Einhaltung der NIS2-Richtlinie

Die NIS-2-Richtlinie enthält EU-weite Rechtsvorschriften zur Cybersicherheit. NIS-2 ermutigt die EU-Mitgliedsstaaten, bewährte Praktiken im Bereich der Cybersicherheit einzuführen und dem wachsenden Ansturm von Cyberangriffen entgegenzutreten. NIS-2 ist eine Aktualisierung der vorherigen Richtlinie zur Netz- und Informationssicherheit (NIS).

Wenn Sie DNS-Hosting via Plesk anbieten möchten und Ihre potenziellen Kunden Betreiber wesentlicher oder wichtiger Dienste sind (z. B. Unternehmen im Energie-, Transport- oder Gesundheitssektor), müssen Sie Ihr Angebot in Plesk NIS-2-kompatibel machen.

So machen Sie Plesk NIS-2-konform:

  1. Aktivieren Sie den NIS-2-Kompatibilitätsmodus, indem Sie die folgenden Zeilen in die Datei panel.ini einfügen:

    [actionLog]
    nis2compliant = true
    

    Dieser Modus macht es unmöglich, die Protokollierung von DNS- und Authentifizierungsänderungen (z. B. fehlgeschlagene und erfolgreiche Anmeldungen) zu deaktivieren und verhindert eine vollständige Entfernung von Ereignissen im Aktionsprotokoll.

  2. Im NIS-2-Kompatibilitätsmodus protokolliert Plesk API-Anfragen, über die seine Einstellungen geändert werden. Plesk kann jedoch auch API-Anfragen protokollieren, bei denen keine Daten geändert werden (z. B. GET-Anfragen). Um dies zu aktivieren, fügen Sie die folgenden Zeilen in die Datei panel.ini ein:

    [actionLog]
    api.includeImmutable = true
    
  3. Stellen Sie sicher, dass die richtigen Zeit- und Datumseinstellungen auf Ihrem Plesk Server konfiguriert wurden und diese mit einer einzigen Referenzzeitquelle synchronisiert sind. Wir empfehlen, dass Sie die Erweiterung NTP Timesync verwenden, um zeitbezogene Einstellungen zu steuern und zu verwalten.

  4. Prüfen Sie, ob die erforderlichen Konten durch eine Multi-Faktor-Authentifizierung (MFA) geschützt sind. Wir empfehlen, die Erweiterung Google Authenticator zu verwenden.

  5. Deaktivieren Sie alle Verbindungen über die Plesk API, indem Sie die folgenden Zeilen in die Datei panel.ini einfügen:

    [api]
    enabled = false
    

    Damit wird verhindert, dass Plesk ohne MFA verwaltet werden kann (zum Beispiel kann die Plesk Mobile App MFA umgehen).

    Wenn Sie den Zugriff auf die Plesk API ermöglichen müssen, sollten Sie dies nur für bestimmte IP-Adressen zulassen, zum Beispiel:

    [api]
    allowedIPs = 192.0.2.1,192.0.2.100
    

    Weitere Informationen finden Sie unter Einschränken des Remotezugriffs via Plesk API.

  6. Stellen Sie sicher, dass in Plesk sichere Passwörter verwendet werden. Details finden Sie unter Festlegen der Richtlinie für die Passwortsicherheit.

  7. Fail2Ban muss aktiviert sein und die vorkonfigurierten Jails ssh und plesk-panel müssen aktiv sein. So ist Fail2Ban darauf ausgerichtet, Systemprotokolle auf Brute-Force-Angriffe zu überwachen.

  8. Geben Sie Ihren Kunden die Möglichkeit, die DNS-Zone mit DNSSEC zu signieren. Verwenden Sie dazu die Erweiterung DNSSEC (sie ist in den Editionen Web Pro und Web Host kostenlos enthalten).

  9. Die Erweiterung Log Browser Version 1.7.0 oder höher muss installiert sein. Mit dieser Erweiterung können Plesk Administratoren, Reseller und Kunden DNS- und authentifizierungsbezogene Ereignisse überwachen.

  10. Um die Protokolle in Plesk vor unbefugten Änderungen zu schützen, speichern Sie eine Kopie der Protokolle auf einem externen und von Plesk unabhängigen Protokollserver.

    Bemerkung

    In Plesk werden Einträge im Aktionsprotokoll in Backups gesichert, aber bei einer Wiederherstellung des Backups nicht überschrieben. Einträge im Aktionsprotokoll werden in separaten Dateien mit dem Präfix backup_action-log gespeichert (zum Beispiel backup_action-log_2403281045.tzst (.zip)). Die Dateien des Plesk Administrators enthalten alle Einträge, die Dateien von Kunden und Reseller jedoch nur die für sie relevanten Einträge. Weitere Informationen zum Extrahieren von Ereignisprotokolldateien aus einem Backup in Plesk