Lukas Zorn
Master Thesis, Hochschule Wismar, November 2022
Autor: Lukas Zorn
Titel: Konzeption eines Vorgehensmodells zur Ableitung von Härtungsmaßnahmen für nicht-relationale Datenbanksysteme
Abstrakt
Im Rahmen dieser Master-Thesis wird ein Vorgehensmodell zur Ableitung von Härtungsmaßnahmen für nicht-relationale Datenbanksysteme auf der Basis mehrerer etablierter Standards verschiedener Organisationen entwickelt. Diese bestehen zum einen aus den übergreifenden prozess- und systemorientierten BSI IT-Grundschutz- Bausteinen und zum anderen aus 3 CIS-Benchmarks und 2 STIGs-Leitfäden, die sich bei beiden explizit mit der technischen Absicherung eines bestimmten nicht- relationalen Datenbanksystems befassen. Deren individuelle Maßnahmen werden zu insgesamt 82 neuen Anforderungen zusammengefasst, für die jeweils eine detaillierte Beschreibung formuliert und, wo möglich, weitere Best-Practice-Ansätze als Leitfaden für die technische Realisierung angegeben werden. Anschließend wird das Vorgehensmodell auf die Community-Editionen der Daten- banksysteme Neo4j und Redis angewendet, wodurch die jeweiligen technischen Maß- nahmen zur Einrichtung einer gehärteten Konfiguration im Detail herausgearbeitet werden. Für Redis werden diese zusätzlich in ein InSpec-Compliance-Profil überführt, dessen Ausführung einen automatisierten Soll-Ist-Abgleich der Konfiguration im Hinblick auf die Konformität mit den Anforderungen ermöglicht. Grundsätzlich beschränkt sich der Geltungsbereich der Master-Thesis auf technische Maßnahmen, während organisatorische und prozessuale Aspekte nicht berücksichtigt werden.
Abstract
In the course of this master thesis, a process model for the derivation of hardening procedures for non-relational database systems is developed on the basis of several established standards of different organizations. These consist, on the one hand, of the generic process- and system-oriented BSI IT-Grundschutz blocks and, on the other hand, of 3 CIS Benchmarks and 2 STIGs Guides, both of which explicitly deal with the technical hardening of a specific non-relational database system. Their individual measures are combined into a total of 82 new requirements, for each of which a detailed description is expressed and, where possible, further best-practice approaches are given as a guide to technical implementation. The process model is then applied to the community editions of the Neo4j and Re- dis database systems, whereby the respective technical measures for setting up a hardened configuration are worked out in detail. For Redis, these are additionally converted into an InSpec compliance baseline, whose execution enables an automa- ted target-performance comparison of the configuration with regard to its conformity with the requirements. As a rule, the scope of the master thesis is limited to technical measures, while organizational and process-related aspects are not taken into account.
Download Folien zum Kolloqium als PDF-Dokument
GitHub-Repository: https://github.com/lonkey/redis-baseline
