Konfigurationsstyring

Konfigurationsstyring er processen med at etablere, dokumentere og vedligeholde sikre standardindstillinger for systemer, servere og netværksenheder. Det sikrer konsistens på tværs af organisationens IT-miljø og reducerer angrebsfladen.

Tilbage til ordbog

Hvad er konfigurationsstyring?

Konfigurationsstyring (Configuration Management) handler om at sikre, at alle systemer i organisationen er opsat korrekt og konsistent. Det gælder servere, arbejdsstationer, netværksudstyr, cloud-ressourcer og applikationer.

Standardinstallationer af operativsystemer og software er sjældent sikre. De leveres med åbne porte, aktiverede standardkonti, unødvendige tjenester og svage indstillinger. Konfigurationsstyring adresserer dette ved at definere sikre baselines og håndhæve dem på tværs af miljøet.

Det er tæt forbundet med patchstyring (hold systemer opdaterede), sårbarhedsscanning (find fejlkonfigurationer) og endpoint-sikkerhed (beskyt enheder). Sammen reducerer de angrebsfladen markant.

Hardening og baselines

Hardening er processen med at gøre et system mere sikkert ved at reducere angrebsfladen:

Fjern unødvendige tjenester: Deaktivér software og services, der ikke bruges. Hver aktiv tjeneste er en potentiel angrebsvektor.
Luk porte: Tillad kun nødvendige porte. Brug host-baserede firewalls til at begrænse netværksadgang.
Skift standardindstillinger: Ændr standardpasswords, omdøb standardkonti, og deaktivér gæstekonti.
Aktivér logning: Slå logning til for sikkerhedsrelevante hændelser og send logs til SIEM.
Anvend mindst privilegium: Tjenester og processer bør køre med de mindst nødvendige rettigheder.

Sikkerhedsbaselines som CIS Benchmarks giver detaljerede anbefalinger for hardening af specifikke platforme. De kan bruges som udgangspunkt og tilpasses organisationens behov.

Konfigurationsstyring i praksis

Effektiv konfigurationsstyring kræver processer og automatisering:

Configuration Management Database (CMDB): En central database, der holder styr på alle IT-aktiver og deres konfiguration. CMDB'en giver overblik over, hvad der er installeret hvor, og hvilken version der kører.

Infrastructure as Code (IaC): Definér konfigurationer som kode, der kan versionsstyres, testes og udrulles automatisk. Værktøjer som Ansible, Puppet og Terraform sikrer reproducerbar og konsistent konfiguration.

Drift detection: Overvåg systemer løbende for afvigelser fra den godkendte baseline. Automatiserede værktøjer kan advare eller automatisk rette konfigurationsafvigelser. Det hænger sammen med overvågning.

Change management: Alle konfigurationsændringer bør godkendes og dokumenteres. Det sikrer sporbarhed og gør det muligt at rulle ændringer tilbage, hvis de forårsager problemer.

Kombinér konfigurationsstyring med sårbarhedsscanning for at identificere systemer, der afviger fra baselines, og penetrationstests for at verificere, at konfigurationen faktisk modstår angreb.

Regulativer og standarder

CIS 18 dedikerer kontrol 4 til sikker konfiguration af virksomhedsaktiver og software. Det inkluderer etablering af baselines, hardening og løbende overvågning af konfigurationer.

ISO 27001 og Annex A adresserer konfigurationsstyring i kontrol A.8.9 (konfigurationsstyring) og A.8.19 (installation af software). Et ISMS bør definere processer for sikker konfiguration som en del af de tekniske og organisatoriske foranstaltninger.

NIS2 og DORA kræver, at organisationer vedligeholder sikre konfigurationer af deres IKT-systemer. Under GDPR er sikker konfiguration en del af beskyttelsen af persondata.

Ofte stillede spørgsmål om konfigurationsstyring

Hvad er en sikkerhedsbaseline?

En sikkerhedsbaseline er en dokumenteret standardkonfiguration, der definerer de minimumssikkerhedsindstillinger for en given systemtype. Eksempler inkluderer CIS Benchmarks og Microsoft Security Baselines.

Hvad er hardening?

Hardening er processen med at reducere angrebsfladen på et system ved at fjerne unødvendige tjenester, lukke porte, deaktivere standardkonti og anvende sikre indstillinger. Det gør systemet mere modstandsdygtigt mod angreb.

Hvordan holder man styr på konfigurationsændringer?

Brug et change management-system til at godkende, dokumentere og spore alle ændringer. Automatiserede værktøjer kan detektere afvigelser fra baselines (configuration drift) og advare eller automatisk rette dem.