8 základných tipov na zabezpečenie webového aplikačného servera

Webové aplikačné servery musia byť vo väčšine prípadov verejne prístupné, čo znamená, že sú vystavené všetkým druhom hrozieb.


Mnohé z týchto hrozieb sú predvídateľné a ľahko sa im dá predísť, zatiaľ čo iné nie sú známe a môžu vás chytiť mimo dohľadu. Aby sme minimalizovali možnosť tohto posledného prípadu, ponúkame zoznam základných tipov na čo najbezpečnejšie zabezpečenie serverov webových aplikácií.

Predtým, ako začnete so zoznamom tipov, musíte pochopiť, že server webovej aplikácie nie je ostrov. Server je ústredným komponentom farmy webových aplikácií, ktorá umožňuje hosťovanie a prevádzku webovej aplikácie. Z tohto dôvodu musíte zaistiť všetky komponenty, ktoré ho obklopujú, a zaistiť celé prostredie webových aplikácií.

Základné prostredie pre hosťovanie a spúšťanie webových aplikácií zahŕňa operačný systém (Linux, Windows), softvér webového servera (Apache, Nginx), databázový server. Ak sa niektorý z týchto komponentov rozbije, útočníci by mohli získať prístup a vykonať všetky škodlivé akcie, ktoré chcú.

Prvým a základným tipom na zabezpečenie prostredia, ako je opísané vyššie, je prečítanie zoznamu bezpečnostných pokynov a osvedčených postupov pre každú z komponentov. Ako už bolo povedané, prečítajte si niekoľko bežných bezpečnostných pokynov, ktoré sa vzťahujú takmer na každé prostredie webových aplikácií.

Firewall bol demystifikovaný

Možno budete v pokušení túto položku rýchlo skontrolovať a pomyslieť si: „Mám šťastie, už mám bránu firewall chrániacu moju sieť.“ Ale radšej držte svoje kone.

Váš firewall sa môže postarať o hranice svojej siete, udržať zlých mužov a dobrých ľudí vo vnútri, ale určite ponecháva útočníkom dvere dokorán, aby prelomili server webovej aplikácie..

ako?

Jednoduché: sieťový firewall musí umožniť aspoň prichádzajúcu komunikáciu na portoch 80 a 443 (tj HTTP a HTTPS) a nevie, kto alebo čo prechádza cez tieto porty.

Čo potrebujete na ochranu svojej aplikácie, je webový aplikačný firewall (WAF), ktorý špecificky analyzuje webový prenos a blokuje akýkoľvek pokus o zneužitie zraniteľností, ako je skriptovanie medzi servermi alebo vkladanie kódu. WAF funguje ako typický antivírus a antimalware: vyhľadáva známe toky údajov a blokuje ich, keď zistí škodlivú požiadavku..

Aby bol WAF efektívny, musí mať svoju databázu neustále aktualizovanú o nové vzory hrozieb, aby ich mohol blokovať. Problém s prevenciou útokov založených na vzoroch je, že vaša webová aplikácia môže byť jedným z prvých cieľov novej hrozby, o ktorej váš WAF ešte nevie..

Z týchto dôvodov vaša webová aplikácia vyžaduje okrem sieťového brány firewall ďalšie ochranné vrstvy.

Vyhľadajte zraniteľné miesta špecifické pre web

Nemyslite si, že váš server webových aplikácií je bez zraniteľností len preto, že to hovorí váš bezpečnostný skener siete.

Sieťové skenery nedokážu zistiť zraniteľné miesta aplikácie. Ak chcete zistiť a odstrániť tieto zraniteľné miesta, musíte aplikácie podrobiť sérii testov a auditov, ako sú penetračné testy, skenovanie čiernych skriniek a audit zdrojových kódov. Žiadna z týchto metód však nie je nepriestrelná. V ideálnom prípade by ste mali vykonať čo najviac z nich, aby ste odstránili všetky zraniteľné miesta.

Napríklad bezpečnostné skenery, napr Netsparker, zabezpečiť, aby sa do produkčného prostredia nedostal žiadny zneužiteľný kód. Mohli by však existovať logické chyby, ktoré možno zistiť iba manuálnym auditom kódu. Manuálny audit, okrem toho, že stojí veľa, je ľudskou metódou, a preto je náchylný na chyby. Dobrým nápadom na vykonanie tohto druhu auditu bez zbytočného plytvania peniazmi je jeho začlenenie do procesu vývoja, väčšinou vzdelávaním vašich vývojárov..

Vzdelávajte svojich vývojárov

Vývojári majú tendenciu myslieť, že ich aplikácie bežia v ideálnom svete, kde zdroje nie sú obmedzené, používatelia sa nedopúšťajú chýb a neexistujú ľudia bezohľadných zámerov. Bohužiaľ, v určitom okamihu musia čeliť skutočným problémom, najmä tým, ktoré sa týkajú informačnej bezpečnosti.

Pri vývoji webových aplikácií musia kódovači poznať a implementovať bezpečnostné mechanizmy, aby sa zabezpečilo, že neobsahujú zraniteľné miesta. Tieto bezpečnostné mechanizmy by mali byť súčasťou príručky osvedčených postupov, ktoré musí vývojový tím dodržiavať.

Audity kvality softvéru sa používajú na zabezpečenie dodržiavania najlepších postupov. Osvedčené postupy a auditovanie sú jediné spôsoby, ako zistiť logické zraniteľné miesta, napríklad (napríklad) odovzdanie nekódovaných a viditeľných parametrov v rámci adresy URL, ktoré by útočník mohol ľahko zmeniť, aby urobil, čo chce..

Vypnite nepotrebné funkcie

Za predpokladu, že webové aplikácie sú bezchybné a ako je to možné, webová farma je zabezpečená, pozrime sa, čo sa dá urobiť na samotnom serveri, aby sme ich chránili pred útokmi.

Základným tipom pre zdravý rozum je zníženie počtu potenciálne zraniteľných vstupných bodov. Ak útočníci môžu využiť ktorúkoľvek z komponentov webového servera, celý webový server by mohol byť v nebezpečenstve.

Vytvorte zoznam všetkých otvorené porty a spustenie služieb alebo démonov na vašom serveri a zatvorenie, zakázanie alebo vypnutie nepotrebných. Server by sa nemal používať na žiadne iné účely ako na spúšťanie webových aplikácií, preto zvážte presunutie všetkých ďalších funkcií na iné servery vo vašej sieti..

Na vývoj, testovanie a výrobu používajte samostatné prostredia

Vývojári a testeri potrebujú privilégiá pre prostredia, v ktorých pracujú, na ktorých by nemali mať živé aplikačné servery. Aj keď im slepo dôverujete, ich heslá sa môžu ľahko dostať do nežiaducich rúk.

Okrem hesiel a privilégií existujú vo vývojových a testovacích prostrediach zvyčajne zadné vrátka, súbory denníka, zdrojový kód alebo iné informácie o ladení, ktoré by mohli odhaliť citlivé údaje, ako sú napríklad užívateľské mená a heslá databáz. Proces nasadenia webovej aplikácie by mal vykonať administrátor, ktorý sa musí uistiť, že po inštalácii aplikácie na živý server nie sú vystavené žiadne citlivé informácie..

Rovnaký koncept segregácie je potrebné uplatniť na údaje aplikácie. Testéri a vývojári vždy uprednostňujú skutočné údaje, s ktorými pracujú, ale nie je dobré im udeľovať prístup k produkčnej databáze alebo dokonca k jej kópiám. Okrem zrejmých obáv týkajúcich sa ochrany osobných údajov by databáza mohla obsahovať konfiguračné parametre, ktoré odhaľujú interné nastavenia servera – napríklad adresy koncových bodov alebo názvy ciest, aby sme vymenovali pár..

Aktualizujte softvér svojho servera

Ako je zrejmé, je to jedna z najviac prehliadaných úloh. SUCURI zistilo, že 59% aplikácií CMS bolo zastaraných, čo je riziko.

Nové hrozby sa objavujú každý deň a jediný spôsob, ako im zabrániť v ohrození vášho servera, je vždy nainštalovať najnovšie bezpečnostné záplaty..

Už sme spomínali, že sieťové brány firewall a sieťové bezpečnostné skenery nestačia na zabránenie útokom na webové aplikácie. Sú však potrebné na ochranu servera pred bežnými hrozbami v oblasti kybernetickej bezpečnosti, ako sú útoky DDoS. Uistite sa teda, že máte takéto aplikácie vždy aktualizované a že účinne chránia vašu podnikovú aplikáciu.

Obmedzte prístup a privilégiá

Základným bezpečnostným opatrením je udržiavanie šifrovaného a tunelovaného prenosu na diaľku – napríklad RDP a SSH. Je tiež vhodné uchovávať obmedzený zoznam adries IP, z ktorých je povolený vzdialený prístup, a zaistiť tak, aby bol zablokovaný akýkoľvek pokus o vzdialený prístup z inej adresy IP..

Správcovia občas poskytnú účty služieb všetky možné privilégiá, pretože vedia, že tým „všetko bude fungovať“. Nie je to však dobrý postup, pretože útočníci môžu pomocou služieb zraniteľnosti v službách preniknúť na server. Ak sú tieto služby spustené s oprávneniami správcu, môžu zabaviť celý server.

Dobrá rovnováha medzi bezpečnosťou a praktickosťou vyžaduje, aby každý účet – prihlasovacie účty aj účty služieb – mal privilégiá, ktoré potrebuje na vykonávanie svojej práce, a nič iné.

Napríklad môžete definovať rôzne účty pre administrátora na vykonávanie rôznych úloh: jeden na vytváranie záloh, druhý na čistenie protokolových súborov, iné na zmenu konfigurácie služieb atď. To isté platí pre účty databázy: aplikácia zvyčajne potrebuje iba oprávnenie na čítanie a zápis údajov a nie na vytváranie alebo rušenie tabuliek. Preto by mal bežať s účtom s oprávneniami obmedzenými na vykonávanie úloh, ktoré potrebuje na vykonanie.

Sledujte protokoly servera

Súbory denníka existujú z nejakého dôvodu.

Správcovia by ich mali pravidelne sledovať, aby zistili podozrivé správanie skôr, ako spôsobí akékoľvek poškodenie. Analýzou protokolových súborov môžete odhaliť veľa informácií, ktoré vám pomôžu lepšie chrániť aplikáciu. Ak by k útoku malo dôjsť, súbory denníka vám môžu ukázať, kedy a ako sa začal, čo pomáha lepšie kontrolovať poškodenie.

Musíte mať tiež automatizovaný postup na odstránenie starých protokolových súborov alebo na zastarané informácie, aby ste zabránili spotrebovaniu všetkého dostupného úložného priestoru na serveri..

Bonusový tip: informujte sa

Na internete je veľa bezplatných a užitočných informácií, ktoré môžete použiť v prospech svojej webovej aplikácie. Nenechajte si ujsť žiadny nový príspevok na serióznych bezpečnostných blogoch (ako je tento) a neustále informujte o dianí v bezpečnostnom a webovom priemysle..

návody, kurzy, videá a knihy sú tiež zdrojom užitočných vedomostí. Prax strávte jednu alebo dve hodiny týždenne len preto, aby ste boli informovaní o novinkách v tomto odvetví. Poskytne vám to pokoj, keď viete, že robíte správne, aby ste zaistili bezpečnosť svojich aplikácií..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map