Controlando el servidor de Windows en los servicios web de Amazon

2

Nuestro sitio cumple con la norma ISO-27001. Como parte del cumplimiento, se nos recomendó no utilizar RDP para conectarse al servidor, sino elegir un servidor en la nube que proporcione una interfaz web.

Nuestro servidor de nube actual utiliza NoVNC.

¿Cuál es la forma recomendada por ISO-27001 de conectarse a los servidores de Windows en Amazon?

Como el propio Amazon es compatible con ISO-27001 desde 2010, enlace luego imagino que Amazon proporciona un RDP más seguro que los servidores en la nube normales, o podría ser que nuestro asesor para los estándares ISO-27001 sea demasiado estricto.

Sin embargo, una ventaja adicional de NoVNC (a diferencia de RDP) es que ponemos Bitlocker en los discos duros del servidor, por lo que si el servidor se reinicia y está esperando la contraseña de Bitlocker, podemos solucionarlo mediante NoVNC . Además, si el escritorio remoto no funciona por cualquier motivo, NoVNC puede ser útil. (Tenga en cuenta que aprecio que Bitlocker en los servidores de Amazon no sea tan simple y que Amazon tenga su propio método de cifrado de discos duros. enlace )

    
pregunta gordon613 30.05.2018 - 13:12
fuente

1 respuesta

3

Primero que todo: ISO / IEC 27001 es la norma que especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de administración de seguridad de la información. Los controles de seguridad se especifican en la norma ISO / IEC 27002.

En general, la serie ISO 27000 (incluidas las normas ISO / IEC 27001 y 27002) no recomienda el uso de productos o ciertas tecnologías para implementar un control. Un control típico en la norma se describe de una manera bastante abstracta. Aquí hay un ejemplo (traducido libremente de la versión alemana):

  

13.2.1 Pautas y procedimientos para la transmisión de información

     

Deben existir políticas, procedimientos y medidas de transmisión formales para proteger la transmisión de información para todos los tipos de dispositivos de comunicación.

     

Instrucciones para la implementación

     

En el contexto de los procedimientos y medidas que deben seguirse al utilizar las facilidades de comunicación para la transmisión de información, se deben tener en cuenta los siguientes puntos:
  (a) desarrollar procedimientos para evitar que la información transmitida sea interceptada, copiada, alterada, desviada o destruida;   (b) los métodos de detección y protección contra el malware transmitido mediante el uso de equipos de comunicaciones electrónicas (véase 12.2.1);   (c) los procedimientos para la protección de la información electrónica sensible transferida, que están en forma de un anexo; [...] 1

Entonces, para responder a su pregunta: no hay una una verdadera ", la manera recomendada por ISO-27001 de conectarse a los servidores de Windows en Amazon", porque no se menciona qué tecnología, protocolo o producto debería ser usado. Esto es algo que debe decidir, pero lo importante aquí es que, al final, debe ajustarse a las descripciones de un control. Entonces, por ejemplo, RDP puede ser usado de manera segura, pero tiene muchas configuraciones que hacer, lo que puede ser complicado.

Para volver a su ejemplo: usar un proveedor en la nube es bastante fácil y usar uno que tenga la certificación ISO 27001 también es una ventaja en su propia auditoría. Para certificarse, tendrá que leer las normas, entenderlas y solo luego implementar un control que se ajuste a los requisitos dentro de su alcance.

1: Cita tomada de DIN ISO / IEC 27002: 2016-11

    
respondido por el Tom K. 30.05.2018 - 14:20
fuente

Lea otras preguntas en las etiquetas