În majoritatea situațiilor, serverele care rulează aplicații web trebuie să fie accesibile publicului larg, ceea ce înseamnă că sunt vulnerabile la o gamă variată de riscuri.
Multe dintre aceste riscuri sunt ușor de anticipat și evitat, însă altele pot fi neașteptate, surprinzând nepregătiți. Pentru a reduce la minim posibilitatea de a fi luați prin surprindere, vă oferim o listă de recomandări esențiale pentru a menține securitatea serverelor de aplicații web la un nivel cât mai ridicat.
Înainte de a explora aceste sfaturi, este vital să înțelegem că un server de aplicații web nu funcționează izolat. Acesta este, de fapt, componenta centrală a unei infrastructuri complexe care permite găzduirea și funcționarea unei aplicații web. Prin urmare, pentru a asigura o protecție eficientă, este necesar să luăm în considerare toate elementele componente și să securizăm întregul mediu de aplicații web.
Un mediu tipic de găzduire și funcționare a aplicațiilor web include sistemul de operare (Linux, Windows), software-ul serverului web (Apache, Nginx) și un server de baze de date. Odată ce oricare dintre aceste componente este compromisă, atacatorii pot obține acces neautorizat și pot executa acțiuni dăunătoare.
Un prim pas fundamental în securizarea unui astfel de mediu este consultarea instrucțiunilor de securitate și a listelor cu cele mai bune practici pentru fiecare componentă în parte. Acestea fiind spuse, haideți să examinăm câteva reguli de securitate de bun simț, valabile pentru aproape orice mediu de aplicații web.
Clarificări despre Firewall
S-ar putea să fiți tentat să parcurgeți rapid acest articol, gândindu-vă „Din fericire, am deja un firewall care îmi protejează rețeaua”. Cu toate acestea, este indicat să acordați o atenție sporită.
Deși firewall-ul dvs. poate gestiona granițele rețelei, ținând la distanță amenințările și permițând accesul utilizatorilor autorizați, el poate, de asemenea, să lase o portiță deschisă pentru ca atacatorii să ajungă la serverul de aplicații web.
Cum este posibil acest lucru?
Simplu: firewall-ul de rețea trebuie să permită, cel puțin, traficul de intrare pe porturile 80 și 443 (adică HTTP și HTTPS) și nu poate distinge cine sau ce trece prin aceste porturi.
Pentru a vă proteja în mod eficient aplicația, aveți nevoie de un firewall pentru aplicații web (WAF), care analizează în detaliu traficul web și blochează orice tentativă de a exploata vulnerabilitățile, precum atacurile de tip cross-site scripting sau injecțiile de cod. Un WAF acționează similar cu un program antivirus, căutând tipare specifice în fluxul de date și blocând solicitările cu intenții suspecte.
Pentru a fi performant, un WAF necesită o actualizare constantă a bazei de date cu noi modele de amenințări, astfel încât să le poată bloca. Totuși, problema cu prevenirea atacurilor bazată pe tipare este că aplicația dvs. web ar putea fi printre primele ținte ale unei noi amenințări, necunoscute încă pentru WAF.
Din aceste considerente, aplicația web are nevoie de straturi suplimentare de protecție, dincolo de firewall-ul de rețea.
Scanarea vulnerabilităților specifice web
Nu presupuneți că serverul dvs. de aplicații web este complet sigur doar pentru că scanerul de securitate al rețelei nu semnalează probleme.
Scanerele de rețea nu pot identifica vulnerabilitățile specifice aplicațiilor. Pentru a descoperi și a elimina aceste vulnerabilități, trebuie să supuneți aplicațiile unor serii de teste și evaluări, precum teste de penetrare, scanări black box și audituri ale codului sursă. Nicio metodă nu oferă o garanție absolută, însă ideal ar fi să aplicați cât mai multe dintre acestea pentru a elimina cât mai multe vulnerabilități.
De exemplu, scanere de securitate, precum Invicti, asigură faptul că niciun cod vulnerabil nu ajunge în mediul de producție. Cu toate acestea, pot exista vulnerabilități logice, care pot fi identificate doar prin auditarea manuală a codului. Pe lângă costuri ridicate, auditul manual este o metodă umană, deci vulnerabilă la erori. O soluție bună pentru a realiza auditul fără a suporta costuri mari este includerea acestuia în procesul de dezvoltare, mai ales prin educarea dezvoltatorilor.
Educați dezvoltatorii
Dezvoltatorii tind să creadă că aplicațiile lor funcționează într-un mediu ideal, în care resursele sunt nelimitate, utilizatorii nu fac greșeli și nu există persoane cu intenții rele. Din păcate, la un moment dat, aceștia se vor confrunta cu provocări din lumea reală, mai ales în ceea ce privește securitatea informațiilor.
În timpul dezvoltării aplicațiilor web, programatorii trebuie să cunoască și să implementeze mecanisme de securitate pentru a preveni apariția vulnerabilităților. Aceste mecanisme ar trebui să fie parte integrantă din ghidul de bune practici, respectat de echipa de dezvoltare.
Auditurile calității software-ului sunt esențiale pentru a verifica respectarea celor mai bune practici. Doar prin aplicarea celor mai bune practici și prin audituri se pot identifica vulnerabilitățile logice, precum transmiterea de parametri necriptați în adrese URL, care pot fi ușor modificați de un atacator în scopuri malițioase.
Dezactivarea funcționalităților inutile
Presupunând că aplicațiile web sunt cât mai lipsite de erori și că infrastructura web este securizată, să vedem ce acțiuni pot fi întreprinse direct pe server pentru a-l proteja de atacuri.
Un sfat fundamental este reducerea numărului de puncte de intrare potențial vulnerabile. Dacă atacatorii reușesc să exploateze oricare dintre componentele serverului web, întregul server poate fi în pericol.
Creați o listă cu toate porturile deschise și cu serviciile sau demonii care rulează pe server. Închideți, dezactivați sau opriți-le pe cele care nu sunt necesare. Serverul ar trebui să fie folosit exclusiv pentru funcționarea aplicațiilor web, deci este recomandat să mutați orice funcționalitate suplimentară pe alte servere din rețea.
Medii separate pentru dezvoltare, testare și producție
Dezvoltatorii și testerii au nevoie de privilegii în mediile în care lucrează, pe care nu ar trebui să le aibă pe serverul de aplicații web live. Chiar dacă aveți încredere deplină în ei, parolele lor ar putea fi compromise cu ușurință și ajunge în mâini nepotrivite.
Pe lângă parole și privilegii, mediile de dezvoltare și testare conțin adesea portițe de acces, fișiere jurnal, cod sursă sau alte informații de depanare, care pot dezvălui date sensibile, precum numele de utilizator și parolele bazei de date. Procesul de implementare a aplicației web ar trebui să fie gestionat de un administrator, care trebuie să se asigure că nu sunt expuse informații sensibile după instalarea aplicației pe serverul live.
Același principiu de segregare ar trebui aplicat și datelor aplicației. Testerii și dezvoltatorii preferă adesea să lucreze cu date reale, dar nu este indicat să le acordați acces la baza de date de producție sau la o copie a acesteia. Pe lângă problemele evidente de confidențialitate, baza de date poate conține parametri de configurare care dezvăluie setările interne ale serverului, precum adresele punctelor finale sau căile de acces.
Actualizarea software-ului serverului
Deși pare evident, aceasta este una dintre sarcinile cel mai adesea neglijate. Cercetările au arătat că 59% dintre aplicațiile CMS sunt învechite și vulnerabile.
Noi amenințări apar zilnic, iar singura modalitate de a preveni compromiterea serverului este să instalați întotdeauna cele mai recente actualizări de securitate.
Am menționat anterior că firewall-urile de rețea și scanerele de securitate nu sunt suficiente pentru a preveni atacurile asupra aplicațiilor web. Cu toate acestea, acestea sunt esențiale pentru a proteja serverul de amenințările obișnuite de securitate cibernetică, precum atacurile DDoS. Asigurați-vă, așadar, că aveți aceste aplicații actualizate constant și că protejează în mod eficient aplicația dvs. de afaceri.
Restricționarea accesului și privilegiilor
O măsură de securitate fundamentală este să mențineți traficul de acces la distanță, precum RDP și SSH, criptat și tunelizat. De asemenea, este indicat să aveți o listă limitată de adrese IP de unde este permis accesul la distanță, blocând orice încercare de conectare de la alt IP.
Administratorii acordă uneori conturilor de serviciu toate privilegiile posibile, considerând că astfel „totul va funcționa”. Aceasta este o practică riscantă, deoarece atacatorii pot utiliza vulnerabilitățile din servicii pentru a pătrunde în server. Dacă aceste servicii rulează cu privilegii de administrator, pot prelua controlul asupra întregului server.
Un echilibru corect între securitate și funcționalitate necesită ca fiecare cont – atât conturile de conectare, cât și conturile de serviciu – să aibă doar privilegiile necesare pentru a-și îndeplini sarcinile și nimic mai mult.
De exemplu, puteți crea conturi diferite pentru administrator, pentru sarcini distincte: unul pentru crearea de copii de rezervă, altul pentru curățarea fișierelor jurnal, altul pentru modificarea configurației serviciilor, etc. Același principiu se aplică și conturilor bazelor de date: o aplicație are nevoie de obicei doar de permisiunea de a citi și scrie date, nu de a crea sau șterge tabele. Prin urmare, aceasta ar trebui să funcționeze cu un cont cu privilegii limitate, strict pentru îndeplinirea sarcinilor specifice.
Monitorizarea jurnalelor serverului
Fișierele jurnal au un scop bine definit.
Administratorii ar trebui să le monitorizeze frecvent pentru a identifica orice comportament suspect, înainte ca acesta să cauzeze daune. Analiza fișierelor jurnal poate oferi informații valoroase pentru a proteja mai bine aplicația. În cazul unui atac, fișierele jurnal pot indica momentul și modul în care a început, facilitând o gestionare mai eficientă a daunelor.
De asemenea, trebuie să aveți o procedură automată de ștergere a fișierelor jurnal vechi sau de eliminare a informațiilor depășite, pentru a preveni consumul excesiv de spațiu de stocare pe server.
Sfat suplimentar: Informarea constantă
Există o mulțime de informații gratuite și utile pe internet, pe care le puteți utiliza în beneficiul aplicației web. Fiți la curent cu noile publicații de pe blogurile de securitate reputabile (precum acesta) și cu evoluțiile din industria de securitate web.
Tutorialele, cursurile, videoclipurile și cărțile sunt, de asemenea, surse valoroase de cunoștințe. Încercați să alocați o oră sau două pe săptămână pentru a vă informa cu privire la noutățile din industrie – acest lucru vă va oferi liniștea de a ști că faceți tot ce ține de dumneavoastră pentru a vă menține aplicațiile în siguranță.