10 najlepszych najlepszych praktyk w zakresie bezpieczeństwa hostingu
2022-02-14
Internet zawiera ponad 1,7 miliarda stron internetowych, a każda z nich jest obsługiwana przez co najmniej jeden serwer WWW. Serwer sieciowy może hostować setki witryn na jednym fizycznym komputerze, ale w zależności od sposobu, w jaki jest hostowany, tylko jedna zhakowana witryna może być problemem dla wszystkich witryn na serwerze.
Bezpieczeństwo dla dostawców usług hostingowych jest ważniejsze niż kiedykolwiek, ponieważ coraz więcej klientów polega na najlepszych praktykach i monitorowaniu w zakresie cyberbezpieczeństwa w celu wykrycia trwających ataków. Serwery internetowe zazwyczaj obsługują kilka witryn biznesowych, które przechowują dane klientów, więc są one częstym celem atakujących. Dlatego przygotowaliśmy listę najlepszych praktyk i wskazówek dotyczących bezpieczeństwa hostingu, które są niezbędne do zapewnienia bezpieczeństwa hostingu.
Zabezpieczanie serwerów hostingowych
W każdym środowisku hostingowym dostawcy hostingu muszą zapewnić bezpieczeństwo swoich serwerów. Zabezpieczenie serwera WWW nie tylko chroni zasoby hostera, ale także chroni dane klientów przed hakerami. Firmy, które korzystają z usług dostawców hostingu dla usług witryn internetowych, polegają na tym, że hoster chroni swoje dane firmowe i zapewnia płynne działanie witryny biznesowej. Jeśli serwer ulegnie kompromitacji, może to spowodować utratę danych, przestoje i wpłynąć na przychody klientów. Problemy te wpływają na reputację i przychody dostawcy hostingu, więc zastosowanie kilku z poniższych najlepszych praktyk wzmocni zabezpieczenia serwerów internetowych i zmniejszy ryzyko włamania. Powinniśmy również doradzić skorzystanie z VPN (wirtualna sieć prywatna) przed zalogowaniem się i wdrożeniem tych wskazówek. Dowiedz się więcej o wirtualnej sieci prywatnej.
Zainstaluj i skonfiguruj zaporę sieciową aplikacji internetowej
Zapora aplikacji sieci Web (WAF) blokuje wiele typowych ataków wysyłanych za pośrednictwem formularzy sieci Web. Działa na warstwie 7 modelu OSI, więc działa inaczej niż typowa zapora sprzętowa. Jest to podobne do zwrotnego serwera proxy, w którym cały ruch musi przejść przez WAF, zanim dotrze do serwera WWW. WAF analizuje ruch HTTP i blokuje podejrzany ruch.
Korzystając z WAF, hosterzy mogą blokować fałszerstwa między witrynami (CSF), skrypty między witrynami (XSS), iniekcje SQL i nie tylko. Na przykład, jeśli atakujący wyśle zniekształcony ciąg SQL za pomocą formularza kontaktowego witryny, WAF wykryje go i zablokuje. Dobry WAF wyświetla statystyki i informacje o zablokowanych atakach, aby host sieciowy mógł zidentyfikować luki w zabezpieczeniach witryn klientów.
Rozproszona ochrona przed atakami typu „odmowa usługi”
Łagodzenie ataków DDoS, znanych jako rozproszony atak na systemy komputerowe, to najtrudniejsze zadanie dla hostów internetowych. Ataki te mogą pochodzić z wielu adresów IP na całym świecie. Hosty internetowe nie mogą blokować legalnego ruchu, ponieważ wpływa on na witryny klientów. Jednak określenie legalności na podstawie złośliwych żądań internetowych wymaga odpowiedniego monitorowania i narzędzi. Konieczne jest zainstalowanie narzędzi monitorujących, które wykrywają i łagodzą ataki DDoS.
Atakujący uruchomią rozproszony atak na systemy komputerowe bez ostrzeżenia, więc techniki łagodzące wymagają odpowiednich narzędzi, które mogą je złagodzić, zanim spowodują one pogorszenie wydajności i przestój wszystkich witryn w usłudze hostingowej. Dobre narzędzia powiadomią administratorów, złagodzą atak i ochronią przed wyczerpaniem zasobów i awariami.
Użyj SFTP zamiast FTP
Protokół FTP (File Transfer Protocol) przesyła dane w postaci zwykłego tekstu, narażając klientów na ataki typu man-in-the-middle (MitM) i podsłuchiwanie danych. Zamiast hostować serwer FTP, na którym klienci mogą przesyłać i udostępniać pliki, użyj bezpiecznego FTP (SFTP) do przesyłania dowolnych plików przez zaszyfrowany kanał.
Kopie zapasowe danych na serwerach
Właściciele witryn czasami popełniają błędy, a następnie potrzebują przywrócenia witryn do określonej daty.
Klienci hostingu internetowego polegają na hostach internetowych, aby mieć dobre kopie zapasowe i rozsądną politykę przechowywania (np. 30 dni). Kopie zapasowe są elementem odzyskiwania po awarii i mogą być używane do odzyskiwania danych na żądanie klientów lub przywracania serwera, jeśli stanie się celem zaawansowanego ataku. Na przykład udane wstrzyknięcie oprogramowania do szantażu na współdzielonym serwerze hostingowym może zniszczyć dane we wszystkich witrynach klientów. Kopie zapasowe mogą być używane do odzyskiwania, zamiast doświadczania krytycznego incydentu bezpieczeństwa, którego nie można szybko naprawić.
Użyj białej listy dla konserwacyjnych adresów IP
Dostawcy usług hostingowych wiedzą, że kilka adresów IP klientów będzie używanych do uzyskania dostępu do autoryzowanych obszarów ich konta (np. cPanel. Dowiedz się więcej o bezpieczeństwie cPanel). Zamiast zezwalać na otwarty dostęp z dowolnego adresu IP, klientom należy zalecić dodanie adresów IP do białej listy, aby tylko zatwierdzone adresy IP miały dostęp do obszarów administracyjnych ich konta. To samo należy zrobić dla samego serwera. Administratorzy powinni używać białej listy adresów IP konserwacji do zdalnego dostępu przy użyciu protokołu SSH, znanego również jako standard protokołów komunikacyjnych.
Połączenia SSL/TLS
Każde połączenie z hostem internetowym powinno być szyfrowane, aby chronić użytkowników przed atakami typu man-in-the-middle (atak ten ma na celu podsłuchiwanie wymiany danych pomiędzy stronami komunikacji lub jej modyfikacji). Użytkownicy, którzy łączą się z witrynami za pośrednictwem publicznej sieci Wi-Fi, otwierają się na przechwytywanie i kradzież danych. Wymuszając szyfrowane połączenie z serwerem za pomocą szyfru zabezpieczonego kryptograficznie, dane użytkownika są zabezpieczone przed podsłuchem i włamaniem na konto.
Ochrona antywirusowa i antymalware
Hostując setki witryn na jednym serwerze, zezwalasz właścicielom witryn na przesyłanie dowolnych plików na ich konto hostingowe. Pliki te mogą zawierać złośliwe oprogramowanie celowo lub nieświadomie. Złośliwe oprogramowanie przechowywane na serwerze hostingowym może wpływać na inne witryny na serwerze, jeśli administrator przypadkowo uruchomi plik lub jeśli osoba atakująca uzyska podwyższone uprawnienia na hoście i wykona plik. Korzystając z oprogramowania antywirusowego dla serwerów linux i aplikacji chroniących przed złośliwym oprogramowaniem, host może natychmiast wykryć złośliwe pliki i albo wyczyścić plik, albo zablokować jego przesłanie.
Usuń nieużywane aplikacje, które nie są używane do hostingu
Gdy aplikacja hostingowa jest zainstalowana na serwerze Linux (np. Apache), zwykle jest skonfigurowana z domyślnymi ustawieniami, wtyczkami i prawdopodobnie innymi aplikacjami innych firm. Każda dodatkowa aplikacja na serwerze stwarza ryzyko związane z lukami w kodzie lub zezwoleniem na działanie aplikacji bez poprawek. Zamiast pozostawiać je zainstalowane na serwerze, lepiej usunąć wszystkie aplikacje, które nie są potrzebne do hostowania witryn klientów.
Wymuś zmianę hasła
Użytkownicy, zwłaszcza ci z wysokimi uprawnieniami, powinni często zmieniać swoje hasła. Jeśli użytkownicy będą utrzymywać to samo hasło przez czas nieokreślony, osoba atakująca mająca dostęp do tych poświadczeń może potencjalnie mieć dostęp do konta przez lata. Wymuszenie zmiany hasła na kontach skraca okno ataku. Na przykład zmuszanie użytkowników do zmiany hasła co 30 dni daje atakującemu maksymalnie 30 dni na złamanie zabezpieczeń i korzystanie z konta.
Skonfiguruj nagłówek HTTP Strict Transport Security (HSTS) hosta
SSL/TLS wymusza szyfrowanie w hostowanej witrynie, ale nie chroni plików cookie ani witryn, które nadal zezwalają na połączenia HTTP w postaci zwykłego tekstu. Ustawienie nagłówka HSTS na Strict-Transport-Security przeniesie użytkowników z połączenia HTTP na HTTPS i zmusi przeglądarki do wysyłania plików cookie tylko przez zaszyfrowane kanały, co ograniczy przechwycenie plików cookie. Ustawienie jest specyficzne dla serwera, a nie dla witryny, więc będzie wymagać od administratorów skonfigurowania go na hoście.
Wniosek
Łagodzenie ataków na tysiące witryn użytkowników nie jest łatwym zadaniem, ale odpowiednie ustawienia i narzędzia zabezpieczeń hosta internetowego powstrzymają wiele ataków, które mogą mieć wpływ na tysiące klientów. Dzięki tym dziesięciu najlepszym praktykom możesz chronić dane klientów i uniknąć krytycznego incydentu związanego z cyberbezpieczeństwem, który może spowodować przestoje i wpłynąć na przychody.
Artykuł sponsorowany