范围
范围概述
评估和认证应涵盖用于执行申请人业务的整个IT基础设施,或者在必要时涵盖定义明确且单独管理的子集。无论哪种方式,都必须根据管理范围的业务部门、网络边界和物理位置明确定义范围的边界。在评估开始之前,申请人和认证机构必须商定范围。
子集可用于定义CyberEssentials范围内的内容或范围之外的内容。
信息:选择包含整个IT基础架构的范围的组织可实现最佳保护并增强客户信心。
这些要求适用于范围范围内并满足以下任何条件的所有设备和软件:
?可以接受来自不受信任的互联网连接主机的传入网络连接;或
?可以通过互联网与设备建立用户发起的出站连接;或
?控制上述任何设备与互联网之间的数据流。
不包括最终用户设备的范围是不可接受的。
图1:IT基础架构要求的范围
自带设备(BYOD)
除了组织拥有的移动或远程设备外,访问组织数据或服务(定义见上文)的用户拥有的设备也在范围内。但是,所有移动或远程设备仅用于:
?原生语音应用,
?原生文本应用,
?多重身份验证应用程序不在范围之内。
传统上,用户设备通过集中管理进行管理,确保整个组织的一致性。在这种情况下,安全控制的认证很简单,因为将有一个标准构建或参考进行评估。
BYOD使问题复杂化,因为用户可以更自由地“自定义”他们的体验,从而使控件的一致实施更具挑战性。使用组织数据和服务定义来强制实施强访问策略应该可以消除这种歧义。
在家工作
默认方法是,家庭位置内用于申请人业务目的的所有公司或BYOD家庭工作设备都在CyberEssentials的范围内。
互联网服务提供商(ISP)路由器和用户提供的路由器超出范围,这意味着需要在用户设备上应用CyberEssentials防火墙控制(例如软件防火墙)。
如果申请组织向家庭佣工提供路由器,则该路由器将在范围内。
如果家庭佣工使用的是公司VPN,则其互联网边界位于公司防火墙或虚拟/云防火墙上。
无线设备
无线设备(包括无线接入点)包括:
?在范围内,如果他们可以通过互联网与其他设备通信
?如果攻击者不可能直接从互联网进行攻击,则不在范围内(CyberEssentials方案不涉及只能从无线设备的信号范围内发起的攻击)
?如果它们是家庭位置内ISP路由器的一部分,则不在范围内
外部托管服务—云
如果申请人的数据或服务托管在云服务上,则这些服务必须在范围内。在云服务中,申请人始终负责确保实施所有控制措施,但某些控制措施可以由云服务提供商实施。谁实施哪种控件取决于云服务的类型。我们考虑三种不同类型的云服务:
?基础设施即服务(IaaS)-云提供商提供由申请人配置和管理的虚拟服务器和网络设备,就像物理设备一样。IaaS的例子包括Rackspace,GoogleComputeEngine或AmazonEC2。
?平台即服务(PaaS)-云提供商提供和管理底层基础架构,申请人提供和管理应用程序。PaaS的示例包括AzureWebApps和AmazonWebServicesLambda。
?软件即服务(SaaS)-云提供商向申请人交付应用程序,申请人配置服务。申请人仍必须花时间确保安全配置服务。SaaS的例子包括Microsoft65,Dropbox,Gmail。
谁实现控件将根据所用云服务的设计而有所不同,但下表作为通常应由谁实现每个控件的指南:
如果云提供商实施控制,申请人必须确信云提供商已承诺在合同条款或合同引用的文件(例如安全声明或隐私声明)中实施。云提供商通常会解释他们如何在信任中心发布的文档中实现安全性,其中包括对“责任共担模型”的引用。
外部管理服务—其他
如果申请人使用其他外部管理服务(例如远程管理),则申请人可能无法直接满足所有要求。申请人可以根据可行性选择是否将这些服务纳入范围。
如果包括在内,则申请人必须能够证明服务提供商充分满足了申请人无法控制的要求。可以考虑现有证据(例如通过云服务的PCI认证和涵盖适当范围的ISO认证提供的证据)。
网络应用程序
默认情况下,由开发公司(而不是内部开发人员)创建且可从Internet公开访问的商业Web应用程序在范围内。Web应用程序的定制和自定义组件不在范围内。针对此类应用程序中漏洞的主要缓解措施是符合商业最佳实践(如开放Web应用程序安全项目(OWASP)标准)的可靠开发和测试。
按技术控制主题划分的要求
防火墙
适用于:边界防火墙;台式电脑;笔记本电脑;路由器;服务器;IaaS;PaaS;SaaS。
目的
确保只能从互联网访问安全且必要的网络服务。
介绍
所有设备都运行网络服务,这些服务与其他设备和服务创建某种形式的通信。通过限制对这些服务的访问,您可以减少遭受攻击的风险。这可以使用防火墙和等效的网络设备或云服务中的数据流策略来实现。
边界防火墙是一种网络设备,可以将入站和出站网络流量限制为其计算机和移动设备网络上的服务。它可以通过实施称为“防火墙规则”的限制来帮助防止网络攻击,这些限制可以根据流量的来源、目的地和通信协议类型允许或阻止流量。
或者,如果组织不控制设备连接到的网络,则必须在设备上配置软件防火墙。其工作方式与边界防火墙相同,但仅保护配置边界防火墙的单个设备。这种方法可以提供更量身定制的规则,并意味着这些规则适用于使用任何位置的设备。但是,这会增加管理防火墙规则的管理开销。
本技术控制主题的要求
范围内的每台设备都必须受到正确配置的防火墙(或等效网络设备)的保护。
信息:大多数台式机和笔记本电脑操作系统现在都预装了软件防火墙,我们建议优先打开这些防火墙而不是第三方防火墙应用程序。
对于所有防火墙(或等效的网络设备),申请组织必须定期:
?将任何默认管理密码更改为难以猜测的替代密码(请参阅基于密码的身份验证),或完全禁用远程管理访问
?阻止从Internet访问管理接口(用于管理防火墙配置),除非有明确且记录在案的业务需求,并且接口受以下控件之一保护:
-多重身份验证(请参阅下面的MFA详细信息)
-IP允许列表,限制对一小部分受信任地址的访问,并结合正确管理的密码身份验证方法
?默认情况下阻止未经身份验证的入站连接
?确保入站防火墙规则由授权人员批准和记录;业务需求必须包含在文档中
?当不再需要不必要的防火墙规则时,快速删除或禁用它们
?在不受信任的网络(如公共Wi-Fi热点)上使用的设备上使用软件防火墙。