FileBox Solution. Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil

Transkript

1 Compass Security AG Glärnischstrasse 7 CH-8640 Rapperswil T F admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_V1.1.doc Version: v1.1 Autor: Philipp Oesch Unternehmen: Compass Security AG

2 Inhaltsverzeichnis 1 KUNDENNUTZEN FILEBOX FUNKTIONEN SICHERHEIT FileBox Architektur FileBox Schutzmassnahmen gegen Webattacken FILEBOX LÖSUNGEN Hosting Appliance Lösung KONTAKT Seite: 2

3 1 Kundennutzen Der Schutz geschäftlicher Dokumente ist für viele Unternehmen von essenzieller Bedeutung und unterliegt oft den gesetzlichen Datenschutzbestimmungen. Mit der mandantenfähigen FileBox von Compass Security erhalten Unternehmen ein komplettes System, das sich flexibel in die eigene IT-Infrastruktur integrieren lässt. Die FileBox kann ohne Softwareinstallation in Betrieb genommen werden und benötigt keine langen Einführungszeiten, eine interner Aufbau von Know-how ist nicht notwendig. Die FileBox wird sowohl als Appliance- sowie auch als Hosting-Lösung angeboten. Dokumente sicher von A nach B Die FileBox bietet für den Anwender vielfältige Vorteile und Einsatzmöglichkeiten. So ermöglicht die FileBox den einfachen, sicheren und kostengünstigen Datenaustausch mit Partnern und Kunden. Der Anwender kann über das Internet zeit- und ortsunabhängig auf die Daten zugreifen, ohne dabei auf die Sicherheit zu verzichten. Die Authentisierung erfolgt dabei auf einfache Weise via Benutzername/Passwort und SMS-Token. Dieser zweite Kommunikationskanal gewährleistet zusätzliche Sicherheit. Der Benutzer hat die Möglichkeit, Dokumente über das Internet in verschiedene FileBoxen hochzuladen und jedem Kommunikationspartner individuelle Zugriffsrechte zu erteilen. Zudem ermöglicht das detaillierte Audit-Log, den Upload oder Download von Dateien sowie Änderungen der Zugriffsrechte zu protokollieren. Dadurch wird ein optimales Management sichergestellt. Denkbar einfache Bedienung Die FileBox bietet verschiedene Transferoptionen. Besitzt der Geschäftspartner bereits einen Account, lassen sich Dokumente direkt austauschen. Andernfalls kann auf dem eigenen Account ein zusätzlicher Benutzer erstellt werden. Über die Fast Exchange Funktion ist auch ein Austausch mit Partnern ohne FileBox-Account möglich. Datenschutzrichtlinien gerecht werden Die FileBox eignet sich ideal für Unternehmen, die gesetzlichen Regularien unterliegen und für die der Schutz geschäftlicher Dokumente von existenzieller Bedeutung ist. So können z.b. Treuhänder die Finanzdaten ihrer Kunden, Ärzte ihre Patienteninformationen und Rechtsanwälte die Mandantendaten schützen. Seite: 3

4 2 FileBox Funktionen Funktionen der FileBox Starke Authentisierung durch Benutzername/Passwort und SMS-Token Benutzer & FileBox Verwaltung durch eigenen Administrator Gruppenfunktionalität für vereinfachte Administration Volle Zugriffskontrolle durch feine Rechtevergabe Dokumentaustausch über Datei Up & Download Ordner und Unterordner mit Drag & Drop Funktionalität Dokumentaustausch über FastExchange (Dokumentaustausch mit Personen ohne FileBox Account - mit Download-Link & optionaler SMS Authentisierung) Detailliertes Audit-Log (Upload, Download, Änderungen der Zugriffsrechte,...) Upload Benachrichtigung per und SMS Mandantübergreifender Dokumentaustausch Corporate Identity dank eigenem Branding Zusätzliche Vorteile der FileBox Einfacher, sicherer und kostengünstiger Datenaustausch mit Partnern und Kunden Steigerung der Sicherheit, durch starke Verschlüsselung vertraulicher Daten Keine Installation von Software nötig webbasierend Keine Beanspruchung interner Ressourcen Kein aufwändiger Austausch von Schlüssel & Zertifikaten Für den sicheren Zugriff von unterwegs, kann optional auch der USB Security Stick von CREALOGIX verwendet werden: Keine langen Einführungszeiten die FileBox ist sofort verfügbar Anforderungen an den Endbenutzer Für den Datenaustausch über die FileBox wird ein herkömmlicher Web-Browser wie z.b. Internet Explorer oder Firefox benötigt. Die starke Authentisierung kann mit jedem SMSfähigen Mobiltelefon durchgeführt werden. Test Account Bevor Sie sich für die FileBox entscheiden, bieten wir Ihnen die Möglichkeit, die Hosting- Lösung kostenlos und ohne Verpflichtung zu testen. Melden Sie sich für einen kostenlosen Test Account unter: Seite: 4

5 3 Sicherheit 3.1 FileBox Architektur Beim Design der FileBox-Architektur wurde sehr grosser Wert auf die Sicherheit der Applikation gelegt. Zudem wird die FileBox regelmässig durch Compass Security Reviews und Penetration Tests auf ihre Sicherheit hin überprüft. Entry Server Function Access Controller Data Access Controller Datenbank (AES 256 Bit Verschlüsselung der Daten) Anmerkung zur Architektur Die FileBox wird durch Firewall und Entry Server geschützt Die FileBox besteht aus vier eigenständigen Applikationen mit eigenen stark eingeschränkten Datenbankverbindungen Die Dokumente werden verschlüsselt in der Datenbank abgelegt (AES 256 Bit) Der Function Access Controller überprüft die Rollen der einzelnen Benutzer Der Data Access Controller überprüft jeden einzelnen Datenzugriff Sobald ein unerlaubter Datenzugriffsversuch detektiert wird, benachrichtigt das System automatisch das Compass Team Seite: 5

6 3.2 FileBox Schutzmassnahmen gegen Webattacken Nachfolgend sind die häufigsten zehn Angriffe auf Webapplikationen aufgeführt (OWASP TOP 10 - Jahr 2010). In der rechten Spalte sind die jeweiligen Schutzmassnahmen der FileBox beschrieben. Nr. Security Risk Schutzmassnahmen der FileBox A1 Injection Verwendung von Prepared Statements Starker Input Filter Apache Modul mod_security A2 A3 A4 A5 A6 A7 A8 A9 Cross Site Scripting (XSS) Broken Authentication and Session Management Insecure Direct Object References Cross Site Request Forgery (CSRF) Security Misconfiguration Insecure Cryptographic Storage Failure to Restrict URL Access Insufficient Transport Layer Protection Starker Input Filter Sauberes Output Encoding Apache Modul mod_security Session Handling durch sicheren Entryserver Eigenständige Login Applikation Starke Authentisierung mit OTP Cookie mit HttpOnly Flag Einsatz von indirekten Objekt Referenzen Zentraler Data Access Controller Einsatz von Anti CSRF Tokens Sichere Applikationsarchitektur Regelmässige Security Reviews / Penetration Tests AES 256 Bit Verschlüsselung der Dokumente Verwendung von salted Passwort Hashing FileBox Unterteilung in 4 eigenständige Applikationen mit Least Possible Privileges Zentraler Function Access Controller Zentraler Data Access Controller Webseitenzugriff über HTTPS (SSL) FileBox verwendet ein Extended Validation Server Zertifikat Cookie mit Secure Flag A10 Unvalidated Redirects and Forwards Es werden keine URL Redirections verwendet Mehr Informationen zur OWASP Top 10 sind unter folgender URL zu finden: Seite: 6

7 4 FileBox Lösungen Die FileBox wird in folgenden Formen angeboten: Hosting bei Compass VMware-Appliance im eigenen Unternehmen Hardware-Appliance im eigenen Unternehmen 4.1 Hosting Wenn Sie sich für ein Hosting Abonnement entscheiden, erhalten Sie Ihren eigenen Mandanten mit Administratorenrechten. Sie können somit selbständig neue Benutzer und FileBoxen erfassen und individuelle Zugriffsrechte erteilen. Sie haben zudem die Möglichkeit, das Erscheinungsbild der FileBox auf die CI Ihres Unternehmens anzupassen. Informieren Sie sich hier über die verschiedenen Hosting-Abonnemente: Hosting Architektur der Compass Security SSL Seite: 7

8 Hosting Infrastruktur Firewall Entry Server - Apache 2.2.X (mod_security, mod_forensic, mod_but) Tomcat 5.5.X MySQL 5.0.X CentOS Betriebssystem Primärer SMS Versand über ASPSMS.CH Fallback SMS Versand über Hardware Device System Anforderungen für den Kunden Es entstehen keine Systemanforderungen für die Kunden, die Hosting-Lösung wird komplett von Compass betrieben. Seite: 8

9 4.2 Appliance Lösung Compass bietet die FileBox als VMware- und Hardware-Appliance an. Beim Einsatz der Appliance bleiben die vertraulichen Daten im eigenem Unternehmen, ohne dass ein interner Wartungsaufwand anfällt. Security Updates und neue Features werden automatisch über das Internet bezogen. Die Appliance ist somit immer auf dem aktuellsten Stand, wodurch eine optimale Sicherheit gewährleistet ist. Appliance Integration in das eigene Netzwerk Es wird eine fertige Lösung zur Verfügung gestellt, welche sich flexibel in die eigene Infrastruktur integrieren lässt. SSL Seite: 9

10 VMware-Appliance Informationen Firewall Entry Server - Apache 2.2.X (mod_security, mod_forensic, mod_but) Tomcat 5.5.X MySQL 5.0.X CentOS Betriebssystem SMS Versand über ASPSMS.CH Versand über firmeneigenen Mail Server VMware Umgebung (VMware ESXi) Hardware-Appliance Informationen Firewall Entry Server - Apache 2.2.X (mod_security, mod_forensic, mod_but) Tomcat 5.5.X MySQL 5.0.X CentOS Betriebssystem SMS Versand über ASPSMS.CH Versand über firmeneigenen Mailserver System Informationen: Dell PowerEdge R200, Intel Xeon 3.16GHz, 4GB, 2x200GB Festplatte, RAID1 200GB verwendbar System Anforderungen für den Kunden Compass Remote Zugang (VPN/SSH) für FileBox Wartungsarbeiten Bereitstellung eines Server Zertifikates Beim Einsatz der VMware-Appliance, benötigt der Kunde eine VMware Umgebung (VMware ESXi) Seite: 10

11 5 Kontakt Kurzporträt Compass Security AG Die 1999 gegründete Compass Security AG mit Sitz in Rapperswil (CH) hat sich als europäisches Dienstleistungsunternehmen auf Security-Assessments zur Vertraulichkeit, Verfügbarkeit und Integrität von Unternehmensdaten spezialisiert. Mittels Penetrationstests, Ethical Hackings und Reviews beurteilt Compass ICT-Lösungen hinsichtlich Sicherheitsrisiken präventiv, spürt vorhandene Schwachstellen auf und unterstützt bei deren Beseitigung. IT-forensische Experten ermöglichen durch Erfassung, Prüfung und Auswertung digitaler Spuren die Rekonstruktion und beweisdienliche Dokumentation von Missbrauchsfällen im Zusammenhang mit digitalen Systemen. Praxisnahe Workshops und Schulungen zum Thema IT-Security sowie Live-Hacking- Vorträge zur Usersensibilisierung runden das Portfolio ab. Neutralität und Produktunabhängigkeit sind dabei wesentliche Bestandteile der Unternehmensphilosophie. Der Kundenstamm setzt sich aus nationalen und internationalen Kunden jeglicher Größenordnung und unterschiedlicher Branchen zusammen. Weitere Informationen unter: Weitere Informationen Compass Security AG Glärnischstrasse 7 CH-8640 Rapperswil Tel.: Fax: Seite: 11