Insights, technology, people and more

Altijd up-to-date met onze laatste artikelen.

@
Top 5 aanvullende securitymaatregelen voor een veilige webapplicatie

Top 5 aanvullende securitymaatregelen voor een veilige webapplicatie

2 August 2018 door in Hosting Security

Heeft u passende maatregelen genomen om de veiligheid van persoonsgegevens te waarborgen?

Het borgen van de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens kent door de GDPR (AVG wetgeving) een hoge prioriteit. Geen organisatie heeft hier niet over nagedacht. De GDPR stelt dat organisaties passende maatregelen moeten nemen om de persoonlijke data die zij in bezit hebben te beschermen. Artikel 32 van de GDPR vereist dat organisaties:

  1. Maatregelen nemen ten behoeve van anonimiseren en encrypten van persoonsgegevens;
  2. Garanderen dat verwerkingssystemen en diensten de vertrouwelijkheid, integriteit en beschikbaarheid van data waarborgen;
  3. Bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot persoonsgegevens tijdig herstellen;
  4. Procedures ten behoeve van technische en operationele maatregelen op gezette tijden testen, beoordelen en evalueren

Cyberaanvallen en datalekken zijn helaas de normaalste zaak van de wereld geworden. Geen enkele website, webshop of applicatie, zelfs de kleinste, is automatisch veilig. Het nemen van passende securitymaatregelen is daarom essentieel. Maar wat zijn passende maatregelen? In de praktijk merken wij dat een basisvorm van maatregelen zoals updates, monitoring, firewall of back-ups wel zijn genomen. Nu rijst de vraag of dit adequate maatregelen zijn in relatie tot de GDPR. Helaas is nergens gedefinieerd wat adequate maatregelen zijn. Aan de hand van bovenstaande punten zien wij wel opties voor aanvullende maatregelen die van toepassing zijn wanneer de situatie daarom vraagt.

Daarom presenteren wij 5 aanvullende maatregelen die u kunt nemen om de veiligheid van persoonsgegevens te verbeteren.

1. Advanced Firewall

Een firewall is de meest in het oog springende securitymaatregel en waarschijnlijk ook de laag die veruit de meeste bedreigingen tegenhoudt. Voor een completere bescherming biedt een advanced firewall een sterke toegevoegde waarde. Het is een alles-in-1 oplossing voor bescherming van applicaties en systemen. Een Advanced Firewall kan bijvoorbeeld verkeer filteren en ongewenst verkeer blokkeren naar applicaties of systemen.

Veel reguliere firewalls worden ingericht op de server waarbij poorten alleen door IP-restricties toegankelijk zijn. Het verkeer wordt dan niet op basis van inhoud, maar enkel op basis van bron, poort en hoeveelheid gefilterd. Veel bedreigingen worden daarom niet gedetecteerd omdat ze simpelweg niet herkend worden. Dit betekent niet dat een reguliere firewall overbodig is maar wel dat extra bescherming geboden is. Een Advanced Firewall is wel in staat om naar de inhoud van het verkeer te kijken door inspectie van het dataverkeer. Voor het beveiligen van applicaties en systemen kunnen op deze manier bedreigingen op een gedetailleerde wijze worden herkend en voorkomen.

Advanced Firewalls bieden een zeer breed scala aan functionaliteit, zoals antispam, antivirus, firewalling, intrusion prevention, VPN ondersteuning en web filtering. Al deze diensten worden verzorgd door één enkel apparaat dat hier qua hardware en software speciaal voor is ingericht.

2. Access Management

Onder Access Management wordt verstaan dat op een veilige manier toegang van gebruikers tot applicaties en systemen wordt gemanaged waarbij gebruikers toegang krijgen op basis van de juiste rechten.

Voor het veilig toegang krijgen kan er bijvoorbeeld gebruik worden gemaakt van 2 Factor Authentication (2FA). Naast een gebruikersnaam en wachtwoord wordt er dan ook om een autorisatiecode gevraagd. Middels 2FA dient de gebruiker te bewijzen dat deze echt degene is die mag inloggen.

Voordeel van 2FA is dat wanneer de gebruikersnaam en wachtwoord gelekt zijn, er nog steeds geen misbruik kan worden gemaakt doordat 2FA verloopt via een separaat device. 2FA kan bijvoorbeeld worden verzorgd door een SMS of door authenticatie services als Google Authenticator.

Het toevoegen van 2FA is een praktische stap maar een volledig Identity & Access Management (IAM) systeem dat organisaties helpt bij het beheren van toegang over een compleet landschap aan applicaties en systemen. Toegang kan per gebruiker, applicatie of systeem worden ingericht. Een IAM biedt een gestandaardiseerd beheer met eventueel rapportagemogelijkheden ter ondersteuning van audits.

3. Encryptie, data & end-to-end

Het befaamde SSL-certificaat zorgt voor encryptie van verkeer tussen gebruiker en applicatie. Het zorgt voor een veilige communicatie/data overdracht tussen beide punten. Deze dataoverdracht kan door een kwaadwillende niet worden gelezen of aangepast. Gebruikersnamen en wachtwoorden kunnen dan niet worden onderschept. SSL wordt veel ingezet voor de communicatie tussen de internetbrowser en de front-end van een applicatie. Als u echt goed bezig bent heeft u end-to-end encryptie toegevoegd waarbij ook de communicatie tussen servers encrypted is.

Een veelgemaakte misvatting is dat een SSL-certificaat zorgt voor encryptie van data zelf. Voor data-at-rest is toch echt disk encryptie van toepassing. Door disk encryptie toe te passen wordt de data volledig versleuteld. Data is dan in principe onleesbaar, tenzij de juiste decryptie key kan worden overlegd. Het betreffende besturingssysteem zorgt voor encryptie en biedt zodra de server is opgestart normale partities aan, welke normaal gebruikt kunnen worden. Disk encryptie is wenselijk in de volgende situaties:

  • Opslag van bijzondere persoonsgegevens;
  • Beveiligen van volumes in public clouds;
  • Encrypten van disk-based back-ups;
  • Extra beveiliging van gegevens op servers of disks die uit staan.

4. WAF

Voor applicaties is soms een aanvullende beveiliging nodig. Een WAF (Web Application Firewall) is een intelligente en real-time beveiliging voor applicaties. Een WAF is namelijk specifiek bedoeld om applicaties te beschermen tegen nieuwe en onbekende bedreigingen specifiek gericht op applicatie onderdelen. Doordat applicaties direct via het web zijn te benaderen, zijn deze automatisch publiek beschikbaar. Een verkeerde applicatie configuratie kan daarom leiden tot ernstige problemen. Hier biedt een WAF uitkomst en kan van toegevoegde waarde zijn ten opzichte van een Advanced Firewall.

Een WAF wordt als extra schil om de website heen gelegd waarbij de WAF volgens een specifieke rule-set verkeer toelaat. Een WAF filtert, monitort en blokkeert verkeer van en naar een applicatie om misbruik tegen te gaan. Zo kunt u instellen dat alleen bepaalde input toegestaan is in invulvelden. Een WAF zorgt ervoor dat de applicatie alleen op de daarvoor bedoelde wijze kan worden gebruikt. Hierdoor kunt u misbruik tegengaan.

Een WAF moet getraind en onderhouden worden maar is een zeer sterke oplossing om misbruik op applicatieniveau tegen te gaan. Het biedt bescherming tegen zero-day exploits of andere zwakheden in software. Door de WAF te goed te onderhouden en te updaten ontstaat er een dynamische en flexibele manier van beveiligen waarbij potentiële beveiligingsrisico’s goed gemitigeerd kunnen worden.

5. Intrusion Detection System

Het merendeel van maatregelen is gericht op het tegenhouden van aanvallen. Een belangrijk thema dat hierin niet mag ontbreken is het detecteren van hackpogingen, errors of ongeautoriseerde toegang. Bij een goede en correcte detectie kan er namelijk direct worden geschakeld om het probleem op te lossen. Intrusion Detection Systems (IDS) zijn een belangrijk onderdeel in de securityketen welke effectief ingezet kan worden voor het verkorten van de responsetijd bij aanvallen en het analyseren van de toedracht van een incident. Daarnaast kunt u met een IDS een geschiedenis opbouwen met informatie over onregelmatigheden op applicaties en systemen. Belangrijk aandachtspunt wel is dat er organisatorische maatregelen worden genomen over hoe een IDS binnen de dagelijkse operatie past.

Veel systemen genereren logfiles. Door deze logfiles op een centrale omgeving te verzamelen kunnen ze worden geanalyseerd. Op basis van deze analyse kan de integriteit worden bepaald, monitoring plaatsvinden of rapporten worden gegenereerd.

Conclusie

Er is geen magische knop om de veiligheid van persoonsgegevens te garanderen. Bent u verwerker van persoonsgegevens, dan bent u wettelijk verplicht de veiligheid van deze gegevens op orde te hebben. Situatie, applicaties en systemen zijn uniek. De maatregelen die u kunt (of moet) nemen zijn sterk afhankelijk van de specifieke persoonsgegevens die u opslaat. Het is wel belangrijk dat u registreert welke maatregelen u heeft genomen en of deze voldoende zijn. Gebruik bovenstaande 5 aanvullende maatregelen ter inspiratie om uw security te optimaliseren.

Wilt u eens vrijblijvend het gesprek aangaan met een specialist om te kijken hoe deze maatregelen binnen uw omgeving passen, dan vernemen wij dat graag.


Altijd up-to-date met onze laatste artikelen.

@

Kwaliteit. Betrouwbaar. Betrokken.
  • 24/7 service support
  • Nederlandse datacenters
  • ISO 27001 gecertificeerd
vmware enterprise service provider