Security-Cockpit

Das Security-Cockpit befindet sich im Administrationsbereich des BPC. Es soll Ihnen einen Überblick über den Zustand der Anwendung aus IT-Security-Perspektive geben. Dafür wird eine Gesamtwertung angezeigt und die Ergebnisse der Sicherheitsprüfungen, die durchgeführt wurden. Zusätzlich werden die letzten Ergebnisse der einzelnen Sicherheitsprüfungen angezeigt. Für die Anzeige aller gespeicherten Test-Ergebnisse steht ein Monitor bereit.

security dashboard

Zusätzlich wird ein Plugin angeboten, dass auch außerhalb der Administrationsseite einen schnellen Überblick über den Zustand gibt.

Die Bewertung der IT-Sicherheit ist ein sehr komplexes Thema und sollte immer zusätzlich von entsprechenden Exptert:innen durchgeführt werden. Die Sicherheitsprüfungen bieten keine abschließende Bewertung der IT-Sicherheit.

Das Ziel ist es unsichere Konfigurationen und Systembedingungen aufzuzeigen.

Gesamtwertung

Die Gesamtwertung soll ein Indikator für den gesamten Zustand des Systems bieten. Sie errechnet sich aus den Punkten, die durch die Sicherheitsprüfungen zusammen gerechnet werden. 100% sind erreicht, wenn alle Prüfungen mit voller Punktzahl abgeschlossen wurden.

Sicherheitsprüfungen

Im BPC werden durch verschiedene Tests jeweils einzelne Aspekte der Anwendung überprüft und bewertet. Jeder Test hat eine definierte Punktzahl, die erreicht werden kann. Diese Höchstpunktzahl ist in den meisten Fällen 1, da häufig nur einzelne Aspekte geprüft werden.

Zusätzlich enthalten die Testergebnisse Detailinformationen, die Aufschluss über mögliche Missstände bieten.

Monitor

Dieser Monitor zeigt die aktuellen und vergangenen Testergebnisse der Sicherheitsprüfungen an. Er wird automatisch durch das BPC angelegt und ist auch in der Liste der verfügbaren Monitore zu finden.

security check results monitor

Tests aus der Gesamtwertung ausschließen

Es ist möglich Sicherheitsprüfungen aus der Gesamtwertung auszuschließen. Dies sollte nur bewusst in Einzelfällen vorgenommen werden, wenn die durch den Test betroffenen Aspekte durch andere Maßnahmen geschützt werden.

Ein Test kann über die Datei KARAF/etc/de.virtimo.bpc.core.security.checks.cfg von der Gesamtwertung ausgeschlossen werden. Dafür ist dort ein Eintrag in der Form von TEST_ID.ignoreInReport=true anzulegen.

Ausgeschlossene Tests werden in der Liste der Sicherheitsprüfungen nicht mehr angezeigt und auch nicht in der Gesamtwertung berücksichtigt. Diese Tests werden jedoch weiterhin ausgeführt und deren Ergebnisse sind im Monitor zu finden.

Beispiel KARAF/etc/de.virtimo.bpc.core.security.checks.cfg
# General Security Check Settings
deleteCheckResultsOlderThan=10 days ago

# Check Report Settings
IpPinningCheck.ignoreInReport=false
TlsCheck.ignoreInReport=false
HttpsCheck.ignoreInReport=false
BpcBaseUrlHttpsCheck.ignoreInReport=false
BackendConnectionHttpProxyCheck.ignoreInReport=false

# TlsCheck Configuration
mozillaTlsRecommendationType=intermediate
Press Esc to exit full screen
Modal image placeholder
Press Esc to exit full screen