Security-Cockpit

Das Security-Cockpit befindet sich im Administrationsbereich des BPC. Es soll Ihnen einen Überblick über den Zustand der Anwendung aus IT-Security-Perspektive geben. Das BPC verfügt über mehrere Security-Checks, die periodisch oder bei Konfigurationsänderungen durchgeführt werden. Die Ergebnisse dieser Checks werden in einer Gesamtwertung zusammengeführt. Zusätzlich werden die letzten Ergebnisse der einzelnen Sicherheitsprüfungen angezeigt. Für die Anzeige aller gespeicherten Test-Ergebnisse steht ein Monitor bereit.

Zusätzlich wird ein Plugin angeboten, dass auch außerhalb der Administrationsseite einen schnellen Überblick über den Zustand gibt.

Die Bewertung der IT-Sicherheit ist ein sehr komplexes Thema und sollte immer zusätzlich von entsprechenden Expert:innen durchgeführt werden. Die Sicherheitsprüfungen bieten keine abschließende Bewertung der IT-Sicherheit.

Das Ziel ist es unsichere Konfigurationen und Systembedingungen aufzuzeigen.

Gesamtwertung

Die Gesamtwertung soll ein Indikator für den Gesamtzustand des Systems bieten. Sie errechnet sich aus den Punkten, die durch die Sicherheitsprüfungen zusammen gerechnet werden. 100% sind erreicht, wenn alle Prüfungen mit voller Punktzahl abgeschlossen wurden.

Sicherheitsprüfungen

Im BPC werden durch verschiedene Tests jeweils einzelne Aspekte der Anwendung überprüft und bewertet. Jeder Test hat eine definierte Punktzahl, die erreicht werden kann. Diese Höchstpunktzahl ist in den meisten Fällen 1, da häufig nur einzelne Aspekte geprüft werden.

Zusätzlich enthalten die Testergebnisse Detailinformationen, die Aufschluss über mögliche Missstände bieten.

Monitor

Dieser Monitor zeigt die aktuellen und vergangenen Testergebnisse der Sicherheitsprüfungen an. Er wird automatisch durch das BPC angelegt und ist auch in der Liste der verfügbaren Monitore zu finden.

Tests aus der Gesamtwertung ausschließen

Es ist möglich Sicherheitsprüfungen aus der Gesamtwertung auszuschließen. Dies sollte nur bewusst in Einzelfällen vorgenommen werden, wenn die durch den Test betroffenen Aspekte durch andere Maßnahmen geschützt werden.

Ein Test kann über die Datei KARAF/etc/de.virtimo.bpc.core.security.checks.cfg von der Gesamtwertung ausgeschlossen werden. Dafür ist dort ein Eintrag in der Form von TEST_ID.ignoreInReport=true anzulegen.

Ausgeschlossene Tests werden in der Liste der Sicherheitsprüfungen nicht mehr angezeigt und auch nicht in der Gesamtwertung berücksichtigt. Diese Tests werden jedoch weiterhin ausgeführt und deren Ergebnisse sind im Monitor zu finden.

Beispiel KARAF/etc/de.virtimo.bpc.core.security.checks.cfg

Unresolved include directive in modules/core/pages/admin/operation/security-cockpit.adoc - include::example$generated/bpc-karaf/etc/de.virtimo.bpc.core.security.checks.cfg[]

Liste der Security-Checks

In der folgenden Tabelle werden alle Security-Checks des BPCs beschrieben. Eine detailliertere Beschreibung und Anleitung, wie man das System in Bezug auf den Test sicherer gestaltet, kann auf der entsprechenden Seite des Checks gelesen werden.

Name (Bezeichner) Beschreibung

Name (Bezeichner)	Beschreibung
TLS-Check (TlsCheck)	Prüft, ob in der Java-Security-Konfiguration für TLS nur Algorithmen erlaubt sind, die als sicher gelten. Der Check orientiert sich hier an den Empfehlungen von Mozilla.
IP-Pinning-Check (IpPinningCheck)	Überprüft, ob IP-Pinning aktiviert ist.
HTTPS-Check (HttpsCheck)	Prüft, ob das BPC nur mit HTTPS erreicht werden kann.
BPC-Basis-URL-HTTPS-Check (BpcBaseUrlHttpsCheck)	Prüft, ob die konfigurierte BPC-Basis-URL HTTPS und nicht HTTP verwendet. Dies ist ein Indikator, dass auch die Erreichbarkeit von Außen verschlüsselt ist.
HTTP-Proxy-Check (BackendConnectionHttpProxyCheck)	Prüft, ob die vorhandenen Backend-Connections vom Typ `http_proxy` sicher konfiguriert sind. Es wird geschaut, dass TLS mit Zertifikatsprüfung verwendet wird und kein unverschlüsseltes Basic-Authentication konfiguriert ist.

TLS-Check (TlsCheck)

Prüft, ob in der Java-Security-Konfiguration für TLS nur Algorithmen erlaubt sind, die als sicher gelten. Der Check orientiert sich hier an den Empfehlungen von Mozilla.

IP-Pinning-Check (IpPinningCheck)

Überprüft, ob IP-Pinning aktiviert ist.

HTTPS-Check (HttpsCheck)

Prüft, ob das BPC nur mit HTTPS erreicht werden kann.

BPC-Basis-URL-HTTPS-Check (BpcBaseUrlHttpsCheck)

Prüft, ob die konfigurierte BPC-Basis-URL HTTPS und nicht HTTP verwendet. Dies ist ein Indikator, dass auch die Erreichbarkeit von Außen verschlüsselt ist.

HTTP-Proxy-Check (BackendConnectionHttpProxyCheck)

Prüft, ob die vorhandenen Backend-Connections vom Typ http_proxy sicher konfiguriert sind. Es wird geschaut, dass TLS mit Zertifikatsprüfung verwendet wird und kein unverschlüsseltes Basic-Authentication konfiguriert ist.