Machine Translated by Google

Comunidad de recursos de políticas de consenso

Política de seguridad del laboratorio DMZ

Descargo de responsabilidad de uso gratuito: esta política fue creada por o para el Instituto SANS para la
comunidad de Internet. La totalidad o parte de esta política se puede utilizar libremente para su organización.
No se requiere aprobación previa. Si desea contribuir con una nueva política o una versión actualizada de esta
política, envíe un correo electrónico a [email protected].

Aspectos a tener en cuenta: consulte las Preguntas frecuentes de Aspectos a tener en cuenta para obtener pautas
y sugerencias adicionales para personalizar la política para su organización.

Estado de la última actualización: Retirado

1. Información general

Ver Propósito.

2.Proposito
Esta política establece los requisitos de seguridad de la información para todas las redes y equipos implementados
en los laboratorios de <Nombre de la empresa> ubicados en la "Zona desmilitarizada" (DMZ). El cumplimiento de estos
requisitos minimizará el riesgo potencial para <Nombre de la empresa> por el daño a la imagen pública causado por el uso no
autorizado de los recursos de <Nombre de la empresa> y la pérdida de datos sensibles/confidenciales de la empresa y
propiedad intelectual.

3. Alcance
Las redes y dispositivos del laboratorio de <Nombre de la empresa> (incluidos, entre otros, enrutadores, conmutadores,
hosts, etc.) que están orientados a Internet y ubicados fuera de los cortafuegos de Internet corporativos de <Nombre de
la empresa> se consideran parte de los laboratorios de DMZ y están sujetos a esta política. . Esto incluye los laboratorios DMZ
en las ubicaciones remotas y en las ubicaciones primarias del proveedor de servicios de Internet (ISP). Todo el equipo existente
y futuro, que cae bajo el alcance de esta política, debe configurarse de acuerdo con los documentos a los que se hace
referencia. Esta política no se aplica a los laboratorios que residen dentro de los firewalls de Internet corporativos de <Company
Name>. Los estándares para estos laboratorios se definen en la Política de seguridad interna del laboratorio.

4. Política
3.1. Propiedad y Responsabilidades
1. Todos los laboratorios DMZ nuevos deben presentar una justificación comercial con aprobación a nivel de vicepresidente
de la unidad comercial. El equipo de Infosec debe mantener en archivo las justificaciones comerciales.

2. Las organizaciones propietarias de laboratorios son responsables de asignar gerentes de laboratorio, puntos de
contacto (POC) y POC de respaldo para cada laboratorio. Los propietarios del laboratorio deben mantener
actualizada la información de POC con el equipo de Infosec [y el sistema corporativo de gestión empresarial, si
existe]. Los gerentes de laboratorio o su respaldo deben estar disponibles las 24 horas para emergencias.

Instituto SANS 2014 – Todos los derechos reservados Página 1

Comunidad de recursos de políticas de consenso

3. Los cambios en la conectividad y/o el propósito de los laboratorios DMZ existentes y el establecimiento de nuevos
laboratorios DMZ deben solicitarse a través de una organización de soporte de red de <Nombre de la empresa> y deben
ser aprobados por el equipo de Infosec.

4. Todas las conexiones ISP deben ser mantenidas por un Soporte de red de <Nombre de la empresa>
Organización.

5. Una organización de soporte de red debe mantener un dispositivo de firewall entre los laboratorios DMZ e Internet.

6. La Organización de Apoyo a la Red y el Equipo Infosec se reservan el derecho de interrumpir las conexiones del
laboratorio si existe un problema de seguridad.

7. El Laboratorio DMZ proporcionará y mantendrá los dispositivos de red implementados en el Laboratorio DMZ hasta
al punto de demarcación de la Organización de Apoyo a la Red.

8. La Organización de soporte de red debe registrar todos los espacios de direcciones de DMZ Lab y la información de
contacto actual [en el sistema de gestión empresarial corporativa, si existe].

9. Los gerentes de laboratorio de DMZ son los responsables en última instancia de que sus laboratorios de DMZ cumplan con
esta politica

10. Se debe otorgar acceso inmediato a los registros del equipo y del sistema a los miembros del
Equipo Infosec y la Organización de Soporte de Red a pedido, de acuerdo con la Política de Auditoría

11. Las cuentas de laboratorio individuales deben eliminarse dentro de los tres (3) días cuando ya no se autorice el acceso.
Las contraseñas de cuentas grupales deben cumplir con la Política de contraseñas y deben cambiarse dentro de los
tres (3) días posteriores a un cambio en la membresía del grupo.

12. El equipo de Infosec abordará las solicitudes de exención de incumplimiento caso por caso.

3.2. Requisitos generales de configuración

2. DMZ Labs no debe estar conectado a las redes internas corporativas de <Company Name>,
ya sea directamente o a través de una conexión inalámbrica.

3. Los laboratorios DMZ deben estar en una sala físicamente separada de cualquier red interna. Si esto no es posible, el
equipo debe estar en un rack cerrado con acceso limitado. Además, el gerente del laboratorio debe mantener una lista
de quién tiene acceso al equipo.

4. Los gerentes de laboratorio son responsables de cumplir con las siguientes políticas relacionadas:

una. Política de contraseñas

Instituto SANS 2014 – Todos los derechos reservados Página 2

Comunidad de recursos de políticas de consenso

C. Política de
laboratorio 5. Los dispositivos de firewall mantenidos por la Organización de soporte de red deben configurarse de acuerdo con
los principios de acceso mínimo y las necesidades comerciales del laboratorio DMZ. Todos los filtros de firewall serán
mantenidos por el equipo de Infosec.

6. El dispositivo de firewall debe ser el único punto de acceso entre el DMZ Lab y el resto de las redes y/o Internet de <Company
Name>. Cualquier forma de conexión cruzada que pase por alto el dispositivo de firewall está estrictamente prohibida.

7. Las configuraciones originales del firewall y cualquier cambio en las mismas deben ser revisadas y aprobadas por el equipo de
Infosec (incluidas las configuraciones generales y los conjuntos de reglas). El equipo de Infosec puede requerir medidas de
seguridad adicionales según sea necesario.

8. Tráfico de DMZ Labs a la red interna de <Company Name>, incluida VPN

9. Todos los enrutadores y conmutadores que no se utilicen para pruebas y/o capacitación deben cumplir con la DMZ
Documentos de estandarización de routers y switches.

10. Los sistemas operativos de todos los hosts internos del laboratorio DMZ que ejecutan servicios de Internet deben configurarse
según los estándares de configuración e instalación de hosts seguros. [Agregar enlace URL al sitio donde se guardan sus
estándares de configuración interna].

11. Parches/revisiones de seguridad aplicables actuales para cualquier aplicación que esté conectada a Internet.
se deben aplicar los servicios. Los grupos de propietarios administrativos deben tener procesos implementados para
manténgase actualizado sobre los parches/revisiones apropiados.

12. Deben instalarse todos los parches de seguridad/revisiones de seguridad aplicables recomendados por el proveedor.
Los grupos de propietarios administrativos deben tener procesos implementados para mantenerse al día con los parches/
revisiones correspondientes.

13. Los servicios y aplicaciones que no cumplan con los requisitos comerciales deben deshabilitarse.

14. La información confidencial de <Nombre de la empresa> está prohibida en equipos de laboratorios a los que el personal
ajeno a <Nombre de la empresa> tenga acceso físico (p. ej., laboratorios de formación), de acuerdo con la Política de
protección y clasificación de datos.

15. La administración remota debe realizarse a través de canales seguros (p. ej., conexiones de red encriptadas mediante SSH o
IPSEC) o acceso a la consola independiente de las redes DMZ.

5. Cumplimiento de la política
5.1 Medición del cumplimiento

El equipo de Infosec verificará el cumplimiento de esta política a través de varios métodos, incluidos, entre otros, recorridos periódicos,

monitoreo de video, informes de herramientas comerciales, auditorías internas y externas y comentarios al propietario de la política.

Instituto SANS 2014 – Todos los derechos reservados Página 3

Comunidad de recursos de políticas de consenso

5.2 Excepciones
Cualquier excepción a la política debe ser aprobada por el equipo de Infosec por adelantado.

5.3 Incumplimiento
Un empleado que haya violado esta política puede estar sujeto a medidas disciplinarias, que pueden incluir el despido.

6 Normas, políticas y procesos relacionados

• Política de Clasificación y Protección de Datos

• Política de

laboratorio • Política de contraseña

• Política de comunicaciones inalámbricas

7 Definiciones y Términos
La siguiente definición y términos se pueden encontrar en el Glosario SANS ubicado en:
https://www.sans.org/security-resources/glossary-of-terms/

• Listas de control de acceso (ACL)

• Zona Desmilitarizada (DMZ)

• Principio de acceso mínimo

• Punto de demarcación de la organización de apoyo a la red

• Gerente de laboratorio
• Laboratorio

• Cortafuegos

8 Historial de revisiones

Fecha de Cambio Responsable Resumen de cambios

julio de 2014 Equipo de políticas de SANS Convertido al nuevo formato y retirado. Las secciones correspondientes
se fusionaron en la Política de seguridad del laboratorio.

Instituto SANS 2014 – Todos los derechos reservados Página 4