entsprechenden Monitoring-Systeme über das interne Netzwerk zugänglich
- Alle nicht explizit über das Config Management freigeschalteten Ports werden geblockt
TLS-Verschlüsselung des Webservers
Sofern es nicht ausdrücklich anders vom Kunden gewünscht ist, werden alle Webserver mit TLS betrieben. Dabei legen wir Wert darauf, immer aktuelle Cipher Suiten zu benutzen.
Dem Kunden ist freigestellt, ob er //SEIBERT/MEDIA das bereits vorhandene SSL-Zertifikat und den privaten Schlüssel anvertraut, oder die SSL-Zertifikate über Let's Encrypt automatisch auf dem System generiert und erneuert werden.