In seguito all’aumento esponenziale degli attacchi informatici, si rende necessario elaborare linee guida di sicurezza ICT minime che, nel rispetto delle normative vigenti (Misure minime ICT per le PA, AgID), rispondano alle esigenze di protezione delle Infrastrutture informatiche di Ateneo.
Nel dettaglio, i requisiti tecnici da rispettare per ogni nodo sono:
- Sistema operativo entro il ciclo di vita (endoflife.date/);
- Aggiornamenti periodici di sicurezza, almeno su base quindicinale o, nel caso di advisory su vulnerabilità critiche, entro 24h dalla notifica (CSIRT Italia – www.csirt.gov.it);
- Installazione dell’agent del SIEM istituzionale (Istruzioni a questa pagina: Installazione Agent di Wazuh);
- Nel caso di sistemi operativi MS Windows, presenza anche di antivirus, firewall e soluzione antimalware attivi e funzionanti;
L’esposizione dei servizi non deve essere generica ma limitata solo ed esclusivamente ai servizi strettamente necessari, tra cui è bene evitare l’esposizione dei servizi di assistenza e manutenzione (es. SSH, FTP…). E’ proibito esporre servizi come le porte di management di DBMS, servizi di condivisione schermo come RDP, VNC e simili, strumenti di amministrazione da remoto come phpMyAdmin e similari. Si sottolinea il divieto assoluto sull’uso di strumenti di accesso remoto di terze parti come TeamViewer o AnyDesk. Eventuali particolari esigenze vanno puntualmente segnalate e valutate attentamente alla luce dei potenziali rischi per l’infrastruttura di Ateneo.
E’ necessario inoltre che il responsabile del nodo esegua periodiche verifiche di vulnerabilità sul sistema esposto, ivi incluse potenziali vulnerabilità applicative (es. SQL Injection, XSS, CRSF…), e si impegni a rispettare le linee guida OWASP Web Security Testing Guide (owasp.org/www-project-web-security-testing-guide/).
I servizi Web dovranno essere esposti esclusivamente su canale HTTPS. Eventuali esigenze specifiche di traffico HTTP non cifrato dovranno essere valutate. I siti web potranno avere il servizioo HTTP esposto a condizione che sia un redirect 301 verso il canale HTTPS. I certificati SSL non dovranno essere self-signed.
In merito al traffiico outbound, si precisa che di default è da considerarsi bloccato, al netto della connettività necessaria agli aggiornamenti del software (es. repository). Eventuali particolari esigenze a tal proposito vanno concordate e implementate nell’ottica di garantire la maggiore protezione possibile.
| TIPO DI TRAFFICO | PERMESSI DI DEFAULT | NOTE |
|---|---|---|
| Inbound HTTP e HTTPS | APERTO | HTTP deve rispondere con un redirect 301 verso la versione HTTPS del sito web |
| Inbound FTP | CHIUSO | eventualmente accessibile solo previa connessione via VPN e l’uso di MeshCentral |
| Inbound SSH | CHIUSO | eventualmente accessibile solo previa connessione via VPN e l’uso di MeshCentral |
| Inbound RDP/VNC… | CHIUSO | eventualmente accessibile solo previa connessione via VPN e l’uso di MeshCentral |
| Inbound altri servizi | CHIUSO | le necessità saranno valutate singolarmente |
| Oubound | CHIUSO | il traffico in uscita sarà chiuso di default, ad eccezione del traffico HTTP/HTTPS verso i siti web per l’aggiormanento del software e sistema operativo (es. repo GNU/Linux, Windows Update…) |
Per motivi di sicurezza l’esposizione su Internet di dispisitivi di tipo NAS (Synology, QNAP…) non sarà consentita. Eventuali particolari esigenze dovranno essere valutate dallo staff tecnico.
Come da Disciplinare Informatico dell’Università di Siena, l’Ateneo si riserva la facoltà di disconnettere temporaneamente il nodo, anche senza preavviso, nel caso di problematiche di sicurezza gravi o per inottemperanza dei criteri indicati.
Si ricorda che il servizio di helpdesk tecnico-informatico è raggiungibile all’indirizzo mail helpdesk@unisi.it