8 olulist näpunäidet veebirakenduste serveri turvaliseks kasutamiseks

Enamikul juhtudel peavad veebirakenduse serverid olema avalikult juurdepääsetavad, mis tähendab, et nad puutuvad kokku igasuguste ohtudega.


Paljud neist ohtudest on etteaimatavad ja hõlpsasti välditavad, teised aga teadmata ja võivad teid tabada. Selle juhtumi võimaluse minimeerimiseks pakume loetelu olulistest näpunäidetest, et hoida veebirakenduse serverid võimalikult turvalisena.

Enne näpunäidete loendiga alustamist peate mõistma, et veebirakenduse server ei ole saar. Server on veebirakenduste farmi keskne komponent, mis teeb võimalikuks veebirakenduse hostimise ja käitamise. Seetõttu peate turvalisuse tagamiseks arvestama kõigi seda ümbritsevate komponentidega ja turvama kogu veebirakenduse keskkonda.

Veebirakenduste hostimise ja käitamise põhikeskkond sisaldab opsüsteemi (Linux, Windows), veebiserveri tarkvara (Apache, Nginx), andmebaasiserverit. Kui mõni neist komponentidest puruneb, võivad ründajad pääseda juurde ja teostada kõik soovitud pahatahtlikud toimingud.

Esimene ja peamine näpunäide ülalkirjeldatud keskkonna tagamiseks on lugeda iga komponendi turvanõudeid ja parimate tavade loendit. Vaatame üle, vaatame üle terve mõistuse turvanõuded, mis kehtivad peaaegu igas veebirakenduse keskkonnas.

Tulemüür demüstifitseeriti

Teil võib tekkida kiusatus seda üksust kiiresti kontrollida, mõeldes: “õnneks, mul on juba oma võrku kaitsev tulemüür.” Kuid parem hoidke oma hobuseid.

Võimalik, et teie tulemüür hoolitseb teie võrgu piiride eest, hoides nii halvad kui ka head kutid eemal, kuid kindel, et see jätab ründajate jaoks veebirakenduse serverisse tungimiseks ukse avatuks,.

Kuidas?

Lihtne: teie võrgu tulemüür peab vähemalt lubama sissetulevat liiklust sadamates 80 ja 443 (see tähendab HTTP ja HTTPS) ning ei tea, kes või mis neid sadamaid läbib.

Rakenduse kaitsmiseks on vaja veebirakenduste tulemüüri (WAF), mis analüüsib spetsiaalselt veebiliiklust ja blokeerib igasugused katsed ära kasutada selliseid haavatavusi nagu saidiülene skriptimine või koodi süstimine. WAF töötab nagu tüüpiline viirusetõrje ja nuhkvaratõrje: otsib andmevoo teadaolevaid mustreid ja blokeerib pahatahtliku taotluse tuvastamisel selle.

Tõhususe tagamiseks peab WAF oma andmebaasi pidevalt ajakohastama uute ohuharjumustega, et neid blokeerida. Mustripõhise rünnaku ennetamise probleem on see, et teie veebirakendus võib olla üks uue ohu esimesi sihtmärke, millest teie WAF veel ei tea.

Nendel põhjustel vajab teie veebirakendus lisaks võrgu tulemüürile ka täiendavaid kaitsekihte.

Otsige veebispetsiifilisi haavatavusi

Ärge jällegi mõelge, et teie veebirakenduse server on haavatavusevaba ainult seetõttu, et teie võrgu turvaskanner seda ütleb.

Võrguskannerid ei suuda rakendusespetsiifilisi haavatavusi tuvastada. Nende haavatavuste tuvastamiseks ja kõrvaldamiseks peate rakendused alluma reale testidele ja audititele, näiteks läbitungimistestid, musta kasti skaneerimine ja lähtekoodi auditeerimine. Ükski neist meetoditest pole siiski kuulikindel. Ideaalis peaksite kõigi haavatavuste kõrvaldamiseks tegema neist võimalikult palju.

Näiteks turvaskannerid, nt Netsparker, veenduge, et ühtegi kasutatavat koodi ei satuks tootmiskeskkonda. Kuid võib olla loogilisi haavatavusi, mida saab tuvastada ainult käsitsi koodiauditite abil. Käsitsi auditeerimine on lisaks palju maksma panemine ka inimlik ja seetõttu vigadele kalduv meetod. Sellise auditeerimise hea mõte ilma palju raha raiskamata on selle kinnistamine arendusprotsessi, peamiselt arendajate koolitamisega.

Koolitage oma arendajaid

Arendajad kipuvad arvama, et nende rakendused töötavad ideaalses maailmas, kus ressursid on piiramatud, kasutajad ei tee vigu ja halastamatute kavatsustega inimesi pole. Kahjuks peavad nad mingil hetkel vastama reaalmaailma probleemidele, eriti seoses infoturbega.

Veebirakenduste väljatöötamisel peavad kodeerijad tundma ja rakendama turbemehhanisme, tagamaks, et sellel pole haavatavusi. Need turvamehhanismid peaksid olema osa parimate tavade juhendist, mida arendusmeeskond peab järgima.

Parimate tavade järgimise tagamiseks kasutatakse tarkvara kvaliteediauditit. Parimad tavad ja auditeerimine on ainsad viisid loogiliste haavatavuste tuvastamiseks, näiteks (näiteks) krüptimata ja nähtavate parameetrite edastamine URL-is, mida ründaja saab hõlpsasti muuta, et teha seda, mida ta soovib.

Lülitage tarbetu funktsionaalsus välja

Eeldades, et veebirakendused on võimalikult veatud ja veebifarm on turvatud, vaatame, mida saaks serveris ise ära teha, et seda rünnakute eest kaitsta.

Põhimõisteks terve mõistuse näpunäide on vähendada potentsiaalselt haavatavate sisenemispunktide arvu. Kui ründajad saavad mõnda veebiserveri komponenti ära kasutada, võib kogu veebiserver olla ohus.

Tehke nimekiri kõigist avatud pordid teenuste ja deemonite käitamine serveris ning mittevajalike sulgemine, keelamine või väljalülitamine. Serverit ei tohiks kasutada muuks otstarbeks kui veebirakenduste käitamiseks, nii et kaaluge kõigi lisafunktsioonide teisaldamist teistele oma võrgu serveritele.

Kasutage arendamiseks, testimiseks ja tootmiseks eraldi keskkondi

Arendajad ja testijad vajavad töötavas keskkonnas privileege, mida neil reaalajas rakendusserveris ei tohiks olla. Isegi kui usaldate neid pimesi, võivad nende paroolid kergesti lekkida ja sattuda soovimatutesse kätesse.

Paroolide ja privileegide kõrval on arendus- ja testimiskeskkondades tavaliselt tagauksed, logifailid, lähtekood või muu silumisteave, mis võib paljastada tundlikke andmeid, näiteks andmebaasi kasutajanimed ja paroolid. Veebirakenduse juurutamisprotsessi peaks tegema administraator, kes peab veenduma, et pärast rakenduse installimist reaalajas serverisse ei kuvata tundlikku teavet..

Sama eraldamise kontseptsiooni tuleb kohaldada ka rakenduse andmete suhtes. Testijad ja arendajad eelistavad töötamiseks alati päris andmeid, kuid pole hea mõte anda neile juurdepääs tootmisandmebaasile või isegi selle koopiale. Lisaks ilmsetele privaatsusprobleemidele võiks andmebaas sisaldada konfiguratsiooniparameetreid, mis paljastavad serverisiseseid sätteid – näiteks lõpp-aadressi või marsruuti, et paari nimetada.

Hoidke oma serveritarkvara värskendatud

Nii ilmne kui see ka ei tundu, on see üks tähelepanuta jäetud ülesandeid. SUCURI leidis, et 59% CMS-i rakendustest olid aegunud, mis on riskirikas.

Uusi ohte ilmub iga päev ja ainus viis nende serverit ohtu seadmiseks on alati uusimate turvapaikade installimine..

Me juba mainisime, et võrgu tulemüürid ja võrgu turvaskannerid pole veebirakenduste rünnakute ärahoidmiseks piisavad. Kuid need on vajalikud teie serveri kaitsmiseks tavaliste küberturvalisuse ohtude eest, nagu DDoS-i rünnakud. Seega veenduge, et teil oleks selliseid rakendusi alati värskendatud ja kas need kaitsevad teie ärirakendusi tõhusalt.

Piira juurdepääsu ja õigusi

Põhiline turvameede on kaugjuurdepääsu liikluse – näiteks RDP ja SSH – krüptimine ja tunneldamine. Samuti on hea mõte hoida vähendatud IP-aadresside loendit, kust kaugjuurdepääs on lubatud, veendudes, et kõik muud IP-aadressid kaugloogimise teel blokeeritakse.

Administraatorid annavad teenusekontodele aeg-ajalt kõik võimalikud privileegid, sest nad teavad, et seda tehes „töötab kõik”. Kuid see pole hea tava, kuna ründajad saavad serverisse tungimiseks kasutada teenuste haavatavusi. Kui neid teenuseid käitatakse administraatori õigustega, saavad nad kasutada kogu serverit.

Turvalisuse ja praktilisuse hea tasakaal eeldab, et igal kontol – nii sisselogimiskontodel kui ka teenusekontodel – on oma töö tegemiseks vajalikud õigused ja mitte miski muu.

Näiteks saate määratleda erinevad kontod, mille abil saab administraator teha erinevaid ülesandeid: üks varukoopiate tegemiseks, teine ​​logifailide puhastamiseks, teised teenuste konfiguratsiooni muutmiseks ja nii edasi. Sama kehtib ka andmebaasikontode kohta: rakendus vajab tavaliselt andmete lugemiseks ja kirjutamiseks ainult õigusi, mitte aga tabelite loomiseks ega kukutamiseks. Seetõttu peaks seda kasutama kontoga, mille privileegid on piiratud selleks, et täita vajalikke ülesandeid.

Hoidke serverilogidel silma peal

Logifailid on seal põhjusel.

Administraatorid peaksid neid regulaarselt jälgima, et avastada igasugune kahtlane käitumine enne, kui see kahju tekitab. Logifailide analüüsimisel saate paljusid andmeid, mis aitavad teil rakendust paremini kaitsta. Kui rünnak peaks aset leidma, võivad logifailid näidata teile, millal ja kuidas see algas, aidates paremini kahjustuskontrolli teha.

Samuti peab teil olema automatiseeritud protseduur vanade logifailide kustutamiseks või vananenud teabe kärpimiseks, et takistada neil serveris kogu saadaoleva salvestusruumi tarbimist.

Boonuse näpunäide: hoidke end kursis

Internetis on palju tasuta ja kasulikku teavet, mida saate kasutada oma veebirakenduse huvides. Ära jäta ühtegi uut postitust lugupeetud turbeblogides (nagu see) ja ole kursis turva- ja veebitööstuses toimuvaga.

Õpetused, kursused, videod ja raamatud on ka kasulike teadmiste allikad. Harjutage üks või kaks tundi nädalas lihtsalt selleks, et olla kursis tööstusharu uudistega – see annab teile meelerahu, teades, et teete oma rakenduste turvalisuse tagamiseks õigesti..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map