Themapatroon koppelvlakken

Onderdeel van: Thema's
Contact: Guus van den Berg; Guus.vandenberg@cip-overheid.nl
Status: Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging

Leeswijzer

Dit is een themapatroon, dat voor de algemene probleemstelling van koppelvakken een oplossing biedt. Onderliggende patronen bieden oplossingen voor specifieke soorten van koppelvlakken. Dit themapatroon geeft voor alle koppelvlakpatronen aan welke betrouwbaarheidscriteria van toepassing zijn.

Criteria

Beschikbaarheid, Integriteit en Vertrouwelijkheid zijn de belangrijkste businesscriteria voor de betrouwbaarheid van koppelvlakken.

Context

Overal waar digitale gegevens via netwerken worden uitgewisseld, zijn koppelpunten nodig. Deze koppelpunten zijn enerzijds bedoeld om een gecontroleerde doorgang mogelijk te maken van het ene netwerk naar het andere en anderzijds om de netwerken ten opzichte van elkaar af te schermen of om verantwoordelijkheidsgebieden af te bakenen. Deze koppelpunten noemen we koppelvlakken. Het meest bekende koppelvlak is de aansluiting van de vertrouwde (privé) omgeving van een PC-werkstation aan het niet vertrouwde (publieke) internet. In het zoneringsmodel zijn de koppelvlakken tussen de zones als rode bollen gemarkeerd. Ook volgens de Jericho Forum Commandments voor toekomstige ‘open netwerken’, zijn koppelvlakken nog steeds noodzakelijk, alleen dan worden ze geïntegreerd in de beveiliging van elk aangesloten werkstation of hostsysteem.

De omgeving van koppelvlakken

Dit patroon beschrijft koppelvlakken als thema. In de onderliggende patronen worden de verschillende soorten van koppelvlakken besproken, inclusief de belangrijkste verkeersstromen.

Probleem

Binnen een zone kan data vrijelijk tussen systemen worden uitgewisseld. Wanneer echter uitwisseling tussen twee of meer zones nodig is, dan moet ergens een ‘opening’ worden gemaakt in de afscherming van de zones en dient er voor één of meerdere netwerkprotocollen een doorgang te worden gemaakt. Het openbreken van zones en rechtsreeks koppelen en uitwisselen van informatie introduceert een scala aan problemen, die beveiligingsrisico’s kunnen veroorzaken:

Samengevat zijn de generieke problemen van koppelvlakken:

Het verschil in vertrouwensniveau van de zones vervalt bij een rechtstreekse (netwerk)koppeling, waardoor het effectieve vertrouwensniveau gelijk is aan het laagste vertrouwensniveau van alle gekoppelde zones. Daardoor kan de vertrouwelijkheid van de informatie in zones met een oorspronkelijk hoger vertrouwensniveau niet meer worden gewaarborgd.
Rechtstreekse koppelingen van zones impliceert dat de individuele zones samengevoegd worden tot één logische zone. Daarbij vervalt de scheiding van verantwoordelijkheden voor de beveiliging binnen de individuele zones.
Met een rechtstreekse (netwerk)koppeling is er geen controle op- of beheersing mogelijk van de integriteit, validiteit of classificatie van de uitgewisselde gegevens tussen de gekoppelde zones.
Met een rechtstreekse netwerkkoppeling kunnen ongewenste vormen van communicatie zoals Denial of Service attack (DoS) aanvallen, pogingen tot inbreuk en poortscans etc. niet worden voorkomen.
Informatie kan weglekken bij de opening die gemaakt is in de zones en onderweg van de ene naar de andere zone.
Een koppelvlak is een Single Point of Failure. Wanneer er onverhoopt een storing optreedt in één koppelvlak, dan wordt de hele communicatieketen van zones daardoor negatief beïnvloed.

Niet alle (zes) hiervoor genoemde problemen zijn voor elk koppelvlak op elke locatie in dezelfde mate van toepassing.

Oplossing

Per probleem of groep van problemen zijn de volgende standaard maatregelen van toepassing:

Problemen 1,2,3,4 worden opgelost door uitsluitend informatie-uitwisseling toe te staan voor geautoriseerde netwerk- en communicatieprotocollen. Daarvoor wordt filtering toegepast, zowel op netwerk als applicatieniveau, dat tevens zorgt voor zonering. Bijvoorbeeld: we laten alleen http verkeer door vanaf het niet vertrouwde externe domein.
Problemen 1,2,4 worden opgelost door rechtstreekse communicatie van een lager naar een hoger vertrouwensniveau te voorkomen. Daarvoor wordt zonering toegepast op basis van een proxyfunctie. De verbinding wordt onderbroken en vervolgens vanuit de proxy weer opnieuw opgebouwd.
Problemen 1,2,5 worden opgelost door verkeersstromen in twee richtingen te versleutelen (vertrouwde zone), zodat informatie veilig over een niet vertrouwd netwerk kan gaan.
Probleem 3 wordt opgelost door in- en uitgaande gegevens te inspecteren op virussen, malware en ander vormen van kwaardaardige code en inspectie op inhoudelijke afwijkingen van het beveiligingsbeleid (policy).
Probleem 4 wordt opgelost door binnenkomende communicatie te inspecteren op afwijkingen van het normale (gewenste) gedrag. Aanvullend worden informatie(systemen) en netwerken op een passieve of actieve manier onzichtbaar gemaakt voor onbevoegden om hackers te misleiden.
Probleem 5 wordt opgelost door de koppeling van zone naar zone op te zetten als een zeer vertrouwde verbinding, waarmee lekkage van informatie vanuit het koppelvlak zelf wordt voorkomen. Het koppelvlak zelf wordt beschouwd als een ‘Beheerzone’ met het bijbehorende vertrouwensniveau.
Probleem 6 wordt opgelost door koppelingen waar nodig redundant (dubbel) uit te voeren.

Uitgangspunten

Het beveiligingsniveaus tussen gekoppelde zones verschilt maximaal één vertrouwensniveau. Uitzondering zijn de koppelvlakken voor beheer en audit.
Niets wordt doorgelaten tenzij dit is toegestaan.

Betekenis van de symbolen van IB- mechanismen in een ‘kanaal’ weergegeven

De hierboven genoemde maatregelen zijn geïmplementeerd in de basiselementen van een standaard koppelvlak zoals in de figuur in de vorm van een beveiligd kanaal is aangegeven.

De communicatierichting en het verschil in vertrouwensniveau wat daarbij overbrugd moet worden, is bepalend voor de maatregelen die je neemt in het koppelvlak. Daarom zijn er op een aantal grensvlakken twee koppelvlakken getekend. Voorbeeld: de communicatie via koppelvlakken Ou en Oi gebeurt op hetzelfde grensvlak, maar voor de beveiliging van binnenkomend verkeer dat via Oi en DMZ loopt moet veel meer gebeuren dan voor uitgaand verkeer dat via de DMZ en Ou verloopt.

Wanneer het verschil in vertrouwensniveau als criterium wordt gesteld voor de rubricering van koppelvlakken, dan zijn er slechts vier fundamenteel verschillende typen koppelvlakken te onderscheiden; namelijk op het grensvlak van communicatie:

koppeling van een hoger naar een lager vertrouwensniveau (lichtblauw)
koppeling tussen gelijke vertrouwensniveaus (donker blauw)
koppeling van een lager naar een hoger vertrouwensniveau (zwart)
koppeling vanuit Beheer- of Auditzone naar andere zones (rood)

Voor de koppelvlakken die op hetzelfde niveau in twee richtingen communiceren is slechts één koppelvlak getekend, omdat ze voor wat betreft het vertrouwensniveau bi-directioneel kunnen zijn. Of dat in de praktijk ook zo wordt geconfigureerd hangt af van de situatie. Voorbeeld: vanuit de Acceptatieomgeving zal in de regel niet gecommuniceerd worden naar de Testomgeving, maar wel andersom.

De rode rand om het koppelvlak geeft aan dat het koppelvlak zelf als ‘beheerzone’ is geconstrueerd. De DMZ is een bijzondere zone, die qua grensbescherming niet zinvol los gezien kan worden van de aanpalende koppelvlakken Ou, Oi, S, V, Z, 2 en 9. Daarom bevatten die koppelvlakken in de detailpatronen tevens de relevante IB-functies uit de DMZ.

Koppelvlakken in de infrastructuur van een organisatie

Binnen de zones Test en Acceptatie is de zonering van de organisatie ook weer getekend, omdat daar de zonering van de organisatie wordt gesimuleerd om applicaties en infrastructuur realistisch te kunnen testen.

De koppelvlakmaatregelen zijn in de hierna volgende patronen voor de belangrijkste soorten informatiestromen uitgewerkt:

Bestandsuitwisseling; file en printservices
Berichtenverkeer; XML, smtp S/ MIME, ebMS/ MQ/ SOAP
Webverkeer; http(s) SOAP/ WSDL

Afwegingen

Koppelvlakken kunnen vanuit verschillende criteria worden gerubriceerd. In dit themapatroon inclusief onderliggende koppelvlakpatronen is gekozen voor rubriceren op het verschil in vertrouwensniveau aan beide zijden van het koppelvlak, waarbij koppelvlakken voor Beheer en Audit een uitzondering vormen.

Een ander criterium waarmee koppelvlakken kunnen worden gerubriceerd is de beoogde vertrouwensniveaus zelf. Dit levert echter meer varianten op en is minder generiek toepasbaar. Voor de opzet van een koppelvlak is immers niet de ‘absolute waarde’ van het vertrouwensniveau aan weerzijden van het koppelvlak van belang, maar het verschil in vertrouwen dat door het betreffende koppelvlak overbrugd moet worden.

Een belangrijke factor is de afbakening van verantwoordelijkheden door het koppelvlak. Een voorbeeld daarvan is de koppeling van de (zeer) vertrouwde partner en de ingang (DMZ) van de eigen organisatie. Beiden hebben ze hetzelfde vertrouwensniveau, maar ze vallen onder de verantwoordelijkheid van verschillende organisaties. Alleen al om die reden impliceert dat aanvullende maatregelen, zoals b.v. virus en malware scanning en screening van de uitgewisselde informatie (applicatie inspectie), tenzij hierover afspraken worden gemaakt.

Het koppelvlak heeft als belangrijke functie het afbakenen van de beheerverantwoordelijkheden. Zonder effectief beheer is beveiliging niet te garanderen.

Het verkeersstroomtype ‘streaming data’ is niet meegenomen in de beschouwing van verkeersstromen, maar kan desgewenst worden toegevoegd in de patronen.

Voorbeelden

Interne koppelvlakken
Externe koppelvlakken
Koppelnetwerken met vertrouwde organisaties

Voorbeeld patroon Koppelvlak naar onvertrouwd

Implicaties

Het waar mogelijk toepassen van ‘standaard’ koppelvlakken en de daaruit volgende reductie van het aantal verschillende koppelingen, impliceert dat organisaties moeten standaardiseren op drie á vier vertrouwensniveaus voor de verschillende zones. De winst daarvan is dat de infrastructuur beter beveiligd kan worden omdat de omvang van complex beheer afneemt.

Gerelateerde patronen