8 pagrindiniai patarimai, kaip apsaugoti interneto programų serverį

Daugeliu atvejų žiniatinklio programų serveriai turi būti viešai prieinami, tai reiškia, kad jie susiduria su visų rūšių grėsmėmis.


Daugelis šių grėsmių yra nuspėjamos ir lengvai išvengiamos, o kitos nežinomos ir gali jus suklaidinti. Norėdami sumažinti pastarojo atvejo galimybę, siūlome svarbiausių patarimų, kaip žiniatinklio programų serverius išlaikyti kuo saugesnius, sąrašą.

Prieš pradėdami nuo patarimų sąrašo, turite suprasti, kad žiniatinklio programos serveris nėra sala. Serveris yra pagrindinis komponentas žiniatinklio programų ūkyje, leidžiantis priglobti ir valdyti žiniatinklio programas. Todėl norėdami apsaugoti, turite atsižvelgti į visus komponentus, kurie ją supa, ir apsaugoti visą žiniatinklio programų aplinką.

Pagrindinę interneto programų prieglobos ir vykdymo aplinką sudaro operacinė sistema („Linux“, „Windows“), žiniatinklio serverio programinė įranga („Apache“, „Nginx“), duomenų bazės serveris. Jei kuris nors iš šių komponentų yra suskaidytas, užpuolikai gali gauti prieigą ir atlikti visus norimus kenkėjiškus veiksmus.

Pirmasis ir pagrindinis patarimas, kaip apsaugoti aukščiau aprašytą aplinką, yra perskaityti kiekvieno komponento saugos rekomendacijas ir geriausios praktikos sąrašą. Atsižvelgiant į tai, peržiūrėkime keletą sveiko proto saugumo gairių, kurios taikomos beveik visoms žiniatinklio programų aplinkoms.

Ugniasienė demistifikuota

Jums gali kilti pagunda greitai patikrinti šį elementą, galvojant: „Laimei, aš jau turiu užkardą, saugančią savo tinklą“. Bet geriau laikyk arklius.

Gali būti, kad jūsų užkarda rūpinsis jūsų tinklo sienomis, neliks blogų ir gerų vaikinų, tačiau tikrai tai palieka plačias duris, kad užpuolikai galėtų įsilaužti į jūsų interneto programų serverį..

Kaip?

Paprasta: tinklo ugniasienė turi bent jau leisti įeinantį srautą 80 ir 443 prievaduose (tai yra HTTP ir HTTPS) ir nežino, kas ar kas praeina per tuos prievadus.

Tai, ko jums reikia norint apsaugoti savo programą, yra žiniatinklio programų ugniasienė (WAF), kuri konkrečiai analizuoja interneto srautą ir blokuoja bet kokius bandymus išnaudoti pažeidžiamumus, pvz., Scenarijus keliose svetainėse ar kodo įpurškimą. WAF veikia kaip įprasta antivirusinė ir kovos su kenkėjiškomis programomis programa: ji ieško žinomų duomenų srauto modelių ir blokuoja juos aptikusi kenkėjišką užklausą..

Kad WAF būtų veiksminga, jos duomenų bazė turi būti nuolat atnaujinama su naujais grėsmės modeliais, kad būtų galima jas blokuoti. Problema, susijusi su šabloninėmis atakų prevencijomis, yra ta, kad jūsų žiniatinklio programa gali būti vienas iš pirmųjų naujų grėsmės objektų, apie kuriuos jūsų WAF dar nežino..

Dėl šių priežasčių jūsų žiniatinklio programai, be tinklo ugniasienės, reikia papildomų apsaugos sluoksnių.

Ieškokite žiniatinklio pažeidžiamumų

Vėlgi, nemanykite, kad jūsų žiniatinklio programos serveryje nėra pažeidžiamumo vien dėl to, kad taip sako jūsų tinklo saugos skaitytuvas.

Tinklo skaitytuvai negali aptikti konkrečių programų pažeidžiamumų. Norėdami aptikti ir pašalinti šiuos pažeidžiamumus, turite pritaikyti programas bandymų ir auditų serijose, tokiose kaip skverbties testai, juodosios dėžės nuskaitymas ir šaltinio kodo auditas. Tačiau nė vienas iš šių būdų nėra neperšaunamas. Idealiu atveju turėtumėte atlikti kuo daugiau jų, kad pašalintumėte visus pažeidžiamumus.

Pavyzdžiui, saugos skaitytuvai, kaip „Netsparker“, įsitikinkite, kad joks netinkamas kodas pateko į gamybos aplinką. Tačiau gali būti loginių pažeidžiamumų, kuriuos galima nustatyti tik rankiniu būdu atliekant kodo auditą. Rankinis auditas yra ne tik daug kainuojantis, bet žmogiškas ir todėl klaidų reikalaujantis metodas. Gera idėja atlikti tokio tipo auditą neišleidžiant daug pinigų – įterpti jį į kūrimo procesą, daugiausia lavinant savo kūrėjus..

Švieskite savo kūrėjus

Kūrėjai linkę manyti, kad jų programos veikia idealiuose pasauliuose, kur resursai yra neriboti, vartotojai nedaro klaidų ir nėra žmonių, turinčių negailestingų ketinimų. Deja, tam tikru metu jiems reikia spręsti realaus pasaulio problemas, ypač susijusias su informacijos saugumu.

Kurdami internetines programas, programuotojai turi žinoti ir įdiegti saugos mechanizmus, kad užtikrintų, jog joje nėra pažeidžiamumų. Šie saugumo mechanizmai turėtų būti gerosios patirties vadovo, kurio turi laikytis vystymo komanda, dalis.

Programinės įrangos kokybės auditas naudojamas siekiant užtikrinti geriausios praktikos laikymąsi. Geriausia praktika ir auditas yra vieninteliai būdai aptikti loginius pažeidžiamumus, pvz., (Pavyzdžiui) perduoti neužšifruotus ir matomus parametrus URL viduje, kuriuos užpuolikas gali lengvai pakeisti norėdamas padaryti tai, ko nori.

Išjunkite nereikalingą funkcionalumą

Darant prielaidą, kad žiniatinklio programos yra kiek įmanoma be klaidų ir žiniatinklio ūkis yra apsaugotas, pažiūrėkime, ką galima padaryti pačiame serveryje, kad apsaugotumėte jį nuo atakų.

Pagrindinis sveiko proto patarimas yra sumažinti potencialiai pažeidžiamų įėjimo taškų skaičių. Jei užpuolikai gali išnaudoti bet kurį žiniatinklio serverio komponentą, pavojus gali kilti visam interneto serveriui.

Sudarykite visų atidaryti uostus paleisti tarnybas ar demonus savo serveryje ir uždaryti, išjungti arba išjungti nereikalingus. Serveris neturėtų būti naudojamas jokiais kitais tikslais, išskyrus jūsų žiniatinklio programų vykdymą, todėl apsvarstykite galimybę visas papildomas funkcijas perkelti į kitus tinklo serverius..

Kurdami, išbandydami ir gamindami naudokite atskiras aplinkas

Kūrėjams ir testuotojams reikalingos privilegijos aplinkoje, kurioje jie dirba, kurių jie neturėtų turėti tiesioginiame programų serveryje. Net jei aklai jais pasitikite, jų slaptažodžiai gali lengvai nutekėti ir patekti į nepageidaujamas rankas.

Be slaptažodžių ir privilegijų, kūrimo ir bandymo aplinkoje paprastai yra užpakalinių durų, žurnalo failų, šaltinio kodo ar kitos derinimo informacijos, kuri galėtų atskleisti neskelbtinus duomenis, pvz., Duomenų bazių naudotojų vardus ir slaptažodžius. Žiniatinklio programos diegimo procesą turėtų atlikti administratorius, kuris turi įsitikinti, kad įdiegus programą tiesioginiame serveryje nebus atskleista neskelbtinos informacijos..

Ta pati atskyrimo koncepcija turi būti taikoma programos duomenims. Testuotojai ir kūrėjai visada teikia pirmenybę tikriems duomenims, kad galėtų dirbti su jais, tačiau nėra gera idėja suteikti jiems prieigą prie gamybos duomenų bazės ar net jos kopijos. Be akivaizdžių abejonių dėl privatumo, duomenų bazėje gali būti konfigūracijos parametrų, kurie atskleidžia vidinius serverio nustatymus – pvz., Galinių adresų ar maršrutų pavadinimus, kad būtų galima pavadinti porą..

Atnaujinkite savo serverio programinę įrangą

Kad ir kaip akivaizdu, tai yra viena iš labiausiai užmirštų užduočių. SUCURI nustatė, kad 59% CMS programų buvo pasenusios, todėl rizikuojama.

Kiekvieną dieną atsiranda naujų grėsmių, ir vienintelis būdas išvengti jų pavojaus jūsų serveriui yra visada įdiegti naujausius saugos pataisas..

Anksčiau minėjome, kad tinklo ugniasienės ir tinklo saugos skaitytuvų nepakanka norint užkirsti kelią žiniatinklio programoms. Bet jie yra būtini norint apsaugoti jūsų serverį nuo įprastų kibernetinio saugumo grėsmių, tokių kaip DDoS išpuoliai. Taigi įsitikinkite, kad tokios programos visada atnaujinamos ir ar jos veiksmingai apsaugo jūsų verslo programas.

Apribokite prieigą ir privilegijas

Pagrindinė saugumo priemonė yra išlaikyti nuotolinės prieigos srautą, pvz., RDP ir SSH, šifruotą ir tuneliuotą. Taip pat gera idėja turėti sumažintą IP adresų, iš kurių leidžiama nuotolinė prieiga, sąrašą, įsitikinant, kad visi bandymai prisijungti nuotoliniu būdu iš bet kurio kito IP yra blokuojami..

Administratoriai kartais teikia paslaugų abonementams visas įmanomas privilegijas, nes žino, kad tai padarius „viskas veiks“. Tačiau tai nėra gera praktika, nes užpuolikai gali naudoti paslaugų spragas, kad įsiskverbtų į serverį. Jei šios paslaugos vykdomos su administratoriaus teisėmis, jos gali naudoti visą serverį.

Norint užtikrinti gerą saugumo ir praktiškumo pusiausvyrą, kiekviena sąskaita – ir prisijungimo, ir paslaugų abonementai – turi privilegijas, kurių reikia jos darbui atlikti, ir nieko daugiau.

Pvz., Galite apibrėžti skirtingas abonementus, kad administratorius atliktų skirtingas užduotis: vieną padaryti atsarginę kopiją, kitą – valyti žurnalo failus, kitus – keisti paslaugų konfigūraciją ir pan. Tas pats pasakytina ir apie duomenų bazių abonementus: programai paprastai reikia tik leidimų skaityti ir rašyti duomenis, o ne kurti ar mesti lenteles. Todėl jis turėtų būti naudojamas su sąskaita, turinčia privilegijas, kad būtų galima atlikti užduotis, kurias reikia atlikti.

Stebėkite serverio žurnalus

Žurnalo failai yra dėl priežasties.

Administratoriai turėtų reguliariai juos stebėti, kad nustatytų bet kokį įtartiną elgesį prieš tai padarydami žalą. Analizuodami žurnalo failus galite sužinoti daug informacijos, kuri padės geriau apsaugoti programą. Jei išpuolis turėtų įvykti, žurnalo failai gali parodyti, kada ir kaip ji prasidėjo, ir tai padės geriau suvaldyti žalą.

Taip pat turite turėti automatizuotą procedūrą, kaip ištrinti senus žurnalo failus arba sutrumpinti pasenusią informaciją, kad jie negalėtų sunaudoti visos turimos vietos serveryje..

Premijos patarimas: informuokite save

Internete yra daug nemokamos ir naudingos informacijos, kurią galite naudoti savo žiniatinklio programos labui. Nepraleiskite nė vieno naujo įrašo apie gerbiamus saugumo tinklaraščius (tokius kaip šis) ir būkite informuoti apie tai, kas vyksta saugumo ir interneto pramonėje.

Pamokos, kursai, vaizdo įrašai ir knygos taip pat yra naudingų žinių šaltiniai. Praktikuokite vieną ar dvi valandas per savaitę, kad tik būtumėte informuoti apie pramonės naujienas – tai suteiks ramybės žinant, kad elgiatės teisingai, kad jūsų programos būtų saugios..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map