Jak vytvořit robustní bezpečnostní opatření na ochranu vašich serverů

Úvod

Při práci na cloudové infrastruktuře je vaším hlavním zájmem zajistit, aby vaše aplikace byly plně funkční. Jednou z důležitých součástí procesu nastavení a nasazení je zabudování účinných, důkladných a robustních bezpečnostních opatření do vašich aplikací nebo systémů ještě předtím, než budou nabídnuty veřejnosti. Namísto zpětného zavádění bezpečnostních opatření po nasazení je důležité zajistit, aby byla ve vaší infrastruktuře zabudována bezpečná základní konfigurace.

Tento návod vám v tomto ohledu pomůže. Upozorní na některá praktická bezpečnostní opatření, která lze implementovat během nastavování a konfigurace infrastruktury vašeho serveru. Přestože se nejedná o vyčerpávající seznam bezpečnostních protokolů serveru, je to užitečný výchozí bod. Jak budete pracovat se specifickými potřebami svého prostředí a aplikací a lépe jim rozumět, můžete vyvíjet další bezpečnostní opatření, která vám pomohou stavět na vašem základu.

Klíče SSH (Secure Shell)

Při práci se serverem strávíte velkou většinu času prací v SSH připojení k vašemu serveru v rámci terminálové relace. Klíče SSH (Security Shell) poskytují bezpečnější způsob přihlášení k serveru než přihlášení spoléhající na hesla. Pro účely autentizace se za použití SSH klíčů připravují dva přístupové klíče. První je tajný (soukromý) klíč, zatímco druhý je sdílený, veřejný klíč.

Autentizaci pomocí SSH klíče je nejprve nutné nakonfigurovat. Toho se docílí umístěním veřejného SSH klíče do příslušného adresáře na serveru. Jakmile se váš klient poprvé připojí k serveru, budete požádáni o prokázání vlastnictví soukromého klíče. To se provádí vygenerováním náhodné hodnoty, která je následně odeslána vašemu SSH klientovi. SSH klient pak použije soukromý klíč k zašifrování odpovědi. Tato odpověď bude odeslána na server. Poté server dešifruje zprávu od klienta pomocí vašeho veřejného klíče. Pokud je náhodná hodnota serverem úspěšně dešifrována, znamená to, že klient má soukromý klíč. V takovém případě je autentizace potvrzena a lze navázat připojení k serveru bez hesla.

Zvýšení bezpečnosti pomocí SSH klíčů

Zatímco autorizace heslem nebo jakákoli autentizace pomocí SSH je zcela šifrovaná, o přístup k serveru se mohou pokoušet škodliví uživatelé. Zvláště pokud získali veřejnou IP adresu serveru. Moderní výpočetní technika umožňuje zkoušet všechny možné kombinace klíčů pro přihlášení založená na heslech, o což se škodliví uživatelé často pokoušejí. Pokud by někdo tyto pokusy o přístup zautomatizoval, je možné systematickým zkoušením různých kombinací nakonec získat správné heslo.

Díky využití šifrované autentizace SSH není nutné povolovat hesla pro přihlášení. SSH klíče obvykle obsahují obrovské množství kombinací, které by útočník musel vyzkoušet. Zvýšený počet bitů znásobuje potenciál různých kombinací potřebných k prolomení šifrování. Projít co nejvíce možných kombinací algoritmu SSH klíče by proto bylo nesmírně časově náročné. Pro škodlivého útočníka se to tedy stává podnikem, který nestojí za jeho čas. Proto je šifrování SSH obvykle považováno za „neprolomitelné“.

Implementace SSH klíčů

K přihlášení k jakémukoli vzdálenému Linux serveru by se měly používat SSH klíče. Na straně lokálního počítače lze vygenerovat klíč a veřejný klíč přenést na server během několika minut. S tímto návodem získáte základní představu o tom, jak používat SSH k připojení ke vzdálenému serveru v Ubuntu.  Můžete také postupovat podle našeho podrobného návodu, jak nakonfigurovat váš Linux server pro použití autentizace založené na SSH klíčích.

Celkově vzato je zakázání přímého přihlášení uživatele root přes SSH běžně využívaným osvědčeným postupem, zatímco se doporučuje přihlašovat se jako neprivilegovaný uživatel a podle potřeby používat nástroj jako sudo k navýšení oprávnění. To je známé jako princip nejnižších privilegií: metoda omezování přístupových oprávnění. Jakmile je přihlášení pod neprivilegovaným účtem ověřeno pomocí SSH, lze přihlášení uživatele root zakázat nastavením direktivy PermitRootLogin no v souboru /etc/ssh/sshd_config na vašem serveru. Poté lze server restartovat pomocí příkazu procesu SSH sudo systemctl restart sshd.

Firewally

Software (nebo hardwarové zařízení), které reguluje vystavení služeb do sítě, je známé jako firewall. Optimálně nakonfigurovaný firewall zajišťuje, že veřejně jsou dostupné pouze povolené služby a že je povolen přístup do a z konkrétního serveru.

Na serveru může ve výchozím nastavení běžet několik služeb, které lze rozdělit do následujících skupin:

• Interní služby: K těmto službám by se mělo přistupovat pouze interně ze samotného serveru. Tím se zabrání vystavení služeb veřejně dostupnému internetu (např. databáze přístupná pouze přes lokální připojení).
• Veřejné služby: Služby, ke kterým může na internetu přistupovat kdokoli, často anonymně. Patří mezi ně webové servery, které návštěvníkům umožňují přístup k vašemu webu.
• Soukromé služby: K těmto službám mohou přistupovat pouze autorizované účty z exkluzivní sady umístění (např. ovládací panel databáze phpMyAdmin).

Zatímco veřejné služby mohou zůstat dostupné pro přístup z internetu, soukromé služby lze omezit na základě přístupových parametrů (jako jsou typy připojení) a interní služby jsou od jakéhokoli přístupu z internetu zcela odříznuty. Přístup k těmto službám, spolu s podrobností, s jakou je povolen, je plně řízen firewallem. Nepoužívané porty jsou běžně konfigurovány tak, aby k nim byl přístup zcela zablokován.

Zvýšení bezpečnosti pomocí firewallu

Firewall je základem ochrany serveru. Slouží k omezení připojení ke službám a ze služeb dříve, než aplikace začne zpracovávat provoz. Pro své služby samozřejmě můžete implementovat další bezpečnostní funkce a omezit je na požadovaná rozhraní.

Správně nakonfigurovaný firewall nebude omezovat pouze ty služby, které se rozhodnete ponechat otevřené. To omezuje prvky zranitelné vůči zneužití, protože dostupný software je mnohem omezenější, a proto je méně pravděpodobné, že dojde k útoku.

Implementace firewallů

Pro systémy Linux je k dispozici mnoho firewallů. Některé z nich jsou poměrně složité. Typické nastavení firewallu by však mělo být provedeno pouze při počátečním nastavení serveru, kdy jsou implementovány změny služeb ze serveru. To by vám mělo zabrat jen několik minut času. Níže jsou uvedeny některé možnosti, které je třeba zvážit pro nastavení a aktivaci firewallu:

• Pro CentOS můžete postupovat podle našeho návodu na nastavení firewallu pomocí FirewallD na CentOS 7.
• Náš návod k Iptables vás provede výpisem a mazáním pravidel firewallu Iptables.

A co je nejdůležitější, bez ohledu na návod se musíte ujistit, že zvolený firewall blokuje neznámý provoz z vašich serverů, aby se zabránilo neúmyslnému vystavení nově dostupných služeb na internetu. Tím, že budete muset přístup výslovně autorizovat, budete nuceni plně vyhodnotit, jak se ke službě přistupuje, jak běží a kdo k ní má povolen přístup.

Sítě Virtual Private Cloud (VPC)

Prostředky vaší infrastruktury musí fungovat v rámci privátní sítě známé jako VPC. Tyto sítě jsou bezpečnější, protože zabraňují přístupu z jiných cloudových sítí VPC. Tím pádem činí síťová rozhraní nepřístupná z veřejného internetu.

Zvýšení bezpečnosti pomocí sítí VPC

Soukromé sítě jsou pro interní komunikaci výhodnější než jejich veřejné síťové protějšky. VPC umožňuje izolaci skupin prostředků do konkrétních soukromých sítí. Vzhledem k tomu, že sítě VPC komunikují pouze prostřednictvím soukromých připojení, je provoz sítě’ chráněn před vystavením veřejnému internetu, kde by tyto informace mohly být zranitelné vůči odposlechu nebo odhalení. Sítě VPC lze také použít k izolaci prováděcích prostředí i nájemců. Internetové brány lze také nastavit jako jediný přístupový bod mezi veřejným internetem a prostředky ve vaší síti VPC.

Kromě toho velká část zabezpečení spočívá v analýze našich systémů a zabezpečení všech komponent podle našich nejlepších schopností. Audit služeb nám umožňuje znát přijatelné protokoly systémů’, běžící služby a porty, které se používají ke komunikaci. Znalost těchto informací může pomoci učinit nejlepší rozhodnutí týkající se konfigurace. Takovými rozhodnutími mohou být nastavení firewallu, monitorování systému a výstrahy a také to, které služby by měly být veřejně přístupné.

Využití auditu ke zvýšení bezpečnosti

Každou službu lze využít pro obsluhu externích klientů nebo pro interní účely. Bez ohledu na záměr jsou všechny tyto služby zranitelnými místy pro zlomyslné uživatele. S rostoucím počtem běžících služeb roste i potenciál zneužití zranitelností.

Jakmile budete mít pevný přehled o tom, jaké služby na stroji běží, můžete začít s jejich analýzou. Při provádění auditu služeb je užitečné položit si následující otázky:

• Měla by tato konkrétní služba aktivně běžet?
• Běží na optimálních síťových rozhraních?
• Je tato služba nejvhodnější pro veřejné, nebo soukromé síťové rozhraní?
• Jsou pravidla firewallu správně nakonfigurována tak, aby povolovala legitimní provoz k této službě?
• Je nelegitimní provoz blokován mými pravidly firewallu?
• Je povolen systém upozornění na bezpečnostní zranitelnosti?

Při přidávání nového serveru do infrastruktury by výše uvedené mělo být standardním postupem v procesu jeho konfigurace. Další výhodou auditů služeb je, že umožní identifikovat jakékoli konfigurace, které se neúmyslně změnily.

Provádění auditů služeb

Chcete-li provést audit běžících služeb, použijte příkaz ss k vypsání všech portů UDP a TCP aktivně používaných na serveru. Zde je příklad použití příkazu ss s názvem programu PID, který kontroluje naslouchající porty TCP a UDP:

Vrátí se něco podobného následujícímu:

Hlavní pozornost byste měli věnovat sloupcům Netid, Local Address:Port a Process:

• Pokud je hodnota Local Address:Port 0.0.0.0, znamená to, že služba aktivně přijímá všechna připojení přes všechna síťová rozhraní IPv4. Pokud je adresa [::], pak všechna připojení IPv6 přijímají provoz.
• Ve výše uvedeném příkladu naslouchají Nginx i SSH na všech veřejných rozhraních v obou síťových zásobnících (IPv4 a IPv6).

Ve výše uvedeném příkladu si můžete vybrat, zda potřebujete povolit SSH a Nginx naslouchat na obou rozhraních, nebo pouze na jednom z nich. Obecně platí, že byste měli zakázat všechny nepoužívané služby, abyste zabránili jejich spuštění. Pokud by například váš web měl být dostupný pouze přes IPv4, pomohlo by vypnout rozhraní IPv6, aby se omezilo vystavení rizikům.

Udržování aktuálnosti pomocí bezobslužných aktualizací

Bezobslužné aktualizace snižují úsilí potřebné k udržení bezpečnosti vašich serverů a pomáhají zkrátit dobu, po kterou zůstávají vystaveny známým chybám. Čím déle vám trvá spuštění aktualizací na serveru, tím déle zůstává vystaven známým zranitelnostem. Bezobslužné aktualizace zajistí, že jakmile budou k dispozici opravné balíčky, mohou být automaticky nainstalovány na server, aby se omezila doba zranitelnosti.

Kromě auditu serveru mohou bezobslužné aktualizace výrazně snížit vystavení útokům. Výrazně také zkrátí čas strávený údržbou serveru.

Jak se aktivují bezobslužné aktualizace

Bezobslužné aktualizace jsou nyní volitelnou funkcí u většiny serverových distribucí. Na Ubuntu může administrátor například spustit následující příkaz:

Další informace o implementaci bezobslužných aktualizací naleznete v části Automatické aktualizace zde. Pro Fedoru naleznete pokyny zde. Vezměte prosím na vědomí, že automatické aktualizace nainstalují pouze software, který byl původně nainstalován prostřednictvím systému správy balíčků vašeho systému. U jakýchkoli doplňkových aplikací, například webových, bude nutné ručně zkontrolovat aktualizace samostatně nebo je individuálně nakonfigurovat pro automatické aktualizace.

Výpisy adresářů

Pokud v adresáři chybí indexový soubor, většina serverů je ve výchozím nastavení nakonfigurována tak, aby zobrazovala výpisy adresářů. Jinými slovy, pokud by byl na vašem webovém serveru vytvořen adresář s názvem „downloads“, kdokoli, kdo tento adresář prochází, uvidí všechny soubory, které se v něm nacházejí. I když to nemusí být vždy bezpečnostní riziko, vystavuje to důvěrné informace očím, které k nim nemají mít přístup. Jako příklad si představte, že váš webový server může obsahovat soubor s přístupovými údaji k domovské stránce vašeho webu a soubor se všemi konfiguracemi pro backend databáze webu. Pokud nejsou výpisy adresářů zakázány, uvidí tyto soubory kdokoli, kdo daný adresář prochází.

Zvýšení bezpečnosti zakázáním výpisů adresářů

Přestože jsou výpisy adresářů užitečné, mohou neúmyslně odhalit soubory. Aby se toto neúmyslné odhalení a s ním spojená rizika zmírnila, měly by být výpisy adresářů na serveru ve výchozím nastavení zakázány. Přestože návštěvníci mohou k souborům stále přistupovat, riziko neúmyslného zobrazení dat je výrazně omezeno.

Zakázání výpisů adresářů

Ve většině případů stačí k zakázání výpisů adresářů přidat do konfigurace webového serveru pouze jeden další řádek.

• Postupujte podle těchto kroků k zakázání těchto výpisů adresářů na Apache Wiki. Ujistěte se, že v konfiguračních blocích Apache Directory je uvedeno Options -Indexes.
• V Nginx jsou výpisy adresářů ve výchozím nastavení zakázány, takže v tomto ohledu není vyžadována žádná další akce.

Časté zálohování

Přestože zálohování není bezpečnostním opatřením, je nezbytné pro ochranu dat a celých systémů v případě napadení systému. Pomáhá také analyzovat, jak k útoku na systém mohlo dojít. Představte si nešťastný scénář, kdy je váš systém napaden ransomwarem (virus nebo malware, který zašifruje soubory ve vašem systému a dešifruje je pouze v případě, že zaplatíte hackerovi peníze). Pokud neexistují žádné zálohy dat, vaší jedinou možností je zaplatit peníze, abyste získali přístup k datům zpět. Pokud jsou data bezpečně zálohována, budete k nim mít stále přístup a budete je moci obnovit, aniž byste museli přistupovat k napadenému systému.

Zvýšení bezpečnosti prostřednictvím častého zálohování

Časté zálohování pomáhá získat zpět informace v důsledku útoku, poškození nebo dokonce neúmyslné ztráty (smazání). Bez ohledu na to, jaký typ negativních událostí vede ke ztrátě dat, riziko se snižuje uchováváním kopií serverových dat.

Kromě útoků ransomwaru může časté zálohování pomoci s měřitelným vyšetřováním dlouhodobých útoků na systém. Pokud svá data bezpečně neukládáte ve formě zálohy, může být určení zdroje útoku a toho, která data byla kompromitována, náročné nebo dokonce nemožné.

Implementace častého zálohování

Při zálohování systémů je prvořadé považovat ověřitelnou obnovu poškozených, kompromitovaných nebo smazaných dat za cíl vašeho úsilí o obnovu. Nejlépe si to představíte tak, že zvážíte, jaké kroky by vyžadovaly nejméně práce, abyste se vrátili do provozu, kdyby váš server zítra zmizel.

Zde je několik dalších bodů, které je třeba zvážit při přemýšlení o plánu obnovy po havárii:

• Pokud pracujete s dynamicky se měnícími daty, vaše zálohy budou pravděpodobně muset být častější. V případě ztráty dat, pokud byla vaše poslední záloha provedena příliš dávno, můžete být nuceni vrátit se k neaktuálním datům.
• Zamyslete se nad samotným procesem obnovy zálohy. Bude pro něj nutné přidat nový server, nebo lze obnovit ten stávající?
• Jaká je nejdelší doba, po kterou může být server mimo provoz?
• Je externí zálohování nezbytným řešením?

Chcete-li se dozvědět více o řešeních Disaster Recovery od CloudSigma, podívejte se na náš blogový příspěvek podrobně popisující proč je naše služba Disaster-Recovery-as-a-Service dokonalým společníkem pro cloud. A zde se můžete dozvědět více o funkcích zabezpečení & kontinuity podnikání CloudSigma. Máme také podrobného průvodce jak snadno nastavit funkci zálohování CloudSigma.

Privátní sítě a VPN

Privátní sítě jsou takové, které jsou přístupné a použitelné pouze pro konkrétní uživatele nebo servery. Zabezpečené připojení mezi vzdálenými zařízeními, které umožňuje, aby připojení fungovalo, jako by bylo v privátní síti, je VPN (virtuální privátní síť). Poskytuje vám možnost zabezpečit připojení v privátní síti a připojit vzdálené servery.

Jak privátní sítě zvyšují bezpečnost?

Pokud existuje možnost volby mezi veřejnými a privátními sítěmi pro interní komunikaci, druhá možnost je vždy preferovanější. Mějte však na paměti, že ostatní uživatelé z datového centra mají stále přístup ke stejné síti. To znamená, že je stále nutné uplatňovat dodatečná bezpečnostní opatření, aby byla zajištěna bezpečná komunikace mezi servery.

Využití VPN je v podstatě způsob, jak vymezit, co mohou zaměstnanci vaší organizace vidět. Korespondence bude zcela bezpečná a soukromá. Konfigurace aplikací by umožnily průchod provozu virtuálního rozhraní přes VPN. Tímto způsobem budou moci být veřejné síti vystaveny pouze ty služby, které jsou určeny pro interakci s klienty přes internet.

Jak obtížné je implementovat VPN?

Využití privátních sítí je pro vaše datové centrum stejně jednoduché jako konfigurace aplikací a firewallu pro použití privátní sítě a povolení VPN během vytváření serveru. Je důležité si uvědomit, že ostatní servery sdílejí stejný síťový prostor jako privátní sítě v rámci celého centra.

Počáteční nastavení VPN je o něco složitější. Přidané zabezpečení, které to přináší, však stojí za to pro většinu případů použití. Konfigurační data a sdílené zabezpečení je třeba nainstalovat a nakonfigurovat na každém serveru v síti. Pro podrobnější informace o tom, jak funguje VPN a přehled nastavení OpenVPN na Ubuntu, postupujte podle tohoto průvodce. Můžete také postupovat podle tohoto návodu, který vás provede kroky k připojení sítě VPN k infrastruktuře CloudSigma.

Šifrování SSL/TLS a infrastruktura veřejných klíčů

Generování, správa a ověřování certifikátů pro identifikaci osob a šifrování komunikace se označuje jako infrastruktura veřejných klíčů (PKI). Různé entity se mohou navzájem autentizovat pomocí SSL nebo TLS certifikátů. Poté je lze také použít k navázání šifrované komunikace.

Jak certifikáty zvyšují bezpečnost

Za účelem šifrování provozu a ověřování identity členů na serveru je nezbytné zřídit certifikační autoritu (CA) a mít možnost vidět všechny certifikáty vaší sítě. To může pomoci zabránit útokům typu „man-in-the-middle“, při nichž hacker napodobí server a přesměruje provoz jinam.

Konfiguraci každého serveru lze nastavit tak, aby důvěřoval centralizované CA. Jakýmkoli následným podpisům certifikátů pak lze implicitně důvěřovat. Pokud je šifrování SSL/TLS podporováno protokoly a aplikacemi, které váš server používá, můžete svůj systém zabezpečit bez režie VPN tunelu. Pro další informace postupujte podle našeho návodu, jak automatizovat obnovu SSL certifikátů LetsEncrypt pro Nginx.

Náročnost implementace

Konfigurace certifikační autority a následné nastavení zbývající infrastruktury PKI může vyžadovat značné počáteční úsilí. Navíc, když je potřeba vytvořit, odvolat nebo podepsat nové certifikáty, bude to vyžadovat další administrativní úsilí.

Protože většina infrastruktur potřebuje růst, je implementace plnohodnotného PKO nejrozumnějším přístupem. Dokud nedosáhnete bodu, kdy se PKI vyplatí i přes dodatečné náklady na správu, může jako adekvátní dočasné opatření posloužit využití VPN k zabezpečení komponent systému.

Detekce průniku do systému a využití auditu souborů

Audit souborů je proces sloužící k porovnání souborů a jejich atributů ve vašem systému v plně zabezpečeném, bezchybném stavu s aktuálním stavem vašeho systému. Jedná se o dobrou metodu pro vyhledání a izolování neoprávněných změn v systému.

Pojem IDS, systém detekce průniku, označuje monitorovací software, který sleduje jakoukoli neoprávněnou aktivitu v systému. Obecně využívá metody auditu souborů k vyhledávání neočekávaných změn v systému.

Zvýšení bezpečnosti pomocí IDS/auditu souborů

Kromě auditu na úrovni služeb je pro zajištění bezpečnosti vašeho systému nezbytné provádět audity na úrovni souborů. To může být prováděno buď automatizovaným procesem IDS, nebo periodicky administrátorem systému.

Audity souborů a IDS jsou jediné skutečné procesy, které zajistí, že v systému nedošlo k žádným neočekávaným změnám. Většina útočníků chce servery, které napadnou, využívat po delší dobu, a aby tak mohli učinit, musí si zachovat schopnost jednat skrytě. Mohou nahradit binární soubory zranitelnými nebo kompromitovanými verzemi. Jakékoli soubory, které byly v systému změněny, budou detekovány auditem souborového systému. To vám dává jistotu, že se velmi rychle dozvíte, zda byla narušena integrita systému.

Úroveň náročnosti implementace

Implementace IDS a auditu souborů může být velmi náročný proces. Na začátku musí být systém nakonfigurován tak, aby definoval cesty, které se mají vyloučit, a určil nestandardní změny, které byly v systému provedeny, za účelem vytvoření výchozího stavu systému.

Každodenní provoz se také stává složitějším, protože postupy budou vyžadovat opětovnou kontrolu systému před spuštěním jakýchkoli aktualizací. Výchozí stav měření systému bude také nutné znovu vytvořit nebo obnovit, aby zachytil změny verzí softwaru jako součást nového výchozího stavu systému. Zprávy o auditu bude také nutné přenést na jiné místo. Je to proto, že musíte zabránit útočníkovi v systému v úpravě auditu, aby zůstal skrytý zahlazením svých stop.

I když to jistě zvyšuje administrativní zátěž vašeho systému, je to jeden z jediných spolehlivých způsobů, jak zajistit, že žádný ze souborů nebyl změněn bez vašeho vědomí. Mezi nejoblíbenější systémy pro detekci průniku a audit souborů patří Aide a Tripwire.

Izolovaná prostředí

Jakákoli metoda, při níž jsou jednotlivé komponenty spouštěny ve vlastním vyhrazeném prostoru, se označuje jako izolované prováděcí prostředí.

To může znamenat, že konkrétní komponenty aplikace budou umístěny na vlastních vyhrazených serverech, nebo že vaše služby mohou být nakonfigurovány pro provoz v prostředích chroot (nebo v kontejnerech). To, jak moc je prostředí izolované, závisí většinou na realitě vaší infrastruktury a požadavcích vaší aplikace.

Zvýšení bezpečnosti pomocí izolovaných prostředí

Izolováním procesů do samostatných prostředí také izolujete to, které procesy by mohly být ovlivněny bezpečnostními chybami. Podobně jako přepážky a komory pomáhají zadržet průnik vody při poškození trupu lodi, když oddělíte jednotlivé části a komponenty systému, pokud útočník získá přístup k jedné z nich, nedostane se do celého propojeného síťového systému.

Náročnost implementace

Složitost izolace vašich aplikací se liší v závislosti na typech kontejnerizace, které se rozhodnete použít. Docker nepovažuje izolaci za bezpečnostní funkci. Pokud jsou však vaše komponenty rozděleny mezi různé kontejnery, izolace se dosáhne mnohem snadněji. Můžete postupovat podle tohoto návodu k instalaci Dockeru na naši infrastrukturu.

Při nastavení prostředí chroot je rovněž poskytována určitá míra izolace. Nejedná se však o zcela neproniknutelnou metodu, protože existují způsoby, jak z takového prostředí uniknout. Vyhrazené stroje pro různé komponenty jsou obvykle nejlepším a nejjednodušším způsobem, jak izolace dosáhnout. Je to však nákladnější kvůli nutnosti dalších strojů.

Závěrečné myšlenky

Poskytnuté strategie jsou jen některé z kroků, které můžete podniknout ke zvýšení zabezpečení svého systému. Stojí za zmínku, že čím déle s implementací bezpečnostních prvků otálíte, tím nižší je jejich účinnost. S ohledem na to je důležité zajistit, aby se na bezpečnost nečekalo. Místo toho by měla být implementována jako jedno z prvních opatření při budování infrastruktury. Jakmile je váš systém dostatečně zabezpečen základní ochranou, můžete začít aktivovat služby a připojovat aplikace s vědomím, že se standardně spouštějí v zabezpečeném prostředí.

Bezpečnost však není statický proces, ale proces dynamický. Je třeba ji udržovat a opakovat. Mělo by se k ní přistupovat s mentalitou neustálé ostražitosti a vytrvalé bdělosti. Vždy se ptejte, jaké bezpečnostní důsledky s sebou nese jakákoli změna systému. Ujistěte se, že provozní prostředí a výchozí konfigurace vždy optimalizují bezpečnost a pracují s dostatečně defenzivním softwarem.

Příjemnou práci s počítačem!