1.
Käyttöpalveluympäristön on toteutettava turvallisuusarkkitehtuurin luottamusalueet
Tietoturva-arkkitehtuurissa kuvattujen luottamusalueiden (katso 7.1 Tietoturvallisen arkkitehtuurin ja suunnittelun yleisperiaatteet) on oltava näkyvissä ja teknisesti toteutettu verkko- ja ajoympäristöjen toteutuksessa, sikäli kun niiden toteutus on tällä tasolla mahdollista.
Pilviympäristöjen erityishuomiot:
Luottamusalueiden toteutuksesta Kubernetes-klusterissa katso 12. Tekninen ohje (liite 7).
2.
Kehitystä tukeva pääsy tuotantoaikaisiin käyttöpalveluympäristöihin on toteutettava turvallisesti
Jos kehitystä varten on avattava pääsy tuotantoaikaisiin käyttöpalveluympäristöihin, pääsyn on oltava avoin vain erikseen nimetyille henkilöille, tehdyistä toimenpiteistä on jäätävä auditoitava merkintä, ja pääsy on rajattava verkkoteknisesti pienimpään mahdolliseen.
Pilviympäristöjen erityishuomiot:
Forensiikka- ja viantutkintatapauksissa pitää ensisijaisesti luoda pilviresurssista kopio, jota voidaan tutkia.
3.
Auditointilokien seuraaminen on järjestettävä
Auditointilokeja (ks. 7.4 Auditoitavuuden yleisperiaatteet) on seurattava automaattisin hälytyksin. Hälytykset määritellään perustuen uhkamallinnukseen ja tärkeimpiin käyttötapauksiin (ks. 7.1 Tietoturvallisen arkkitehtuurin ja suunnittelun yleisperiaatteet ja 7.7 Tietoturvallisten palvelurajapintojen ja käyttöliittymien yleisperiaatteet).
4.
Palvelun saatavuuden monitorointi on järjestettävä
Palvelun saatavuutta on monitoroitava sekä palvelun käyttäjille tarkoitetusta rajapinnasta että monitorointirajapintojen kautta (ks. 7.4 Auditoitavuuden yleisperiaatteet). Saatavuusongelmiin on määriteltävä soveltuvat hälytykset.
5.
Ajoympäristöt on kovennettava
Palvelun sovellusten ajamiseen käytettävät ajoympäristöt on kovennettava. Suositeltava kovennustapa on CIS Benchmarks -kovennusohjeiden noudattaminen soveltuvin osin, sekä sovellusten ajaminen rajoitetuissa ajoympäristöissä (esim. kontit) mahdollisuuksien mukaan.
Pilviympäristöjen erityishuomiot:
Docker- ja Kubernetes-ympäristöistä katso 12. Tekninen ohje (liite 7).
6.
Internetiin avoinna olevien sovelluspalveluiden edustalla tulee olla sisällönjakeluverkko (content delivery network), välityspalvelin tai kuormantasain
Sovelluksen itsensä tulee olla päätepiste mahdollisimman ohuelle protokollapinolle, jotta mahdolliset tuntemattomat haavoittuvuudet näissä protokollissa eivät vaikuta suoraan sovelluksen ajoympäristöön.
Esimerkki: Sovelluspalvelimen eteen laitetaan kuormantasain, joka terminoi TLS-kerroksen ja sen alapuolella olevat protokollakerrokset. Kuormantasain välittää selaimen ulkoisen IP-osoitteen sovellukselle lokitusta varten.
Pilviympäristöjen erityishuomiot:
Kuormantasaukseen ja jakeluverkkona käytetään mieluiten pilvipalvelun tarjoamia palveluita, joilla on tunnetusti hyvä suorituskyky.
Katso 12. Tekninen ohje (liite 7) TLS-protokollasta ja lokien luonnista.
7.
Liikenteen salaus
Kaikki julkisen Internetin yli siirrettävä tieto on salattava kulloinkin vahvana pidettävällä tavalla. Jos muuta ei ole määritelty, soveltuva tapa on uusin TLS-protokollan versio Kyberturvallisuuskeskuksen konfiguraatio-ohjetta noudattaen.
Pilviympäristöjen erityishuomiot:
Jos käytetty pilvipalvelukomponentti (esimerkiksi kuormantasain) ei tue määriteltyjä TLS-vaatimuksia, tehdään päätös siitä, onko riskialttiimpaa toteuttaa komponentti itse vai hyväksyä poikkeava salauskonfiguraatio.
Katso 12. Tekninen ohje (liite 7) TLS-protokollasta.
8.
Tallennettavan tiedon salaus
Kaikilla henkilötietoja tai turvallisuusluokiteltua materiaalia sisältävillä tallennusmedioilla on oltava käytössä tallennusmediatason salaus. Muilta osin salauksen tarve voidaan vaatia riskiperusteisesti erikseen.