În cele mai multe cazuri, serverele de aplicații web trebuie să fie accesibile public, ceea ce înseamnă că sunt expuse la tot felul de amenințări.
Multe dintre aceste amenințări sunt previzibile și ușor de evitat, în timp ce altele sunt necunoscute și te pot prinde neprevăzut. Pentru a minimiza posibilitatea acestui ultim caz, oferim o listă de sfaturi esențiale pentru a menține serverele de aplicații web cât mai sigure posibil.
Înainte de a începe cu lista de sfaturi, trebuie să înțelegeți că un server de aplicații web nu este o insulă. Serverul este componenta centrală a fermei de aplicații web care face posibilă găzduirea și operarea unei aplicații web. Prin urmare, pentru a securiza, trebuie să țineți cont de toate componentele care îl înconjoară și să securizați întregul mediu de aplicație web.
Un mediu de bază pentru găzduirea și rularea aplicațiilor web include sistemul de operare (Linux, Windows), software-ul serverului web (Apache, Nginx), un server de baze de date. Dacă oricare dintre aceste componente este spartă, atacatorii ar putea obține acces și pot efectua toate acțiunile rău intenționate pe care le doresc.
Un prim sfat de bază pentru a securiza un mediu precum cel descris mai sus este să citiți instrucțiunile de securitate și lista cu cele mai bune practici pentru fiecare dintre componente. Acestea fiind spuse, haideți să revizuim o serie de reguli de securitate de bun simț care se aplică aproape oricărui mediu de aplicații web.
Cuprins
Firewall-ul s-a demistificat
Este posibil să fiți tentat să verificați rapid acest articol, gândindu-vă „noroc că am deja un firewall care îmi protejează rețeaua”. Dar mai bine ține-ți caii.
Firewall-ul tău poate avea grijă de granițele rețelei tale, ținându-i pe cei răi afară și pe cei buni înăuntru, dar cu siguranță lasă o ușă larg deschisă pentru ca atacatorii să pătrundă în serverul tău de aplicații web.
Cum?
Simplu: firewall-ul de rețea trebuie să permită cel puțin traficul de intrare pe porturile 80 și 443 (adică HTTP și HTTPS) și nu știe cine sau ce trece prin acele porturi.
Ceea ce aveți nevoie pentru a vă proteja aplicația este un paravan de protecție pentru aplicații web (WAF) care analizează în mod specific traficul web și blochează orice încercare de a exploata vulnerabilități, cum ar fi scripturile între site-uri sau injectarea de cod. Un WAF funcționează ca un antivirus și antimalware tipic: caută modele cunoscute în fluxul de date și îl blochează atunci când detectează o solicitare rău intenționată.
Pentru a fi eficient, WAF trebuie să aibă baza de date actualizată constant cu noi modele de amenințări, pentru a le putea bloca. Problema cu prevenirea atacurilor bazată pe modele este că aplicația dvs. web poate fi una dintre primele ținte ale unei noi amenințări de care WAF nu este încă conștient.
Din aceste motive, aplicația dvs. web are nevoie de straturi de protecție suplimentare pe lângă firewall-ul de rețea.
Scanați pentru vulnerabilități specifice web
Din nou, nu credeți că serverul dvs. de aplicații web este lipsit de vulnerabilități doar pentru că scanerul de securitate al rețelei spune acest lucru.
Scanerele de rețea nu pot detecta vulnerabilități specifice aplicației. Pentru a detecta și elimina aceste vulnerabilități, trebuie să supuneți aplicațiilor o serie de teste și audituri, cum ar fi teste de penetrare, scanare cutie neagră și auditare a codului sursă. Niciuna dintre aceste metode nu este antiglonț, totuși. În mod ideal, ar trebui să efectuați cât mai multe dintre ele pentru a elimina toate vulnerabilitățile.
De exemplu, scanere de securitate, cum ar fi Invicti, asigurați-vă că niciun cod exploatabil nu ajunge în mediul de producție. Dar ar putea exista vulnerabilități logice care pot fi detectate doar prin auditarea manuală a codului. Auditul manual, pe lângă faptul că costă mult, este o metodă umană și, prin urmare, predispusă la erori. O idee bună de a face acest tip de audit fără a pierde o mulțime de bani este încorporarea acestuia în procesul de dezvoltare, mai ales prin educarea dezvoltatorilor.
Educați-vă dezvoltatorii
Dezvoltatorii tind să creadă că aplicațiile lor rulează în lumi ideale, unde resursele sunt nelimitate, utilizatorii nu greșesc și nu există oameni cu intenții nemiloase. Din păcate, la un moment dat, ei trebuie să se confrunte cu probleme din lumea reală, în special cu cele referitoare la securitatea informațiilor.
Atunci când dezvoltă aplicații web, programatorii trebuie să cunoască și să implementeze mecanisme de securitate pentru a se asigura că nu există vulnerabilități. Acele mecanisme de securitate ar trebui să facă parte din ghidul de bune practici pe care trebuie să-l respecte echipa de dezvoltare.
Auditul calității software este utilizat pentru a asigura conformitatea cu cele mai bune practici. Cele mai bune practici și auditul sunt singurele modalități de a detecta vulnerabilități logice, cum ar fi (de exemplu) trecerea parametrilor necriptați și vizibili în interiorul unei adrese URL, pe care un atacator i-ar putea schimba cu ușurință pentru a face ceea ce dorește.
Dezactivați funcționalitățile inutile
Presupunând că aplicațiile web sunt cât mai lipsite de erori și ferma web este securizată, să vedem ce se poate face pe server însuși pentru a-l proteja de atacuri.
Un sfat de bază, de bun simț, este reducerea numărului de puncte de intrare potențial vulnerabile. Dacă atacatorii pot exploata oricare dintre componentele serverului web, întregul server web ar putea fi în pericol.
Faceți o listă cu toate porturile deschise și serviciile sau demonii care rulează pe serverul dvs. și închideți, dezactivați sau dezactivați-le pe cele inutile. Serverul nu ar trebui folosit în alt scop decât rularea aplicațiilor dvs. web, așa că luați în considerare mutarea tuturor funcționalităților suplimentare pe alte servere din rețea.
Utilizați medii separate pentru dezvoltare, testare și producție
Dezvoltatorii și testerii au nevoie de privilegii pe mediile în care lucrează pe care nu ar trebui să le aibă pe serverul de aplicații live. Chiar dacă ai încredere în ei orbește, parolele lor s-ar putea scurge cu ușurință și ar putea cădea în mâini nedorite.
Pe lângă parole și privilegii, în mediile de dezvoltare și testare, există de obicei uși în spate, fișiere jurnal, cod sursă sau alte informații de depanare care ar putea expune date sensibile, cum ar fi numele de utilizator și parolele bazei de date. Procesul de implementare a aplicației web ar trebui să fie efectuat de un administrator, care trebuie să se asigure că nu sunt expuse informații sensibile după instalarea aplicației pe serverul live.
Același concept de segregare trebuie aplicat datelor aplicației. Testerii și dezvoltatorii preferă întotdeauna să lucreze cu datele reale, dar nu este o idee bună să le acordați acces la baza de date de producție sau chiar la o copie a acesteia. Pe lângă preocupările evidente de confidențialitate, baza de date ar putea conține parametri de configurare care dezvăluie setările interne ale serverului – cum ar fi adresele punctelor finale sau căile, pentru a numi câteva.
Păstrați software-ul serverului dvs. actualizat
Oricât de evident ar părea, aceasta este una dintre sarcinile cele mai trecute cu vederea. SUCURI a constatat că 59% dintre aplicațiile CMS au fost depășite, ceea ce este expus riscului.
Noi amenințări apar în fiecare zi și singura modalitate de a le împiedica să vă pună în pericol serverul este să instalați întotdeauna cele mai recente corecții de securitate.
Am menționat anterior că firewall-urile de rețea și scanerele de securitate ale rețelei nu sunt suficiente pentru a preveni atacurile asupra aplicațiilor web. Dar acestea sunt necesare pentru a vă proteja serverul de amenințările obișnuite de securitate cibernetică, cum ar fi atacurile DDoS. Așadar, asigurați-vă că aveți astfel de aplicații mereu actualizate și că acestea vă protejează eficient aplicația de afaceri.
Restricționați accesul și privilegiile
O măsură de bază de securitate este menținerea traficului de acces la distanță, cum ar fi RDP și SSH, criptat și tunelizat. De asemenea, este o idee bună să păstrați o listă redusă de adrese IP de unde este permis accesul la distanță, asigurându-vă că orice încercare de a vă conecta de la distanță de la orice alt IP este blocată.
Administratorii acordă ocazional conturilor de serviciu toate privilegiile posibile, deoarece știu că, făcând acest lucru, „totul va funcționa”. Dar aceasta nu este o practică bună, deoarece atacatorii pot folosi vulnerabilitățile din servicii pentru a pătrunde în server. Dacă aceste servicii rulează cu privilegii de administrator, pot ocupa întregul server.
Un echilibru bun între securitate și caracter practic necesită ca fiecare cont – atât conturile de conectare, cât și conturile de serviciu – să aibă privilegiile de care are nevoie pentru a-și îndeplini munca și nimic altceva.
De exemplu, puteți defini diferite conturi pentru ca un administrator să facă diferite sarcini: unul pentru a face copii de rezervă, altul pentru a curăța fișierele jurnal, altele pentru a schimba configurația serviciilor și așa mai departe. Același lucru este valabil și pentru conturile de baze de date: o aplicație are de obicei nevoie doar de permisiunile pentru a citi și scrie date, și nu pentru a crea sau a arunca tabele. Prin urmare, ar trebui să ruleze cu un cont cu privilegii limitate pentru a îndeplini sarcinile pe care trebuie să le îndeplinească.
Fii cu ochii pe jurnalele serverului
Fișierele jurnal sunt acolo pentru un motiv.
Administratorii ar trebui să le monitorizeze în mod regulat pentru a detecta orice comportament suspect înainte ca acesta să provoace daune. Analizând fișierele jurnal, puteți descoperi o mulțime de informații pentru a vă ajuta să protejați mai bine aplicația. Dacă ar avea loc un atac, fișierele jurnal vă pot arăta când și cum a început, ajutând la un control mai bun al daunelor.
De asemenea, trebuie să aveți o procedură automată pentru a șterge fișierele jurnal vechi sau pentru a elimina informațiile învechite, pentru a le împiedica să consume tot spațiul de stocare disponibil pe server.
Sfat bonus: țineți-vă la curent
Există o mulțime de informații gratuite și utile pe Internet pe care le puteți folosi în beneficiul aplicației dvs. web. Nu ratați nicio postare nouă pe bloguri de securitate reputate (cum ar fi acesta) și rămâneți la curent cu ceea ce se întâmplă în industria de securitate și web.
Tutoriale, cursurile, videoclipurile și cărțile sunt, de asemenea, surse de cunoștințe utile. Exersați-vă să petreceți una sau două ore pe săptămână doar pentru a fi la curent cu noutățile din industrie — Vă va oferi liniștea de a ști că faceți ceea ce trebuie să vă păstrați aplicațiile în siguranță.