У сервера ключевая роль в сетевой инфраструктуре, а значит, он по праву заслуживает особого внимания. Аппаратное обеспечение не терпит экономии на «железе», ПО, обслуживании и, конечно же, на безопасности. Чтобы защитить сервер от основных угроз, придётся взять на вооружение как минимум 5 инструментов.
№ 1. SSH-ключи
Secure Shell (именно так расшифровывается SSH) относится к сетевым протоколам прикладного уровня. Он даёт возможность удалённо управлять ОС или устроить туннелирование TCP-соединений. А ещё с его помощью можно безопасно передавать другие протоколы даже в не защищённой среде. SSH предполагает несколько алгоритмов шифрования и совместим с большинством операционных систем.
Аутентификация может происходить 3 способами:
- Через ip-адрес – сопряжён с рисками, а потому используется редко.
- По паролю – заключается в следующем: по аналогии с HTTPS во время каждого подключения создаётся общий секретный ключ, который впоследствии обеспечивает шифрование данных.
- По ключевой паре – для каждого пользователя генерируются открытый и закрытый ключи. Первый можно раздавать с любого сервера SHH, а второй должен храниться в секрете. Открытый ключ следует разместить в особой директории. Запрос соединения будет замечен SSH при подключении. Именно открытый ключ нужен для создания и отправки вызова. А принять его и правильно ответить можно, только располагая закрытым ключом. Система лишь проверяет соответствие пары, сами же файлы не передаются.
№ 2. SSL-шифрование и PKI
SSL – это протокол, в котором за конфиденциальность отвечает симметричное шифрование, за аутентификацию ключей обмена – асимметричная криптография, а за целостность сообщений – аутентификационные коды.
Центр сертификации и управления сертификатами даёт возможность не только шифровать собственный трафик, но и проверять идентичность прочих пользователей. А PKI предоставляет защиту аппаратного обеспечения от так называемых атак посредника, когда хакеру удаётся имитировать поведение сервера и перехватывать трафик.
Желательно, чтобы аутентификация каждого участника могла состояться только через удостоверяющий центр. Здесь снова понадобятся закрытый и открытый ключи. В ситуации, когда у пользователей уровень доверия к центру высокий, но между собой низкий, следует выдать им открытые ключи. Ведь только УЦ способен определить, принадлежит ли ключ тому или иному участнику.
Правда, настройка центра потребует немало времени и усилий. То же можно сказать об управлении сертификатами. Воплощение этой концепции актуально для активно разрастающейся инфраструктуры. В противном случае можно довольствоваться связью через VPN.
№ 3. VPN
Суть этой технологии в том, чтобы наладить такую связь, безопасность которой сопоставима с защищённой локальной сетью. Собственно, поэтому VPN и расшифровывается как виртуальная частная сеть.
Вы обеспечиваете общественный доступ только клиентам, тогда как внутренние процессы скрыты с помощью VPN. Эта имитация частной сети видима только для ваших серверов. Внедрить VPN можно и на уровне конкретных служб и приложений. В этом случае их потоки данных будут проходить через виртуальный интерфейс.
Сложность воплощения VPN зависит от целого ряда факторов: интерфейса и параметров сервера, настроек файервола, а также используемых приложений. Придётся установить и отладить каждый сервер, рассчитав оптимальные конфигурации. А уже по факту запуска частной виртуальной сети нацелить ПО на использование VPN-туннеля.
№ 4. Файервол
Он же брандмауэр, он же сетевой экран. Это может быть как программное, так и программно-аппаратное средство фильтрации трафика. Файервол помогает защитить отдельные хосты и фрагменты сети от несанкционированных проникновений.
В зависимости от сетевой модели OSI файерволы могут быть реализованы в виде управляемых коммутаторов, инспекторов состояния, посредников прикладного уровня, пакетных фильтров и шлюзов сеансового уровня. А основными составляющими брандмауэра выступают службы, которые делятся на 3 типа:
- Открытые. Подключение к ним позволено любому пользователю, в том числе анонимному. К этой группе относится веб-сервер, разрешающий доступ к онлайн-ресурсу.
- Закрытые. К ним доступ возможен либо из определённых мест, либо для ограниченного круга пользователей. Как, например, к панели управления ресурсом.
- Внутренние. Для них недоступны внешние источники. К таким службам относятся базы данных, принимающие лишь соединения по локальной сети.
Ключевое преимущество файервола – гибкость. Для каждого компонента сети вы можете задать отдельные настройки блокировки или ограничения. Кроме того, правильно настроенный, брандмауэр не будет вступать в конфликты с защитными функциями самого ПО. Наоборот, вы создаёте дополнительный рубеж обороны для защиты сервера.
№ 5. Аудит
Это шаг, позволяющий увязать воедино и оптимизировать перечисленное выше, а также все прочие аспекты безопасности. Ведь сам по себе файервол или шифрование – лишь полумера, если остаются «лазейки» в других аспектах. Поэтому уверенность в системе защиты сервера может гарантировать только комплексная проверка.
Ничто не испытает систему безопасности сервера на взломоустойчивость лучше, чем сам взлом, проведённый сторонними экспертами по информационной безопасности с соблюдением всех предосторожностей. По сути, вам помогают хакеры, исповедующие «светлую сторону силы».
Тщательно изучив структуру и получив всю необходимую информацию от вашего сисадмина, аудиторы проводят всестороннюю атаку, чтобы выявить:
• типичные уязвимости ПО;
• факты вмешательства в файловую систему;
• неверные настройки программ;
• ошибки конфигурации VPN;
• некорректности шифрования.
Аудит безопасности сервера преследует простую, но амбициозную цель – обнаружить все возможные «лазейки». Лишь тогда можно построить действительно надёжную систему защиты.
В заключение
Разумеется, всё это требует и времени, и усилий, и финансовых вложений. Но экономия на безопасности сервера может обернуться существенными убытками. Так что это не затраты, а инвестиции в стабильную работу аппаратного обеспечения, которое отвечает за функционирование бизнес-проекта в интернете.
Загрузка...