Как да подобрим сигурността на наетия сървър?

Наетите сървъри са чудесна инвестиция. Може да наемете хардуер, който иначе би бил твърде скъп, за да го използвате за проектите си. Освен това получавате и предимствата на сървър, който е в дейта център с качествена инфраструктура и сигурност.

Друга полза на наетите сървъри е, че всичките им ресурси са налични само за вас. Може да правите каквото искате с тях (в рамките на Условията за ползване на доставчика на услугата, разбира се). Това означава обаче, че сте отговорни и за сигурността на проекта си. За щастие, това не е толкова трудна задача, колкото може би изглежда. Нека да разгледаме няколко начина за подобряване на сигурността на нает сървър.

Най-лесният начин

Разгледайте предложенията на доставчиците на такива услуги. Наетите сървъри на Cloudware например се намират в дейта центровете на Neterra, които са с ентърпрайз сертификация. Те покриват всички изисквания за топ качество, достъпност на услугите и сигурност.

Така решавате напълно проблема с физическата сигурност на сървъра. Защитата на инфраструктурата също ще е на топ ниво. Някои доставчици предлагат и допълнителни услуги за киберсигурност. Наетите сървъри на Cloudware например получават и DDoS защита със специална собствена платформа.

Така че вече сте положили добри основи и имате прилично ниво на сигурност. Сега, в зависимост от целите ви и за какво ще използвате наетия сървър, може да се наложи да добавите още функции за защита. Има и някои универсални добри практики, които е добре да се спазват, за да имате добре подреден и защитен сървър. Нека да ги разгледаме.

Ъпдейтвайте всичко

Изкушаващо е, когато инсталирате нов софутеръ, да искате да започнете веднага да го използвате. Търпение. Първо трябва да обновите всичко до най-новата актуална версия. Така ще получите всички нови и важни кръпки и обновления за по-добра сигурност.

Да, редовните ъпдейти може да са малко досадни. Излизат често и е възможно да „счупят“ нещо. Освен това е времеемко да се инсталират, особено ако са повече и за различни платформи. Може да решите този проблем, като си направите график за обновления. Например две дати в месеца, но същевременно винаги имате готовност за инсталирането на спешни ъпдейти за новооткрити по-сериозни уязвимости.

Използвайте тези дни и за малко поддръжка – изчистете по-старите инсталационни файлове например. Също така оптимизирайте различните модули и бази данни, ако се налага. Така сървърът ви ще бъде „свеж“ и ще работи оптимално.

Криптирайте трафика

В наши дни използването на некриптирана връзка е все по-голям проблем. TLS, SSH, OpenSSL… все познати стандарти, които са от огромно значение за всяка онлайн услуга или нает сървър. Най-малкото търсачките и браузърите започват да наказват сайтове, които не поддържат криптирани връзки.

Наличието на SSL сертификат вече е практически задължително. Всичко това ще добави важни слоеве сигурност върху вашия сайт, приложение или за каквото друго използвате наетия сървър.

Сменете стандартния SSH Listen Port

По дефиниция SSH използва порт 22. Хакерите пък са разработили автоматизирани инструменти, които да използват brute-force атаки, за да отгатват имена и пароли през този порт. Ако го смените с друг, веднага ще намалите риска за сървъра си.

Същото важи и за останалите платформи и портове по подразбиране. Имайте предвид, че това може да доведе до проблеми с работата на някои настройки и клиенти. Затова, когато променяте портовете, проверете настройките на свързаните услуги и ги обновете за всеки случай.

Използвайте доверени мрежи и VPN

Понякога е изкушаващо да използвате безплатен Wi-Fi набързо, за да свършите някаква малка работа по наетия сървър. Това не е добра идея, защото не знаете кой използва мрежата за проследяване и хакерски атаки. По-добрата практика е подобни деликатни платформи да се достъпват през доверени мрежи и VPN Услуги. Така се намалява осезаемо рискът за пробив и дори хакери да разберат за сървъра.

Ограничете достъпа

Друга добра практика за сигурност е ограничаване на достъпа до сървъра като цяло. Или поне администраторската зона. Може да създадете потребителски профили с ограничени права, така че да могат да си свършат работата, но да нямат достъп до всички администраторски функции.

Също така направете ограничения за достъп до логин страницата. В зависимост от платформата, която ще използвате, това може да бъде направено по различни начини. Може да ограничите и IP-тата, които имат достъп до тази страница, както и да ограничите достъпа на цели мрежи.

Възможностите са много и ще зависят от целите на сървъра. Проверете внимателно опциите и имайте предвид, че подобно ограничаване може да е едновременно много полезно за по-добра сигурност, но и да се отрази негативно на посетителите.

Добавете мултифакторна автентикация

Ако внедрите мултифакторна автентикация за потребителските и администраторските профили, ще добавите доста добра защита за сървъра си. Има много мултифакторни услуги на пазара, някои дори са безплатни и идват от големи имена като Google.

Добавяйки подобна функция, ще решите доста потенциални проблеми със слаби пароли от потребителите, както и да намалите риска от фишинг атаки. Ще затрудните хакерите малко повече и това може да ги пренасочи към други, по-лесни мишени.

Проверете всички настройки

Както споменахме по-рано, платформите имат портове по подразбиране, които използват при инсталация. Същото важи и за всичките им останали настройки. Понякога някои важни функции за сигурност всъщност са изключени. Защо? Така е по-лесно да се извършват първите тестове и настройки. Силно препоръчително е след това функциите да се активират.

Важно е да отделите малко време и търпеливо и внимателно да разгледате всички настройки на избраните платформи. Проверете стойностите, разгледайте и проучете функциите и дали са важни за вас. Активирайте функциите за сигурност, ако няма да пречат на бизнеса ви.

Премахнете ненужните модули

Докато извършвате горната проверка, разгледайте и премахнете ненужните плъгини, модули и функции, които няма да ви трябват. Всеки подобен модул е риск за сигурността. Освен това някои използват системни ресурси дори и да не са активирани. Да, става дума за съвсем малко ресурси, но капка по капка…

Приемете метода „не се използва = премахва се“. Винаги може да добавите функциите в последствие, ако се появи необходимост за тях. И тъй като ъпдейтите и инсталациите могат да добавят още неща, които не са ви нужни, трябва да правите тези проверки като част от редовната ви поддръжка на сървъра.

Не забравяйте и базите данни

Поддръжката на базите данни също е много важна. Намалете възможностите за достъп до базите данни. Изтрийте ненужните данни и извършвайте редовни оптимизации на структурата. Така базата ще работи по-добре, но и ще е по-сигурна.

Основната ви цел ще е да намалите риска от т.нар. SQL injection атаки. Основните съвети по-горе ще са добра основа затова. Ако ще използвате чувствителни данни, по-добре е да добавите още функции и инструменти за администрация. Има много такива онлайн, всички разработени за специфични цели и нужди.

Използвайте CDN

CDN (Content Delivery Network) може да поеме голяма част от регулярния, но рисков трафик. Чрез CDN може да „аутсорснете“ съхранението и предаването на изображения и други елементи, които обикновено генерират много трафик и могат да са източник на DDoS атаки или да се използват за прихващане на данни и други хакерски атаки.

Тези мрежи ще поемат и обработката на натоварващите елементи, което ще намали натоварването върху наетия сървър. Това съответно ще освободи ресурси за модулите и потребителите и ще увеличи скоростта на услугите и потребителското изживяване. Всичко това са хубави допълнителни предимства, които идват заедно с по-добрата сигурност.

Това е маратон. Дълъг маратон.

Киберсигурността се променя постоянно. Винаги ще изскачат нови заплахи, нови рискове и решения. Трябва да знаете това и да го приемете.

Качествената киберсигурност не е еднократно действие. Не се изчерпва просто с активирането на функциите. Трябва да включите сигурността в постоянната поддръжка на сървъра. Ако искате да имате добре работеща услуга, щастливи потребители и добра репутация, качествената сигурност е от основно значение.

Бъдете гъвкави

Това е стъпка, която надгражда приемането на факта, че ще трябва винаги да имате сигурността предвид. Означава, че трябва да сте готови да реагирате на разнообразни проблеми и предизвикателства бързо и ефективно по всяко време.

Понякога може да не е лесно колкото инсталирането на спешен ъпдейт. Може да се наложи извършването на повече дейности, като промяна на цял модул или пренастройване на функции. Има вероятност дори да се наложи промяна на цяла инсталация или мигриране към друга платформа.

Бекъпи сега и завинаги

Да, да, всички са уморени да чуват това. Въпреки това бекъпите все още са често пренебрегвани. В случай на атака с криптовирус, пробив с изтриване на данните или друг хакерски инцидент, наличието на скорошен бекъп може да спаси бизнеса ви. Най-малкото, ако споменатата по-горе миграция се обърка, може да оправите всичко, благодарение на качествения бекъп.

Използването на нает сървър означава, че внедряването на бекъп е още по-важно, защото надали има кой друг да ви помогне. Има много начини да създадете цели виртуални копия на сървъра, операционната система и т.н. Така, ако нещо се обърка, може да използвате бекъпа и да възстановите пълната функционалност много по-бързо.

Разбира се, за да имате тази възможност, трябва да извършвате регулярни бекъпи и те да се съхраняват на отделно място. Това може да е ваша машина или отделен клауд или нает сървър. Наетите сървъри на Cloudware разполагат с redundancy функции, така че това е още един полезен бонус.

Бъдете готови

Изгответе си план за реакция при спешни случаи. Това е важна стъпка и за да сте готови за Общия регламент за защита на личните данни (GDPR) на ЕС. Така ще знаете какво да направите, когато стане проблем.

Планът трябва да включва първи стъпки в случай на пробив или атака, човек за контакт, начин за информиране на засегнатите потребители в разумен срок, прилагане на бекъпите и т.н.

Както виждате сигурността на нает сървър не е нещо твърде сложно. Повечето от функциите и услугите са лесно достъпни. Много от тях дори са безплатни. Основното изискване е отделянето на достатъчно време. Ако искате всичко да е направено правилно, ще трябва да инвестирате време, но тази инвестиция ще се отплати доста добре в дългосрочен план.

Ако искате да научите повече, може да прочетете следната статия:

10 стъпки за създаване на сървър за бази данни