Intensificação da segurança

Embora o software dos sistemas Stratus ztC Edge proporcione de forma imediata uma experiência segura, é possível implementar outras configurações conforme a descrição a seguir, garantindo o mais alto nível de segurança.

A segurança costuma ser um meio termo entre a proteção e a facilidade de uso. Os sistemas ztC Edge são enviados com um conjunto de configurações padrão que equilibram esses fatores. Para garantir uma abordagem mais segura, adote as diretrizes a seguir e continue a avaliar a segurança do sistema ao longo de sua vida útil, desde o planejamento e a configuração até o funcionamento e a desmobilização.

As informações abaixo fornecem orientações sobre a intensificação da segurança, com base na versão 7.1 de Controles CIS, que reúne recomendações para a intensificação da segurança criadas pela Central de Segurança da Internet (CIS), uma organização comunitária sem fins lucrativos que publica melhores práticas para proteger sistemas e dados de TI, pelas quais é reconhecida. Os Padrões da CIS também são usados para validar e criar uma referência para um produto seguro. Uma lista de controles CIS está enumerada abaixo, em Melhores práticas e padrões das organizações de normalização.

As informações abaixo também fornecem orientações sobre a intensificação da segurança, com base no padrão ISA/IEC 62443 de cibersegurança de sistemas de controle industrial, originalmente criado pela Sociedade Internacional de Automação (ISA), continuando a ser desenvolvido pela Comissão Eletrotécnica Internacional (IEC). O padrão ISA/IEC 62443-4-2 tem níveis variáveis de segurança, com base na confidencialidade dos dados ou no adversário de ameaça pretendida e, ao implementar as recomendações e aplicar os controles atenuantes, auxilia a cumprir o nível de segurança necessário. Um resumo dos requisitos ISA/IEC 62443-4-2 está listado abaixo, em Melhores práticas e padrões das organizações de normalização.

Este tópico da ajuda contém as seguintes seções:

Diretrizes de segurança
Diretrizes avançadas de segurança
Melhores práticas e padrões das organizações de normalização

Diretrizes de segurança

As seções a seguir descrevem as diretrizes de segurança para sistemas ztC Edge.

Observação: A Stratus testou e aprova as seguintes diretrizes. Qualquer outra atualização ou modificação que não for claramente aprovada pela Stratus poderá afetar o funcionamento normal do sistema.
Caso você tenha qualquer dúvida sobre essas diretrizes e o sistema esteja coberto por um contrato de serviço, entre em contato com o seu representante de serviços da Stratus autorizado para obter ajuda. Para obter informações, consulte página de Assistência técnica do ztC Edge em https://www.stratus.com/services-support/customer-support/?tab=ztcedge

Ao implementar as diretrizes de intensificação da segurança, leve em conta os seguintes fatores:

As diretrizes de segurança se referem a tarefas administrativas executadas no Console do ztC Edge e no sistema operacional host. O Console do ztC Edge é uma interface com base em navegador que permite monitorar e gerenciar a maior parte dos aspectos do sistema ztC Edge a partir de um computador de gerenciamento remoto (consulte O Console do ztC Edge). O sistema operacional host está sendo executado em cada nó do sistema. É possível acessar localmente a linha de comando do sistema operacional host, no console físico da MF, ou remotamente, usando o cliente SSH (consulte Acesso ao sistema operacional host).
Antes de efetuar qualquer mudança nas configurações, registre as configurações atuais, para que possam ser restauradas em caso de necessidade. Registre também quaisquer modificações que estiver fazendo, na eventualidade de necessitar das informações para a resolução de problemas.
Ao alterar as configurações do sistema padrão, especialmente no sistema operacional host, faça as alterações em ambos os nós, para evitar discrepâncias que possam afetar o funcionamento normal do sistema. Do mesmo modo, ao alterar a senha raiz e outras configurações de conta de usuário do sistema operacional host, será necessário fazê-la em ambos os nós. As diretrizes abaixo indicam quando estas alterações serão necessárias.
Ao atualizar o software do sistema ou substituir um nó do sistema, é possível que nem todas as modificações relacionadas à intensificação da segurança do sistema sejam transmitidas. Do mesmo modo, como algumas configurações são compartilhadas pelos nós, é possível que os recursos compartilhados apresentem conflitos. Portanto, após concluir esses procedimentos, certifique-se de que cada nó do sistema tenha as configurações corretas e que o sistema esteja funcionando adequadamente.
Em alguns casos, as diretrizes de segurança fazem referência direta a artigos da base de conhecimento (por exemplo: KB-nnnn) com mais informações sobre a configuração de sistemas ztC Edge e o software Stratus Redundant Linux. É possível acessar o Stratus Customer Service Portal e a base de conhecimento usando as suas credenciais já existentes do portal de serviços ou criando uma nova conta de usuário, conforme a descrição em Acesso aos artigos da base de conhecimento.

Portas e protocolos

Qualquer administrador que fizer alterações ao sistema que afetem a rede ou as comunicações deverá ter pleno conhecimento sobre as portas e protocolos utilizados pelo Stratus Redundant Linux. Para obter mais detalhes, consulte KB-9357.

Segmentação de redes

Conecte o sistema ztC Edge apenas a redes com dispositivos confiáveis, ou a redes nas quais os dispositivos exijam permissões claras para se comunicarem uns com os outros. Para obter mais informações sobre a segmentação de redes, consulte as publicações especiais do NIST (Instituto Nacional de Padrões e Tecnologia norte-americano): 800-125B e 800-39. Para obter informações sobre quais redes Ethernet estão disponíveis nos sistemas ztC Edge, consulte Arquitetura de rede.

Tabelas de IP/firewall

Ative a filtragem de pacotes de tabelas de IP no sistema e bloqueie todas as portas que não forem utilizadas no funcionamento normal. Pessoas mal intencionadas podem se valer de uma potencial vulnerabilidade de segurança em uma interface não utilizada, usando-a como ponto de acesso dissimulado. Limite a exposição, ativando as tabelas IP de portas não utilizadas.

Para obter mais detalhes sobre como implementar as tabelas IP, consulte Gerenciamento do IPtables.

Observações:

O protocolo ICMP é utilizado para efetuar o ping dentro do sistema ztC Edge. Caso você configure as tabelas IP para cancelar o tráfego ICMP, nem a tolerância a falhas nem o apoio à transferência automática por falha funcionará adequadamente.
O protocolo SSH é utilizado para efetuar a conexão com o sistema operacional host. Caso você configure as tabelas IP para que bloqueiem o tráfego SSH, os administradores do sistema não conseguirão acessar o sistema operacional host.

Criação de contas de usuários

Crie uma conta individual para cada usuário autorizado a acessar o sistema e leve em conta a função do usuário no uso do dispositivo. A manutenção de contas de usuários individuais também garante a realização de auditorias e ausência de repúdio, já que o exame de registros pode determinar qual usuário acessou o dispositivo ou efetuou alterações nas configurações.

Para obter mais detalhes sobre como configurar os ajustes de usuários, consulte Configuração de usuários e grupos.

Observações:

Não é possível excluir a conta padrão admin, embora você deva alterar o seu nome e a sua senha, editando as configurações da conta.
Deve ser especificado um endereço de e-mail para cada conta de usuário, inclusive admin, a fim de ativar o recurso de senha esquecida. Além disso, você deverá ativar o servidor de e-mail, conforme a descrição em Configuração do servidor de e-mail. Caso contrário, o sistema não poderá enviar e-mails de redefinição de senhas.

Criação de senhas

É necessário alterar as senhas padrão do sistema.

Durante a implantação, o Console do ztC Edge solicitará uma nova senha admin. A política de senhas do Console do ztC Edge exige que a senha cumpra as seguintes condições:

O seu tamanho mínimo é de oito caracteres.
Ela deve conter caracteres maiúsculos e minúsculos.
Ela não pode ser idêntica ao nome de usuário.

O sistema operacional host solicitará uma nova senha root na primeira vez em que for acessado. Ao modificar a senha root do sistema operacional host, será necessário alterá-la manualmente em ambos os nós. Para obter mais detalhes, consulte Acesso ao sistema operacional host.

Observação: Ao alterar a senha raiz do sistema operacional host, certifique-se de não esquecê-la, porque a única maneira de recuperar uma senha raiz perdida consiste em substituir ou reinstalar os nós.

Para obter mais informações sobre como controlar a qualidade das senhas no sistema operacional host, consulte Diretrizes avançadas de segurança.

Privilégio mínimo

Limite o acesso de cada usuário a recursos compatíveis com a sua posição ou função.

A implementação do privilégio mínimo impede que um usuário sem privilégios acesse os serviços acima do seu nível funcional.

Para obter mais detalhes sobre como configurar as funções que definem os privilégios de cada usuário, consulte Configuração de usuários e grupos.

Active Directory

A integração com o Active Directory apresenta um único ponto para a autenticação e autorização centralizada. Com o Active Directory, é possível criar políticas de grupos para complexidade de senhas, implementadas com base na sua política de segurança local.

Para obter detalhes sobre como adicionar um sistema ztC Edge a um domínio do Active Directory, consulte Configuração do Active Directory.

Sincronização temporal

A sincronização temporal é importante, pois proporciona um ponto centralizado de referência, garantindo que a operação e os processos de segurança funcionem simultaneamente. A referência temporal confere confiança aos horários de verificação e de uso, ao atualizar os aplicativos e garante que as chaves e os certificados ainda estejam válidos, com base no horário e na data.

Ao acessar um sistema ztC Edge pela primeira vez, ative o serviço Network Time Protocol (NTP) para ajustar o relógio do sistema automaticamente. Configure o NTP de modo que ele faça referência a um servidor NTP conhecido e confiável. Para obter detalhes, consulte Configuração de data e hora.

Observação: Utilize apenas o Console do ztC Edge para ajustar adequadamente as configurações de NTP; não configure-as manualmente no sistema operacional host.

Conexões seguras

Como padrão, o Console do ztC Edge está configurado para apoiar apenas conexões seguras com o protocolo HTTPS.

A ativação do HTTPS no sistema ztC Edge impede ataques comuns de segurança na Web, proporcionando um nível de sigilo em cada sessão da Web. O HTTPS criptografa o tráfego das sessões da Web, proporciona integridade dos dados e aumenta a segurança geral o tráfego da Web.

Quando o HTTPS estiver ativo, ele apoiará apenas TLSv1.2, que é a suíte de criptografia mais robusta recomendada. As cifras incluem:

TLSv1.2:
cifras:
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 4096) - A
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 4096) - A
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 4096) - A
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 4096) - A
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 4096) - A
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 4096) - A
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 4096) - A
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 4096) - A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A

Além disso, ao usar um servidor de e-mail ou outros tipos de software de servidores, ative as conexões seguras e criptografadas. Para obter mais informações sobre a configuração e ativação de uma conexão criptografada do servidor de e-mail de um sistema ztC Edge, consulte Configuração do servidor de e-mail.

Atualização do certificado SSL

O sistema ztC Edge é enviado com um certificado SSL autoassinado, que poderá ser atualizado para qualquer certificado comprado ou fornecido. A alteração do certificado SSL permite a atualização da raiz de confiabilidade conforme as especificações do cliente. Para obter mais detalhes, consulte KB-9792.

Configurações de SNMP

O protocolo de gestão simples de redes (SNMP) é um padrão para recebimento de alarmes, envio de interceptações e monitoramento do status do sistema. O SNMP se baseia em informações definidoras de sistema que são armazenadas em bases informacionais de gestão (MIBs) configuradas hierarquicamente.

Por motivos de segurança, é possível que um cliente queira desativar o SNMP no nível host dos sistemas ztC Edge. Se for necessário, desative todas as conexões SNMP, adicionando regras ao IPtables (consulte Gerenciamento do IPtables) para bloquear as portas UDP 162, 161 e 199, e as portas TCP 162 e 199.

Como alternativa, utilize a configuração SNMP Restrito, que desativa as versões 1 e 2 do SNMP nos arquivos de configuração do SNMP e configura apenas a versão 3 do SNMP. Para obter detalhes, consulte Configuração do SNMP.

Observação: Como padrão, os sistemas ztC Edge são enviados com as versões 1 e 2 do SNMP ativadas. Por motivos de segurança, estas versões devem ser desativadas, sendo que apenas a versão 3 deve ser ativada.

Backups

É importante dispor de backups, caso ocorra um evento ligado à segurança. É possível restituir um estado adequado de uma unidade, garantindo o seu funcionamento contínuo. Qualquer backup efetuado deverá ser armazenado em um local seguro.

Para efetuar o backup de um MV e do respectivo sistema operacional convidado, consulte Exportação de uma máquina virtual. Para restaurar a MV idêntica com o mesmo UUID SMBIOS, número de série do sistema e endereços MAC que a MV original, consulte Substituição/restauração de uma máquina virtual a partir de um arquivo OVF.

Para fazer backup das preferências do sistema ztC Edge que tiverem sido configuradas na página Preferências, salve as configurações em um dispositivo de armazenamento local ou na nuvem. Para obter mais detalhes, consulte Salvamento e restauração das preferências do sistema.

Em sistemas redundantes com dois nós ztC Edge, cada nó também atua como um backup do outro nó. Caso um nó apresente falha, é possível substituir um nó de um sistema licenciado. O sistema restaurará automaticamente o nó com uma cópia exata do software do Stratus Redundant Linux e com as máquinas virtuais do nó que estiver em execução.

Recuperação automatizada de site local

Uma configuração de recuperação automatizada de site local (ALSR) conecta duas máquinas físicas situadas em dois locais diferentes. Ela é uma implementação tolerante a desastres que mantém a redundância do hardware, assim como de salas físicas de computadores e dos edifícios onde estas estão localizadas. Por causa da distância geográfica, a configuração ALSR requer um planejamento cuidadoso do posicionamento dos componentes e topologias de rede mais complexas. Nas configurações ALSR, a Stratus recomenda veementemente o uso do serviço de quórum porque uma configuração ALSR expõe as redes A-Link a outros possíveis cenários de falhas. As configurações ALSR não estão disponíveis nos sistemas configurados com um nó.

Para obter mais detalhes, consulte Criação de uma configuração ALSR.

Auditorias

Implemente as auditorias mediante uma norma local, que colete com frequência e gerencie os registros de eventos necessários à detecção, compreensão e recuperação de um ataque cibernético.

A página Registros de auditoria exibe um registro das atividades dos usuários no Console do ztC Edge. Para abrir essa página, clique em Registros de auditoria, no painel de navegação à esquerda. (Para exibir informações sobre os eventos do sistema ztC Edge, consulte A página Histórico de alertas.)

As informações sobre os registros contêm:

Hora — a data e hora da ação.
Nome de usuário — o nome do usuário que iniciou a ação.
Host de origem — o endereço IP do host no qual o Console do ztC Edge estava sendo executado.
Ação — a ação efetuada no Console do ztC Edge.

Também é possível exibir as informações sobre os registros de auditoria, usando snmptable (para obter mais detalhes, consulte Obtenção das informações do sistema com snmptable).

Use os registros para monitorar de forma contínua o sistema ztC Edge. Para garantir a presteza do serviço na eventualidade de uma chamada de serviço, ative também o suporte às notificações e os relatórios periódicos, para que o sistema mantenha a Stratus informada sobre a integridade deste. Para obter mais detalhes, consulte Configuração da assistência técnica remota.

Aviso na faixa de início de sessão

Configure o aviso na faixa de início de sessão, de forma a incluir notificações importantes aos usuários do Console do ztC Edge. Para obter mais detalhes, consulte Configuração da faixa de início de sessão.

Atualizações

Efetue atualizações Stratus Redundant Linux frequentes, para evitar que vulnerabilidades na segurança sejam exploradas devido a componentes desatualizados. Consulte as políticas de segurança local para se informar sobre a frequência e os métodos.

Cuidado: Não atualize o sistema operacional host CentOS do sistema ztC Edge a partir de nenhuma outra fonte, exceto a Stratus. Use apenas a versão do CentOS que foi instalada com o software do Stratus Redundant Linux.

A página Kits de atualização do Console do ztC Edge permite carregar e gerenciar kits de atualização utilizados para atualizar o sistema para novas versões do software Stratus Redundant Linux. Um kit de atualização também pode ser copiado para uma mídia USB, a fim de utilizá-la ao reinstalar o software.

Para abrir a página Kits de atualização, clique em Kits de atualização, no painel de navegação à esquerda do Console do ztC Edge.

Para obter informações sobre como atualizar o software do Stratus Redundant Linux, consulte Atualização do software do Stratus Redundant Linux usando um kit de atualização. Para obter informações sobre como criar uma mídia USB, consulte Criação de uma mídia USB com o software do sistema.

Segurança física

Instale cada sistema ztC Edge em um local seguro, para impedir que usuários mal-intencionados acessem os nós.

Proteja cada local com um sistema auditável, para identificar quais funcionários entraram na área e usuários mal intencionados.

A segurança física é um importante fator adicional para a detectar violações e alertar qualquer dispositivo, inclusive os nós do ztC Edge.

Diretrizes avançadas de segurança

As seções a seguir descrevem diretrizes avançadas de segurança para os sistemas ztC Edge.

Recomendações quanto à qualidade das senhas

Ao definir senhas, as recomendações incluem:

configuração do tamanho de senha, com pelo menos oito caracteres, preenchendo obrigatoriamente três de quatro das seguintes características: uma letra maiúscula, uma letra minúscula, um algarismo e um caractere especial.
obrigatoriedade de que os usuários reconfigurem as senhas com frequência, como a cada 30, 60 ou 90 dias, por exemplo. Também é possível proibir a reutilização de senhas por um histórico de atualizações de senhas variável.

Para atualizar manualmente as configurações de qualidade de senhas no sistema operacional host

Observação: Aplique as configurações de qualidade de senhas em ambos os nós do sistema.

Acesse o sistema operacional host, conforme a descrição em Acesso ao sistema operacional host.
Abra o arquivo /etc/pam.d/system-auth com um editor de texto.
Modifique o módulo pam_pwquality.so com as configurações adequadas. Por exemplo: utilize configurações semelhantes às seguintes:

password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

O exemplo anterior define os seguintes valores:

minlen=8 define o tamanho mínimo da senha como sendo oito caracteres.

lcredit=-1 define o número mínimo de letras minúsculas de uma senha como sendo um.

ucredit=-1 define o número mínimo de letras maiúsculas de uma senha como sendo um.

dcredit=-1 define o número mínimo de algarismos de uma senha como sendo um.

ocredit=-1 define como um o número mínimo de outros símbolos em uma senha, como @, #, ! $ %.

enforce_for_root garante que mesmo se o usuário principal estiver configurando a senha, as normas de complexidade deverão ser obedecidas.
Para restringir o histórico de senhas, adicione ou modifique o módulo pam_pwhistory.so com as configurações adequadas. Por exemplo, usando configurações semelhantes às seguintes:

password requisite pam_pwhistory.so debug use_authtok remember=10 retry=3
Salve o arquivo /etc/pam.d/system-auth.

Para obter mais informações sobre as normas de senhas no sistema operacional host, consulte a documentação do CentOS:

https://wiki.centos.org/HowTos/OS_Protection#Password_Policies

Gerenciamento de usuários simultâneos

Monitore continuamente os registros de auditoria, para examinar quais usuários iniciaram sessão na máquina e se ainda estão ativos.

Identifique os usuários que estão operando no sistema, para legitimar e efetuar auditorias sobre o seu uso.

Antivírus

Efetue uma análise contínua na rede para antivírus ou detectar malware.

O sistema de detecção de intrusões da rede suplementa a capacidade do ztC Edge de apoiar a verificação da operação pretendida das funções de segurança. O sistema de detecção deve buscar tráfego anômalo na rede e exigir investigações para validar qualquer intenção maliciosa.

Restrições de acesso SSH

Diversos parâmetros /etc/ssh/sshd_config limitam quais usuários e grupos podem acessar o sistema por meio de SSH. Caso o arquivo não apresente nenhum dos seguintes parâmetros, edite-o, configurando um ou mais parâmetros a fim de que limitem o acesso:

AllowUsers

O parâmetro AllowUsers fornece ao administrador do sistema a opção de permitir que determinados usuários utilizem SSH para acessar o sistema. A lista consiste em nomes de usuários separados por espaços. Esse parâmetro não reconhece identificações numéricas de usuários. Para restringir ainda mais o acesso de usuários ao permitir apenas que os usuários permitidos acessem um host, a entrada poderá ser especificada no formato usuário@host.

AllowGroups

O parâmetro AllowGroups dá ao administrador de sistema a opção de permitir que grupos de usuários específicos usem SSH para acessar o sistema. A lista consiste em nomes de grupos separados por espaços. Este parâmetro não reconhece identificações numéricas de grupos.

DenyUsers

O parâmetro DenyUsers dá ao administrador de sistema a opção de impedir que determinados usuários usem SSH para acessar o sistema. A lista consiste em nomes de usuários separados por espaços. Esse parâmetro não reconhece identificações numéricas de usuários. Se um administrador de sistema quiser restringir ainda mais o acesso de usuários ao negar o acesso de um usuário específico a partir de um host, a entrada poderá ser especificada no formato usuário@host.

DenyGroups

O parâmetro DenyGroups dá ao administrador de sistema a opção de impedir que determinados grupos de usuários usem SSH para acessar o sistema. A lista consiste em nomes de grupos separados por espaços. Este parâmetro não reconhece identificações numéricas de usuários.

A restrição de quais usuários podem acessar o sistema remotamente usando SSH contribuirá para garantir que apenas os usuários autorizados acessem o sistema.

MaxAuthTries

O parâmetro MaxAuthTries especifica o número máximo de tentativas de autenticação permitidas por conexão. Quando a contagem de falhas nas tentativas de acesso atingir a metade do número, serão gravadas mensagens de erro no arquivo syslog, detalhando a falha nas tentativas de acesso.

O ajuste do parâmetro MaxAuthTries para um número baixo minimizará o risco de êxito de buscas exaustivas de chave no servidor SSH. Embora a configuração recomendada seja 4, estabeleça o número com base na norma do local. Por exemplo:

MaxAuthTries 4

IgnoreRhosts

O parâmetro IgnoreRhosts especifica que os arquivos .rhosts e .shosts não serão utlizados em RhostsRSAAuthentication nem HostbasedAuthentication.

A configuração deste parâmetro força os usuários a digitarem uma senha quando estiverem autenticando com SSH. Por exemplo:

IgnoreRhosts yes

HostbasedAuthentication

O parâmetro HostbasedAuthentication especifica se a autenticação é permitida através de hosts confiáveis, usando .rhosts ou /etc/hosts.equiv com o êxito na autenticação de chave pública cliente/host. Esta opção se aplica apenas à versão 2 do protocolo SSH.

Embora os arquivos .rhosts sejam ineficientes caso o suporte seja desativado em /etc/pam.conf, a inativação da capacidade de usar os arquivos .rhosts em SSH constitui uma camada adicional de proteção. Por exemplo:

HostbasedAuthentication no

Para obter mais informações sobre os parâmetros sshd_config, consulte a página sshd_config(5) do manual.

Melhores práticas e padrões das organizações de normalização

As informações deste tópico se baseiam nas melhores práticas e nos padrões a seguir.

Versão 7.1 dos controles CIS

Os controles CIS são um conjunto priorizado de melhores práticas criadas para deter as ameaças mais frequentes e perigosas da atualidade. Eles foram criados por especialistas líderes em segurança do mundo inteiro, sendo refinados e validados anualmente. O site da CIS na Web oferece mais detalhes: https://www.cisecurity.org.

Os controles CIS são:

Básicos

Inventário e controle dos ativos de hardware
Inventário e controle dos ativos de software
Gestão contínua de vulnerabilidades
Use controlado de privilégios administrativos
Configuração segura de hardware e software em dispositivos móveis, laptops, estações de trabalho e servidores
Manutenção, monitoramento e análise de registros de auditoria

Fundamentais

Proteções de e-mails e de navegadores da Web
Defesas contra malware
Limitação e controle de portas, protocolos e serviços de redes
Capacidade de recuperação de dados
Configuração segura de dispositivos de rede, como firewalls, roteadores e comutadores
Defesa de limites
Proteção dos dados
Acesso controlado com base em restrições
Controle de acesso a redes sem fio
Monitoramento e controle de contas

Organizacionais

Implementação de um programa de consciência da segurança e treinamento
Segurança do software do aplicativo
Resposta e gestão de incidentes
Testes de penetração e exercícios de equipes vermelhas

ISA/IEC 62443-4-2

O padrão ISA/IEC 62443-4-2 detalha os requisitos técnicos de componentes associados a sete requisitos fundamentais (RFs) para cumprir níveis de segurança para a viabilidade de sistemas de controle. O site da IEC na Web oferece mais detalhes: https://www.iec.ch/

Os requisitos fundamentais são:

Identificação e controle da autenticação (ICA)
Controle do usuário
Integridade do sistema (IS)
Confidencialidade dos dados (CD)
Fluxo restrito de dados (FRD)
Presteza na resposta aos eventos (PRE)
Disponibilidade de recursos (DR)

1. Identificação e controle da autenticação (ICA)

A identificação de usuários é utilizada juntamente com mecanismos de autorização para implementar o controle do acesso de um componente. É necessário verificar a identidade de usuários que estiverem solicitando o acesso, para proteger contra o acesso ao componente por parte de usuários não autorizados. A autorização ocorre a partir de listas de controle de acesso para diferentes usuários que acessam o sistema ztC Edge e efetuam a autenticação com senhas.

2. Controle do usuário

Uma vez que o usuário for identificado e autenticado, é necessário que o componente restrinja as ações permitidas ao uso autorizado deste. O sistema ztC Edge tem funções definidas que implementam o conceito de privilégio mínimo. A criação de diversos usuários com níveis variáveis de controle de acesso também define o uso autorizado do componente.

3. Integridade do sistema (IS)

A integridade do dispositivo não deve ser comprometida, tanto no software quanto nos componentes físicos em estados operacional e não operacional. O sistema ztC Edge implementa uma reinicialização segura, que verifica se a unidade está sendo reiniciada ou iniciada a partir de um estado confiável, juntamente com assinaturas digitais de componentes de software validadas antes de uma atualização. É importante garantir a integridade do sistema para proteger contra a manipulação não autorizada, ou a modificação de dados ou do sistema.

4. Confidencialidade dos dados (CD)

A finalidade é garantir a confidencialidade das informações em canais de comunicação e dos dados armazenados em repositórios, para proteger contra a divulgação não autorizada. O sistema ztC Edge dispõe de HTTPS com a versão 1.2 de TLS para a comunicação através da Web, assim como SSH e SMTP com criptografia, garantindo que as informações estejam protegidas contra pessoas mal-intencionadas.

5. Fluxo restrito de dados (FRD)

O fluxo restrito de dados é a segmentação do sistema de controle através de zonas e canais de distribuição, a fim de limitar o fluxo desnecessário de dados. A arquitetura de rede do ztC Edge é compatível com o roteamento e a comutação, conforme o determinado pela configuração da rede, para a gestão do fluxo de informações, conforme o determinado pelo técnico de sistemas instalados. A intensificação dos recursos de rede do sistema ztC Edge permite que a segmentação de redes limite o fluxo de dados.

6. Presteza na resposta aos eventos (PRE)

Embora um sistema possa iniciar o seu funcionamento em um estado seguro, é possível que ocorram vulnerabilidades e eventos de segurança. O sistema ztC Edge tem uma equipe de Respostas a incidentes de segurança dos produtos (RISP) para reagir a incidentes de segurança e relatar resultados, enquanto soluciona problemas de maneira oportuna. O sistema ztC Edge dispõe de registros de alertas que podem ser usados para notificar os canais adequados quanto a mudanças de configuração que possam indicar um incidente de segurança. Os registros contêm informações suficientes para peritagem judicial e as notificações de alertas eletrônicos são enviadas por e-mail.

7. Disponibilidade de recursos (DR)

O objetivo deste controle é garantir que o componente seja resiliente contra diversos tipos de eventos de negação de serviços. A alta disponibilidade do sistema ztC Edge constitui a base de um estado "sempre ligado". É imperativo que os sistemas de controle industrial mantenham um estado de alta disponibilidade, já que há impactos afetando potencialmente a integridade dos sistemas. Graças à camada de virtualização integrada e disponibilidade, à proteção automatizada de dados e à recuperação de aplicativos, o Stratus Redundant Linux reduz de forma significativa a dependência de TI de computação virtualizada na periferia. Os seus recursos de autoproteção e automonitoramento contribuem para reduzir o tempo ocioso não planejado e garantir a disponibilidade contínua de aplicativos fundamentais ao funcionamento dos negócios.