ICT-Beveiligingsrichtlijnen voor Webapplicaties VERDIEPING ICT-Beveiligingsrichtlijnen voor Webapplicaties Nationaal Cyber Security Centrum Het Nationaal Cyber Security Centrum (NCSC) draagt via samenwerking tussen bedrijfsleven, overheid en wetenschap bij aan het vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein. Het NCSC ondersteunt de Rijksoverheid en organisaties met een vitale functie VERDIEPING in de samenleving met het geven van expertise en advies, response op dreigingen en het versterken van de crisisbeheersing. Daarnaast voorziet het in informatie en advies voor burger, overheid en bedrijfsleven ten behoeve van bewustwording en preventie. Het NCSC is daarmee het centrale meld- en informatiepunt voor ICT-dreigingen en -veiligheidsinci- denten. Het NCSC is een onderdeel van de Directie Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Samenwerking en bronnen Deze beveiligingsrichtlijnen zijn opgesteld door het NCSC, in een nauwe samenwerking met het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) en met meerdere deskundigen uit publieke en private organisaties. Hun bijdrage, de inhoudelijke reviews evenals openbaar toegankelijke bronnen hebben in sterke mate bijgedragen aan de inhoud van deze beveiligingsrichtlijnen. In bijlage C worden de individuele deskundigen die een bijdrage geleverd hebben met naam genoemd. INHOUDSOPGAVE Inleiding 4 U/PW.04 Isolatie van processen/bestanden 38 U/PW.05 Toegang tot beheermechanismen 39 Aanleiding voor de Beveiligingsrichtlijnen 5 U/PW.06 Platform-netwerkkoppeling 39 Webapplicaties 5 U/PW.07 Hardening van platformen 40 Doelgroep 5 U/PW.08 latform- en webserverarchitectuur 41 Doelstelling 5 Toepassing van de Richtlijnen 5 Netwerken 42 Prioriteit 5 U/NW.01 Operationeel beleid voor netwerken 43 Uitgangspunten 6 U/NW.02 Beschikbaarheid van netwerken 43 Context/scope 6 U/NW.03 Netwerkzonering 45 Verschil tussen versie 2012 en versie 2015 7 U/NW.04 Protectie- en detectiefunctie 48 Organisatie van de Richtlijnen 7 U/NW.05 Beheer- en productieomgeving 50 Onderhoud van de Richtlijnen 8 U/NW.06 Hardening van netwerken 51 Relatie met andere documenten 9 U/NW.07 Netwerktoegang tot webapplicaties 54 U/NW.08 Netwerkarchitectuur 54 Beleidsdomein 10 Beheersingsdomein (control) 56 B.01 Informatiebeveiligingsbeleid 11 B.02 Toegangsvoorzieningsbeleid 12 C.01 Servicemanagementbeleid 58 B.03 Risicomanagement 13 C.02 Compliancemanagement 58 B.04 Cryptografiebeleid 14 C.03 Vulnerability-assessments 59 B.05 Contractmanagement 15 C.04 Penetratietestproces 61 B.06 ICT-landschap 16 C.05 Technische controlefunctie 62 C.06 Logging 64 C.07 Monitoring 66 Uitvoeringsdomein 20 C.08 Wijzigingenbeheer 68 C.09 Patchmanagement 70 Toegangsvoorzieningsmiddelen 22 C.10 Beschikbaarheidbeheer 71 U/TV.01 Toegangsvoorzieningsmiddelen 23 C.11 Configuratiebeheer 72 Webapplicaties 24 U/WA.01 Operationeel beleid voor webapplicaties 25 Bijlagen 74 U/WA.02 Webapplicatiebeheer 25 U/WA.03 Webapplicatie-invoer 26 Bijlage A Conformiteitsindicatoren 75 U/WA.04 Webapplicatie-uitvoer 28 Bijlage B Afkortingen 81 U/WA.05 Betrouwbaarheid van gegevens 29 Bijlage C Referenties 85 U/WA.06 Webapplicatie-informatie 30 Bijlage D Aanvalsmethoden 87 U/WA.07 Webapplicatie-integratie 31 Bijlage E Kwetsbaarheden 90 U/WA.08 Webapplicatiesessie 31 E.1 Beleidsdomein 90 U/WA.09 Webapplicatiearchitectuur 32 E.2 Uitvoeringsdomein: webapplicaties 90 E.3 Uitvoeringsdomein: toegangsvoorziening 93 Platformen en webservers 34 E.4 Uitvoeringsdomein: platformen en webservers 100 U/PW.01 Operationeel beleid voor platformen en webservers 35 E.5 Uitvoeringsdomein: netwerken 101 U/PW.02 Webprotocollen 36 E.6 Beheersingsdomein (control) 102 U/PW.03 Webserver 37 Bijlage F Relatie versie 2012 en 2015 104 ICT-Beveiligingsrichtlijnen voor webapplicaties » Verdieping | 5 Aanleiding voor Doelgroep Dit document heeft drie primaire doelgroepen: de Beveiligingsrichtlijnen » De eerste doelgroep bestaat uit partijen die verantwoordelijk zijn Digitale informatie-uitwisseling is een essentieel onderdeel voor het stellen van beveiligingskaders en de controle op Inleiding geworden voor het functioneren van de Nederlandse samenleving. naleving hiervan. Hierbij kan worden gedacht aan securitymana- Betrouwbare digitale communicatie is van wezenlijk belang en gers en systeemeigenaren van de te leveren ICT-diensten. vraagt om voortdurende zorg. Dat dit geen makkelijke opgave is » De tweede doelgroep bestaat uit diegenen die betrokken zijn bij blijkt wel uit het veelvoud van incidenten. De Beveiligingsrichtlijnen het ontwerp- en ontwikkelproces, de implementatie en het bieden een leidraad naar een veiliger dienstverlening. beheer van webapplicaties. Deze doelgroep moet de beveiligings- richtlijnen implementeren. Bij deze doelgroep zijn drie partijen Deze ICT-Beveiligingsrichtlijnen voor Webapplicaties (hierna te onderscheiden: Richtlijnen genoemd) bestaan uit twee documenten die na › interne afdelingen. implementatie bijdragen aan een betere beveiliging van webappli- › externe leveranciers van software. caties bij organisaties en de (rijks)overheid. Het document › externe webhostingpartijen. Richtlijnen beschrijft de beveiligingsrichtlijnen voor webapplicaties » De derde doelgroep bestaat uit de controlerende instanties op hoofdniveau, bijbehorend beleid, uitvoering en beheersing. Dit (IT-auditors) die op basis van deze richtlijnen een objectieve document (Verdieping) vormt een ondersteunend document en ICT-beveiligingsassessment uitvoeren. beschrijft de beveiligingsrichtlijnen op detailniveau en geeft richting (handelingsperspectief ) met betrekking tot de implemen- tatie en controleerbaarheid van de beveiligingsrichtlijnen. Waar Doelstelling mogelijk worden concrete adviezen geven. Met de adviezen in dit Deze Richtlijnen geven een overzicht van beveiligingsmaatregelen deel kan worden voldaan aan de beveiligingsrichtlijnen uit het die aanbieders van webapplicaties kunnen nemen om een bepaalde document Richtlijnen. mate van veiligheid te bereiken. De beveiligingsmaatregelen hebben niet alleen betrekking op de webapplicatie, maar ook op de beheeromgeving en de omringende hard- en softwareomgeving die Webapplicaties noodzakelijk is om de webapplicatie te laten functioneren. Wanneer dit document spreekt over een webapplicatie, dan gaat het om een applicatie die bereikbaar is met een webbrowser of een andere client, die ondersteuning biedt voor het Hypertext Transfer Toepassing van de Richtlijnen Protocol (http). Kern van deze definitie is dat een webapplicatie Organisaties kunnen (een deel van) deze Richtlijnen voor bepaalde altijd bereikbaar is op basis van http of de met versleuteling toepassingsgebieden verheffen tot een normenkader. In tegenstel- beveiligde vorm hiervan: https (http secure). De functionaliteit die ling tot de beveiligingsrichtlijnen, die adviserend van aard zijn, is een webapplicatie kan bieden is onbeperkt. De techniek is echter een normenkader dwingend voor het toepassingsgebied. Ook altijd gebaseerd op de http-standaard zoals gedefinieerd in ‘Request kunnen de Richtlijnen worden gebruikt in aanbestedingen, het for Comments’ (RFC) 19451, 26162, 26173, 28174, 62655, 65856 en 75407. uitbesteden van dienstverlening en in onderlinge afspraken bij ketenprocessen. Afhankelijk van de aard en de specifieke kenmer- Ook bijbehorende infrastructuur, het koppelvlak met internet, de ken van de betreffende dienst kunnen beveiligingsrichtlijnen opslag van de gegevens en de netwerkservices worden in dit worden geselecteerd en kunnen de wegingsfactoren van de document beschouwd als aandachtsgebied. Voorbeelden van individuele beveiligingsrichtlijnen worden aangepast om de applicaties, die volgens deze definitie onder de noemer ‘webappli- gewenste situatie te weerspiegelen. catie’ vallen, zijn internetsites, extranetten, intranetten, software- as-a-service (SaaS)-applicaties, webservices en web-api’s. Prioriteit De prioriteit van elke beveiligingsrichtlijn wordt in algemene zin gewaardeerd volgens de classificatie Hoog, Midden of Laag. Deze 1 RFC 1945: Hypertext Transfer Protocol -- HTTP/1.0: http://www.ietf.org/rfc/rfc1945.txt 2 RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1: http://www.ietf.org/rfc/rfc2616.txt 3 RFC 2617: HTTP Authentication (Basic and Digest): http://www.ietf.org/rfc/rfc2617.txt 4 RFC 2817: Upgrading to TLS Within HTTP/1.1: http://www.ietf.org/rfc/rfc2817.txt 5 RFC 6265: HTTP State Management Mechanism: http://www.ietf.org/rfc/rfc6265.txt 6 RFC 6585: Additional HTTP Status Codes: http://www.ietf.org/rfc/rfc6585.txt 7 RFC 7540: Hypertext Transfer Protocol Version 2 (HTTP/2): https://tools.ietf.org/html/rfc7540 6 | ICT-Beveiligingsrichtlijnen voor webapplicaties » Verdieping ICT-Beveiligingsrichtlijnen voor webapplicaties » Verdieping | 7 aanleiding geeft voor het invullen van deze aanvullende beveili- In bijlage F is een verwijzingstabel opgenomen waarin is aangege- drie classificaties vormen drie punten op een continuüm van Context/scope gingsmaatregelen dan wordt verwezen naar andere beveiligings- ven in welke richtlijn(en) iedere richtlijn uit 2012 is opgenomen. mogelijke waarden waarbij Hoog de sterkste mate van gewenstheid Deze Richtlijnen richten zich op de beveiliging van webapplicaties standaarden zoals ISO 27001 en ISO 27002. is (must have), Midden een redelijk sterke mate van gewenstheid is vanuit het oogpunt van de aanbiedende partij (de serverzijde). De (should have) en Laag een gewenste, maar niet noodzakelijke Richtlijnen richten zich niet op de clientinrichting