CC6.6: Безопасность границ системы

Подробное описание

Критерий CC6.6 требует от организации внедрения защитных механизмов на границах системы для предотвращения несанкционированного доступа и атак. Граница системы включает периметр сети, точки интеграции с внешними сервисами, публичные API и облачную инфраструктуру. Контроль должен охватывать технические меры (файрволы, WAF, IDS/IPS) и процедуры мониторинга трафика. Аудиторы SOC 2 проверяют архитектуру сетевой безопасности, правила фильтрации трафика и логи инцидентов на границе периметра.

Практические шаги внедрения

1. 1

   Определить границы доверия системы: сегментация сети, DMZ для публичных сервисов, изоляция production от корпоративной сети

2. 2

   Развернуть Web Application Firewall (WAF) для защиты веб-приложений от OWASP Top 10, SQL-инъекций, XSS

3. 3

   Настроить DDoS-защиту на уровне DNS и транспортном уровне (rate limiting, geo-blocking, анализ аномалий трафика)

4. 4

   Внедрить API Gateway с аутентификацией, rate limiting, валидацией схем запросов для всех публичных API

5. 5

   Установить IDS/IPS для обнаружения сигнатур атак и аномального поведения на границе периметра

6. 6

   Настроить централизованное логирование всего трафика через границу с интеграцией в SIEM для корреляции событий

7. 7

   Проводить ежеквартальные пентесты внешнего периметра и сканирование уязвимостей публично доступных хостов

Типичные нарушения

• Отсутствие WAF или устаревшие наборы правил, не покрывающие актуальные векторы атак (OWASP Top 10 2021+)

• Прямой доступ к production базам данных из интернета без VPN, обнаруженный через сканирование открытых портов

• Не настроен rate limiting на публичных API, что позволяет проводить brute-force атаки и DoS

• Отсутствие мониторинга DDoS-атак: инциденты не фиксируются, нет процедур mitigation

• Логи файрволов и WAF не интегрированы в SIEM, инциденты на границе не коррелируются с внутренними событиями

Почему это важно

Проверяемые категории

Связанные контроли