8 Alapvető tippek a webes alkalmazáskiszolgáló biztonságához

A legtöbb esetben a webalkalmazás-kiszolgálóknak nyilvánosan hozzáférhetőknek kell lenniük, ami azt jelenti, hogy mindenféle veszélynek vannak kitéve.


Ezeknek a fenyegetéseknek sok része kiszámítható és könnyen elkerülhető, míg mások ismeretlenek és őrizetbe vethetnek téged. Ez utóbbi eset minimálisra csökkentése érdekében felkínálunk egy alapvető tippet, amelyek a webes alkalmazáskiszolgálók lehető legbiztonságosabbá tételéhez szükségesek.

Mielőtt elkezdené a tipistalistát, meg kell értenie, hogy a webalkalmazás-kiszolgáló nem egy sziget. A szerver a webes alkalmazásfarm központi eleme, amely lehetővé teszi a webes alkalmazások tárolását és üzemeltetését. Ezért a biztonság érdekében figyelembe kell vennie az azt körülvevő összes összetevőt, és meg kell védenie a teljes webes alkalmazási környezetet.

A webes alkalmazások tárolásának és futtatásának alapvető környezete magában foglalja az operációs rendszert (Linux, Windows), a webszerver szoftvert (Apache, Nginx), az adatbázis szervert. Ha ezeknek az összetevőknek valamelyikét betörik, a támadók hozzáférhetnek minden szükséges rosszindulatú művelethez, és elvégezhetik azokat.

A fentiekhez hasonló környezet biztosításának első és alapvető javaslata az, hogy olvassa el a biztonsági irányelvek és a bevált gyakorlatok listáját mindegyik elemre. Ennek ellenére nézzük át néhány józan ész biztonsági iránymutatást, amelyek szinte minden webalkalmazási környezetre vonatkoznak.

A tűzfalat megsemmisítették

Kísértés lehet arra, hogy gyorsan ellenőrizze ezt az elemet, gondolkodva: „Szerencsém, már van egy tűzfalam, amely megvédi a hálózatomat”. De jobb, ha tartod a lovadat.

Lehet, hogy a tűzfala gondoskodik a hálózat határairól, tartja a rossz fiúkat és a jó fiúkat, de az biztos, hogy széles ajtót hagy a támadók számára az internetes alkalmazáskiszolgálón.

Hogyan?

Egyszerű: a hálózati tűzfalnak legalább be kell engednie a bejövő forgalmat a 80. és 443. porton (azaz a HTTP és a HTTPS), és nem tudja, ki vagy mi halad át ezeken a portokon.

Az alkalmazás védelméhez egy webes alkalmazás tűzfala (WAF) van, amely kifejezetten elemzi a webes forgalmat, és megakadályozza a sebezhetőségek, például a webhelyek közötti szkriptek vagy a kód befecskendezésének kiaknázását. A WAF úgy működik, mint egy tipikus víruskereső és kártevőirtó szoftver: ismert mintákat keres az adatfolyamban, és blokkolja azokat, amikor rosszindulatú kérelmet észlel.

A hatékonyság érdekében a WAF-nak adatbázisát folyamatosan frissíteni kell az új fenyegetési mintákkal annak blokkolása érdekében. A mintaalapú támadások megelőzésének problémája az, hogy a webes alkalmazás az egyik olyan új fenyegetés első célpontja lehet, amelyről a WAF még nem ismeri.

Ezen okok miatt a webes alkalmazásnak további védelmi rétegekre van szüksége a hálózati tűzfal mellett.

Vizsgálja meg a web-specifikus sebezhetőségeket

Ne ismételje meg, hogy ne gondolja, hogy webes alkalmazáskiszolgálója sebezhetőséget nem okoz, csak azért, mert a hálózati biztonsági szkenner ezt mondja.

A hálózati szkennerek nem tudják észlelni az alkalmazás-specifikus biztonsági réseket. Ezeknek a sebezhetőségeknek a felismerése és kiküszöbölése érdekében az alkalmazásokat tesztek és ellenőrzések sorozatának kell alávetni, például penetrációs tesztek, fekete doboz szkennelés és forráskód ellenőrzés alá. Ezek közül a módszerek közül egyik sem golyóálló. Ideális esetben a lehető legtöbbet végre kell hajtania az összes sebezhetőség kiküszöbölésére.

Például a biztonsági szkennerek, mint például Netsparker, gondoskodjon arról, hogy semmilyen felhasználható kód ne kerüljön a termelési környezetbe. Lehetnek olyan logikai sebezhetőségek is, amelyeket csak kézi kódellenőrzéssel lehet felismerni. A kézi ellenőrzés a sokba kerülése mellett emberi és ezért hibára hajlamos módszer. Egy jó ötlet erre a könyvvizsgálatra, anélkül, hogy sok pénzt pazarolna el, beágyazva azt a fejlesztési folyamatba, főleg a fejlesztők oktatása révén..

Oktatja fejlesztőit

A fejlesztők általában azt gondolják, hogy alkalmazásuk ideális világban fut, ahol az erőforrások korlátlanok, a felhasználók nem tesznek hibákat, és kegyetlen szándékú emberek nincsenek. Sajnos egy bizonyos ponton a valós kérdésekkel kell szembesülniük, különös tekintettel az információbiztonságra.

A webes alkalmazások fejlesztésekor a kódolóknak ismerniük és végrehajtaniuk kell a biztonsági mechanizmusokat annak biztosítása érdekében, hogy mentes legyen a sebezhetőségektől. Ezeknek a biztonsági mechanizmusoknak a bevált gyakorlati útmutató részét kell képezniük, amelyet a fejlesztőcsoportnak be kell tartania.

A szoftver minőségének ellenőrzését a bevált gyakorlatok betartásának biztosítására használják. A bevált gyakorlatok és a könyvvizsgálat az egyetlen módszer a logikai sebezhetőségek felismerésére, például (például) nem titkosított és látható paraméterek átadására egy URL-en belül, amelyet a támadó könnyen megváltoztathat, hogy megtegye azt, amit akar..

Kapcsolja ki a felesleges funkciókat

Feltételezve, hogy a webes alkalmazások a lehető leg hibamentesebbek és a webes farm biztonságban van, nézzük meg, mit tehetünk maga a szerveren a támadásokkal szembeni védelem érdekében.

Az alapvető, józan ész tipp a potenciálisan kiszolgáltatott belépési pontok számának csökkentése. Ha a támadók kihasználhatják a webszerver bármely elemét, akkor az egész webszerver veszélyben lehet.

Készítsen egy listát az összes nyitott portok és szolgáltatások vagy démonok futtatása a szerveren, és bezárja, letiltja vagy kikapcsolja a felesleges szolgáltatásokat. A szervert csak a webes alkalmazások futtatására szabad felhasználni, ezért érdemes megfontolni az összes kiegészítő funkció áthelyezését a hálózat más szervereire..

Használjon külön környezeteket a fejlesztéshez, teszteléshez és gyártáshoz

A fejlesztőknek és a tesztelőknek olyan privilégiumokra van szükségük a dolgozó környezetekben, amelyek nem rendelkeznek az élő alkalmazáskiszolgálón. Még akkor is, ha vakon bízsz bennük, jelszavak könnyen kiszivároghatnak és nem kívánt kezekbe kerülhetnek.

A jelszavak és kiváltságok mellett a fejlesztési és tesztelési környezetekben általában vannak hátsó ajtók, naplófájlok, forráskódok vagy egyéb hibakeresési információk, amelyek érzékeny adatokat tárhatnak fel, például adatbázis-felhasználónevek és jelszavak. A webalkalmazás telepítését egy rendszergazdának kell elvégeznie, akinek meg kell győződnie arról, hogy az alkalmazás élő kiszolgálóra telepítése után nincs érzékeny információ..

Ugyanezt a szegregációs koncepciót kell alkalmazni az alkalmazás adataira is. A tesztelők és a fejlesztők mindig inkább a valós adatokat részesítik előnyben, mint amellyel együtt dolgoznak, de nem jó ötlet hozzáférést biztosítani számukra a termelési adatbázishoz, vagy akár annak egy példányához. A nyilvánvaló adatvédelmi aggályok mellett az adatbázis tartalmazhat olyan konfigurációs paramétereket is, amelyek feltárják a belső szerver beállításait – például végpont címeket vagy elérési útvonalakat -.

Frissítse a szerver szoftverét

Bármilyen nyilvánvalónak is tűnik, ez az egyik leginkább figyelmen kívül hagyott feladat. A SUCURI azt találta, hogy a CMS-alkalmazások 59% -a elavult, ami kockázatos.

Minden nap új fenyegetések jelennek meg, és az egyetlen módja annak, hogy megakadályozzák őket a kiszolgáló veszélyeztetésében, az a legújabb biztonsági javítások telepítése..

Már említettük, hogy a hálózati tűzfalak és a hálózati biztonsági szkennerek nem elegendőek a webes alkalmazások támadásainak megelőzéséhez. De ezek szükségesek a kiszolgáló megóvásához az általános kiberbiztonsági fenyegetésektől, például a DDoS támadásoktól. Ezért győződjön meg arról, hogy ezeket az alkalmazásokat mindig frissíti, és hogy hatékonyan védik az üzleti alkalmazásukat.

Korlátozza a hozzáférést és a kiváltságokat

Alapvető biztonsági intézkedés a távoli hozzáférés – például az RDP és az SSH – forgalmának titkosítva és alagútban tartása. Az is jó ötlet, ha csökkentett listát tart fenn azon IP-címekről, ahonnan a távoli hozzáférés engedélyezett, ügyelve arra, hogy minden más IP-ről távolról történő naplózási kísérlet blokkolva legyen..

A rendszergazdák időnként a szolgáltatásfiókok számára biztosítják az összes lehetséges kiváltságot, mert tudják, hogy így cselekedve „minden működni fog”. Ez azonban nem jó gyakorlat, mivel a támadók a szolgáltatások sebezhetőségét használhatják a szerver behatolására. Ha ezeket a szolgáltatásokat rendszergazdai jogosultságokkal futtatják, akkor az a teljes kiszolgálót megragadhatja.

A biztonság és a gyakorlat közötti megfelelő egyensúly megköveteli, hogy minden fióknak – mind a bejelentkezési, mind a szolgáltatási fiókoknak – legyenek a munka elvégzéséhez szükséges jogosultságok, és semmi más.

Például meghatározhat különféle fiókokat az adminisztrátorok számára a különböző feladatok elvégzéséhez: az egyik biztonsági másolat készítéséhez, a másik a naplófájlok tisztításához, mások a szolgáltatások konfigurációjának megváltoztatásához stb. Ugyanez vonatkozik az adatbázis-fiókokra: egy alkalmazásnak általában csak az adatok olvasásának és írásának engedélyeire van szüksége, és nem táblák létrehozására vagy eldobására. Ezért olyan fiókkal kell futtatnia, amelynek jogosultságai korlátozottak ahhoz, hogy elvégezzék a szükséges feladatokat.

Figyelje a szervernaplókat

A naplófájlok okból vannak.

A rendszergazdáknak rendszeresen ellenőrizniük kell őket, hogy felfedezzék a gyanús viselkedést, mielőtt bármilyen károkat okozna. A naplófájlok elemzésével sok információt fedezhet fel, amelyek segítenek az alkalmazás jobb védelmében. Ha támadásra kerül sor, a naplófájlok megmutathatják, hogy mikor és mikor kezdődött el, segítve a jobb károk ellenőrzését.

Automatizált eljárással kell rendelkeznie a régi naplófájlok törléséhez vagy az elavult információk metszéséhez is, hogy megakadályozzák őket, hogy az összes rendelkezésre álló tárhelyet felhasználják a kiszolgálón..

Bónusz tipp: tájékoztassa magát

Sok ingyenes és hasznos információ található az interneten, amelyet felhasználhat webes alkalmazásának javára. Ne hagyjon ki egyetlen új bejegyzést az elismert biztonsági blogokban (mint például ez), és maradjon tájékozott a biztonsági és internetes iparágban zajló eseményekről.

oktatóanyagok, nyelvtanfolyamok, a videók és a könyvek szintén hasznos tudásforrások. Gyakorolja, hogy hetente egy vagy két órát töltsön azért, hogy folyamatosan tájékozódjon az iparági hírekről – Nyugalmat biztosít Önnek, ha tudatában van, hogy helyesen cselekszik az alkalmazások biztonságának biztosítása érdekében..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map