Πώς να δημιουργήσετε ισχυρά μέτρα ασφαλείας για την προστασία των διακομιστών σας

Εισαγωγή

Όταν εργάζεστε σε υποδομή cloud, το κύριο μέλημά σας είναι να διασφαλίσετε ότι οι εφαρμογές σας λειτουργούν πλήρως. Μια σημαντική προσθήκη στη διαδικασία εγκατάστασης και ανάπτυξης είναι η ενσωμάτωση αποτελεσματικών, ενδελεχών και ισχυρών μέτρων ασφαλείας στις εφαρμογές ή τα συστήματά σας προτού αυτά διατεθούν στο κοινό. Αντί να εφαρμόζετε αναδρομικά μέτρα ασφαλείας μετά την ανάπτυξη, είναι σημαντικό να διασφαλίσετε ότι υπάρχει μια ασφαλής βασική διαμόρφωση ενσωματωμένη στην υποδομή σας.

Αυτός ο οδηγός θα σας βοηθήσει σε αυτό το κομμάτι. Θα επισημάνει ορισμένα πρακτικά μέτρα ασφαλείας που μπορούν να εφαρμοστούν κατά την εγκατάσταση και τη διαμόρφωση της υποδομής του διακομιστή σας. Αν και αυτή δεν είναι μια εξαντλητική λίστα πρωτοκόλλων ασφαλείας διακομιστή, αποτελεί ένα χρήσιμο σημείο εκκίνησης. Καθώς εργάζεστε και κατανοείτε καλύτερα τις συγκεκριμένες ανάγκες του περιβάλλοντος και των εφαρμογών σας, μπορείτε να αναπτύξετε πρόσθετα μέτρα ασφαλείας για να ενισχύσετε τη βάση σας.

Κλειδιά SSH (Secure Shell)

Καθώς εργάζεστε με τον διακομιστή σας, το μεγαλύτερο μέρος του χρόνου σας θα αναλωθεί εργαζόμενοι σε μια SSH σύνδεση με τον διακομιστή σας σε μια συνεδρία τερματικού. Τα κλειδιά ασφαλούς κελύφους (SSH) παρέχουν μια ασφαλέστερη μέθοδο σύνδεσης στον διακομιστή σε σχέση με τις συνδέσεις που βασίζονται σε κωδικούς πρόσβασης. Για τον σκοπό της ταυτοποίησης, με τη χρήση κλειδιών SSH, προετοιμάζονται δύο κλειδιά πρόσβασης. Το πρώτο είναι ένα μυστικό (ιδιωτικό) κλειδί, ενώ το άλλο είναι ένα κοινόχρηστο, δημόσιο κλειδί.

Η ταυτοποίηση με κλειδί SSH πρέπει πρώτα να διαμορφωθεί. Αυτό επιτυγχάνεται τοποθετώντας το δημόσιο κλειδί SSH στον κατάλληλο κατάλογο στον διακομιστή. Καθώς ο πελάτης (client) συνδέεται αρχικά με τον διακομιστή, θα σας ζητηθεί απόδειξη κατοχής του ιδιωτικού κλειδιού. Αυτό γίνεται με τη δημιουργία μιας τυχαίας τιμής η οποία στη συνέχεια θα σταλεί στον SSH πελάτη σας. Ο SSH πελάτης, με τη σειρά του, θα χρησιμοποιήσει το ιδιωτικό κλειδί για την κρυπτογράφηση μιας απάντησης. Αυτή η απάντηση θα σταλεί στον διακομιστή. Στη συνέχεια, ο διακομιστής θα αποκρυπτογραφήσει το μήνυμα από τον πελάτη με τη χρήση του δημόσιου κλειδιού σας. Εάν η τυχαία τιμή αποκρυπτογραφηθεί επιτυχώς από τον διακομιστή, αυτό υποδηλώνει ότι ο πελάτης διαθέτει το ιδιωτικό κλειδί. Σε αυτή την περίπτωση, η ταυτοποίηση επιβεβαιώνεται και μπορεί να δημιουργηθεί σύνδεση με τον διακομιστή χωρίς κωδικό πρόσβασης.

Ενίσχυση της ασφάλειας με κλειδιά SSH

Αν και η εξουσιοδότηση με κωδικό πρόσβασης ή οποιαδήποτε ταυτοποίηση με SSH είναι πλήρως κρυπτογραφημένη, η πρόσβαση στον διακομιστή μπορεί να επιχειρηθεί από κακόβουλους χρήστες. Ειδικά εάν έχουν αποκτήσει τη δημόσια διεύθυνση IP του διακομιστή. Δοκιμάζοντας κάθε δυνατό συνδυασμό πλήκτρων, οι σύγχρονοι υπολογιστές επιτρέπουν τις συνδέσεις που βασίζονται σε κωδικό πρόσβασης και αυτό επιχειρείται συχνά από κακόβουλους χρήστες. Εάν κάποιος αυτοματοποιούσε αυτές τις προσπάθειες πρόσβασης, είναι δυνατό, δοκιμάζοντας συστηματικά διαφορετικούς συνδυασμούς, να βρει τελικά τον σωστό κωδικό πρόσβασης.

Αξιοποιώντας την κρυπτογραφημένη ταυτοποίηση SSH, δεν χρειάζεται να ενεργοποιήσετε κωδικούς πρόσβασης για τη σύνδεση. Τα κλειδιά SSH συνήθως περιέχουν έναν τεράστιο αριθμό πιθανών συνδυασμών που θα έπρεπε να δοκιμάσει ένας εισβολέας. Ο αυξημένος αριθμός bit πολλαπλασιάζει τους πιθανούς συνδυασμούς που απαιτούνται για το σπάσιμο της κρυπτογράφησης. Επομένως, η δοκιμή όλων των πιθανών συνδυασμών του αλγορίθμου κλειδιού SSH θα απαιτούσε εξαιρετικά πολύ χρόνο. Έτσι, γίνεται μια προσπάθεια που δεν αξίζει τον χρόνο ενός κακόβουλου εισβολέα. Αυτός είναι ο λόγος για τον οποίο η κρυπτογράφηση SSH θεωρείται συνήθως «απαραβίαστη».

Εφαρμογή κλειδιών SSH

Η σύνδεση σε οποιονδήποτε απομακρυσμένο Linux διακομιστή θα πρέπει να χρησιμοποιεί κλειδιά SSH. Ένα τοπικό μηχάνημα μπορεί να δημιουργήσει τα κλειδιά, με το δημόσιο κλειδί να μεταφέρεται στον διακομιστή μέσα σε λίγα λεπτά. Με αυτόν τον οδηγό, θα πάρετε μια βασική ιδέα για το πώς να χρησιμοποιήσετε το SSH για να συνδεθείτε σε έναν απομακρυσμένο διακομιστή στο Ubuntu.  Μπορείτε επίσης να ακολουθήσετε τον αναλυτικό μας οδηγό για το πώς να διαμορφώσετε τον Linux διακομιστή σας ώστε να χρησιμοποιεί ταυτοποίηση με βάση τα κλειδιά SSH.

Συνολικά, το να μην επιτρέπεται στον χρήστη root να συνδέεται απευθείας μέσω SSH είναι μια κοινώς χρησιμοποιούμενη βέλτιστη πρακτική, ενώ η σύνδεση ως μη προνομιούχος χρήστης και η χρήση ενός εργαλείου όπως το sudo για την κλιμάκωση των προνομίων όταν απαιτείται είναι προτιμότερη. Αυτό είναι γνωστό ως η αρχή του ελάχιστου προνομίου: μια μέθοδος περιορισμού των δικαιωμάτων πρόσβασης. Μόλις επαληθευτεί η σύνδεση ως μη προνομιούχος λογαριασμός με SSH, οι συνδέσεις root μπορούν να απενεργοποιηθούν ορίζοντας την οδηγία PermitRootLogin no στο /etc/ssh/sshd_config στον διακομιστή σας. Στη συνέχεια, ο διακομιστής μπορεί να επανεκκινηθεί με μια εντολή διεργασίας SSH sudo systemctl restart sshd.

Τείχη προστασίας

Ένα λογισμικό (ή συσκευή υλικού) που ρυθμίζει την έκθεση των υπηρεσιών στο δίκτυο είναι γνωστό ως τείχος προστασίας. Ένα τείχος προστασίας, βέλτιστα ρυθμισμένο, διασφαλίζει ότι μόνο οι επιτρεπόμενες υπηρεσίες είναι διαθέσιμες δημόσια και επιτρέπονται εντός και εκτός του συγκεκριμένου διακομιστή.

Αρκετές υπηρεσίες ενδέχεται να εκτελούνται από προεπιλογή σε έναν διακομιστή και αυτές μπορούν να κατηγοριοποιηθούν στις ακόλουθες ομάδες:

• Εσωτερικές υπηρεσίες: Αυτές θα πρέπει να είναι προσβάσιμες μόνο εσωτερικά από τον ίδιο τον διακομιστή. Αυτό αποτρέπει την έκθεση των υπηρεσιών από τη δημόσια προσβασιμότητα στο διαδίκτυο (π.χ. μια βάση δεδομένων προσβάσιμη μόνο μέσω τοπικών συνδέσεων).
• Δημόσιες υπηρεσίες: Υπηρεσίες που μπορούν να προσπελαστούν από οποιονδήποτε, συχνά ανώνυμα, στο διαδίκτυο. Αυτές περιλαμβάνουν διακομιστές ιστού που επιτρέπουν την πρόσβαση στον ιστότοπό σας από επισκέπτες.
• Ιδιωτικές υπηρεσίες: Μόνο εξουσιοδοτημένοι λογαριασμοί από ένα αποκλειστικό σύνολο τοποθεσιών μπορούν να έχουν πρόσβαση σε αυτές τις υπηρεσίες (π.χ. πίνακας ελέγχου βάσης δεδομένων phpMyAdmin).

Ενώ οι δημόσιες υπηρεσίες μπορούν να παραμείνουν διαθέσιμες για πρόσβαση από το διαδίκτυο, οι ιδιωτικές υπηρεσίες μπορούν να περιοριστούν με βάση τις παραμέτρους πρόσβασης (όπως οι τύποι σύνδεσης) και οι εσωτερικές υπηρεσίες απενεργοποιούνται εντελώς από οποιαδήποτε πρόσβαση μέσω διαδικτύου. Η πρόσβαση σε αυτές τις υπηρεσίες, μαζί με τη λεπτομέρεια με την οποία επιτρέπεται, ελέγχονται όλες από το τείχος προστασίας. Οι μη χρησιμοποιούμενες θύρες συνήθως ρυθμίζονται ώστε να αποκλείουν εντελώς την πρόσβαση σε αυτές.

Ενίσχυση της ασφάλειας με τη χρήση τείχους προστασίας

Ένα τείχος προστασίας αποτελεί τη βάση για την προστασία του διακομιστή. Χρησιμεύει στον περιορισμό της σύνδεσης προς και από υπηρεσίες προτού η εφαρμογή διαχειριστεί την κίνηση. Φυσικά, μπορείτε να εφαρμόσετε πρόσθετες λειτουργίες ασφαλείας για τις υπηρεσίες σας και να τις περιορίσετε στις επιθυμητές διεπαφές.

Μόνο οι υπηρεσίες που επιλέγετε να παραμείνουν ανοιχτές δεν θα περιορίζονται από ένα σωστά ρυθμισμένο τείχος προστασίας. Αυτό περιορίζει τα στοιχεία που είναι ευάλωτα σε εκμετάλλευση, καθώς τα διαθέσιμα κομμάτια λογισμικού είναι πολύ πιο περιορισμένα και επομένως λιγότερο πιθανό να δεχτούν επίθεση.

Υλοποίηση τειχών προστασίας

Πολλά τείχη προστασίας είναι διαθέσιμα για συστήματα Linux. Ορισμένα από αυτά είναι αρκετά περίπλοκα. Ωστόσο, η τυπική ρύθμιση ενός τείχους προστασίας θα πρέπει να γίνεται μόνο κατά την αρχική ρύθμιση του διακομιστή, όταν εφαρμόζονται αλλαγές στις υπηρεσίες από τον διακομιστή. Αυτό θα πρέπει να πάρει μόνο λίγα λεπτά από τον χρόνο σας. Ακολουθούν ορισμένες επιλογές που πρέπει να λάβετε υπόψη για τη ρύθμιση και την ενεργοποίηση του τείχους προστασίας:

• Για το CentOS, μπορείτε να ακολουθήσετε τον οδηγό μας Ρύθμισης τείχους προστασίας με το FirewallD στο CentOS 7.
• Ο δικός μας οδηγός Iptables μπορεί να σας καθοδηγήσει στην προβολή και τη διαγραφή κανόνων τείχους προστασίας Iptables.

Το πιο σημαντικό, ανεξάρτητα από τον οδηγό, πρέπει να βεβαιωθείτε ότι το επιλεγμένο τείχος προστασίας αποκλείει την άγνωστη κίνηση από τους διακομιστές σας, προκειμένου να αποτρέψετε την ακούσια έκθεση τυχόν νέων διαθέσιμων υπηρεσιών στο διαδίκτυο. Με την ανάγκη ρητής εξουσιοδότησης της πρόσβασης, θα σας ζητηθεί να αξιολογήσετε πλήρως τον τρόπο πρόσβασης σε μια υπηρεσία, τον τρόπο εκτέλεσής της και από ποιον επιτρέπεται η πρόσβαση σε αυτήν.

Δίκτυα Virtual Private Cloud (VPC)

Οι πόροι της υποδομής σας πρέπει να λειτουργούν μέσα σε ένα ιδιωτικό δίκτυο γνωστό ως VPC. Αυτά τα δίκτυα είναι πιο ασφαλή καθώς αποτρέπουν την πρόσβαση από άλλα δίκτυα VPC που βασίζονται στο cloud. Έτσι, καθιστούν τις διεπαφές του δικτύου απρόσιτες από το δημόσιο διαδίκτυο.

Ενίσχυση της ασφάλειας με δίκτυα VPC

Τα ιδιωτικά δίκτυα είναι προτιμότερα από τα αντίστοιχα δημόσια δίκτυα για την εσωτερική επικοινωνία. Το VPC επιτρέπει την απομόνωση ομάδων πόρων σε συγκεκριμένα ιδιωτικά δίκτυα. Επειδή τα δίκτυα VPC συνδέονται μόνο μέσω ιδιωτικών συνδέσεων, η κίνηση του δικτύου προστατεύεται από την έκθεση στο δημόσιο διαδίκτυο, όπου αυτές οι πληροφορίες θα μπορούσαν να είναι ευάλωτες σε υποκλοπή ή έκθεση. Τα δίκτυα VPC μπορούν επίσης να χρησιμοποιηθούν για την απομόνωση περιβαλλόντων εκτέλεσης, καθώς και χρηστών (tenants). Οι πύλες διαδικτύου (internet gateways) μπορούν επίσης να ρυθμιστούν ως ένα ενιαίο σημείο πρόσβασης μεταξύ του δημόσιου διαδικτύου και των πόρων στο δίκτυο VPC σας.

Επιπλέον, ένα μεγάλο μέρος της ασφάλειας συνεπάγεται την ανάλυση των συστημάτων μας και τη διασφάλιση όλων των στοιχείων στο μέγιστο των δυνατοτήτων μας. Ο έλεγχος υπηρεσιών (service auditing) μας επιτρέπει να γνωρίζουμε τα αποδεκτά πρωτόκολλα των συστημάτων, τις υπηρεσίες που εκτελούνται και ποιες θύρες χρησιμοποιούνται για επικοινωνία. Η γνώση αυτών των πληροφοριών μπορεί να βοηθήσει στη λήψη των καλύτερων αποφάσεων σχετικά με τη διαμόρφωση. Τέτοιες αποφάσεις θα μπορούσαν να είναι οι ρυθμίσεις τείχους προστασίας (firewall), η παρακολούθηση συστήματος και οι ειδοποιήσεις, καθώς και ποιες υπηρεσίες θα πρέπει να είναι προσβάσιμες δημόσια.

Αξιοποίηση του Ελέγχου για την Ενίσχυση της Ασφάλειας

Κάθε υπηρεσία μπορεί να χρησιμοποιηθεί για το χειρισμό εξωτερικών πελατών ή για εσωτερικούς σκοπούς. Ανεξάρτητα από την πρόθεση, αυτές οι υπηρεσίες αποτελούν όλες σημεία ευπάθειας για κακόβουλους χρήστες. Καθώς ο αριθμός των εκτελούμενων υπηρεσιών αυξάνεται, αυξάνεται και η πιθανότητα εκμετάλλευσης των ευπαθειών.

Μπορείτε να ξεκινήσετε την ανάλυση των υπηρεσιών μόλις κατανοήσετε πλήρως ποιες υπηρεσίες εκτελεί ένα μηχάνημα. Κατά την εκτέλεση ενός ελέγχου υπηρεσιών, είναι χρήσιμο να θέσετε τις ακόλουθες ερωτήσεις:

• Θα πρέπει η συγκεκριμένη υπηρεσία να εκτελείται ενεργά;
• Εκτελείται στις βέλτιστες διεπαφές δικτύου;
• Είναι η υπηρεσία καταλληλότερη για μια δημόσια ή ιδιωτική διεπαφή δικτύου;
• Είναι οι κανόνες του τείχους προστασίας (firewall) σωστά διαμορφωμένοι ώστε να επιτρέπουν τη νόμιμη κίνηση προς αυτήν την υπηρεσία;
• Αποκλείεται η παράνομη κίνηση με τους κανόνες του τείχους προστασίας μου;
• Υπάρχει ενεργοποιημένο σύστημα ειδοποίησης για ευπάθειες ασφαλείας;

Κατά την προσθήκη ενός νέου διακομιστή στην υποδομή, τα παραπάνω θα πρέπει να αποτελούν τυπικές πρακτικές στη διαδικασία διαμόρφωσής του. Ένα πρόσθετο όφελος των ελέγχων υπηρεσιών είναι ότι θα επιτρέψουν τον εντοπισμό τυχόν διαμορφώσεων που έχουν αλλάξει ακούσια.

Εκτέλεση Ελέγχων Υπηρεσιών

Για να ελέγξετε τις εκτελούμενες υπηρεσίες, χρησιμοποιήστε την εντολή ss για να εμφανίσετε όλες τις θύρες UDP και TCP που χρησιμοποιούνται ενεργά σε έναν διακομιστή. Ακολουθεί ένα παράδειγμα χρήσης της εντολής ss με όνομα προγράμματος PID, ελέγχοντας για θύρες TCP και UDP που ακούν:

Θα επιστραφεί κάτι παρόμοιο με το ακόλουθο:

Η κύρια προσοχή σας θα πρέπει να εστιαστεί στις στήλες Netid, Local Address:Port και Process:

• Εάν η τιμή Local Address:Port είναι 0.0.0.0, αυτό σημαίνει ότι η υπηρεσία δέχεται ενεργά όλες τις συνδέσεις σε όλες τις διεπαφές δικτύου IPv4. Εάν η διεύθυνση είναι [::], τότε όλες οι συνδέσεις IPv6 δέχονται κίνηση.
• Στο παραπάνω παράδειγμα, τόσο το Nginx όσο και το SSH ακούν σε όλες τις δημόσιες διεπαφές και στα δύο stack δικτύωσης (IPv4 και IPv6).

Με το παραπάνω παράδειγμα, θα μπορούσατε να επιλέξετε εάν πρέπει να επιτρέψετε στα SSH και Nginx να ακούν και στις δύο διεπαφές ή μόνο σε μία από τις δύο. Γενικά, θα θέλατε να απενεργοποιήσετε τυχόν υπηρεσίες που δεν χρησιμοποιούνται για να αποτρέψετε την εκτέλεσή τους. Για παράδειγμα, εάν ο ιστότοπός σας θα πρέπει να είναι προσβάσιμος μόνο μέσω IPv4, θα βοηθούσε να απενεργοποιήσετε τις διεπαφές IPv6 για να περιορίσετε την έκθεση.

Παραμένοντας Ενημερωμένοι με τις Αυτόματες Ενημερώσεις (Unattended Updates)

Οι αυτόματες ενημερώσεις (unattended updates) μειώνουν τον βαθμό προσπάθειας που απαιτείται για να διατηρήσετε τους διακομιστές σας ασφαλείς και βοηθούν στη μείωση του χρόνου που παραμένουν εκτεθειμένοι σε γνωστά σφάλματα. Όσο περισσότερο χρόνο χρειάζεστε για να εκτελέσετε ενημερώσεις στον διακομιστή σας, τόσο περισσότερο παραμένει εκτεθειμένος σε γνωστές ευπάθειες. Οι αυτόματες ενημερώσεις θα διασφαλίσουν ότι μόλις γίνουν διαθέσιμα πακέτα διορθώσεων, αυτά θα μπορούν να εγκατασταθούν αυτόματα στον διακομιστή για να περιοριστεί ο χρόνος της ευπάθειας.

Εκτός από τον έλεγχο του διακομιστή, οι αυτόματες ενημερώσεις μπορούν να μειώσουν σημαντικά την έκθεση σε επιθέσεις. Θα μειώσουν επίσης σημαντικά τον χρόνο που δαπανάται για τη συντήρηση του διακομιστή.

Πώς ενεργοποιούνται οι ενημερώσεις χωρίς επίβλεψη

Οι ενημερώσεις χωρίς επίβλεψη είναι πλέον μια προαιρετική δυνατότητα στις περισσότερες διανομές διακομιστών. Στο Ubuntu, για παράδειγμα, ο διαχειριστής μπορεί να εκτελέσει την ακόλουθη εντολή:

Για πρόσθετες πληροφορίες σχετικά με την εφαρμογή ενημερώσεων χωρίς επίβλεψη, δείτε την ενότητα Αυτόματες Ενημερώσεις εδώ. Για το Fedora, οι οδηγίες μπορούν να βρεθούν εδώ. Λάβετε υπόψη ότι οι αυτόματες ενημερώσεις θα εγκαταστήσουν μόνο το λογισμικό που έχει εγκατασταθεί αρχικά μέσω του συστήματος διαχείρισης πακέτων του συστήματός σας. Τυχόν πρόσθετες εφαρμογές, όπως αυτές που βασίζονται στον ιστό, θα πρέπει να ελέγχονται ξεχωριστά για ενημερώσεις μη αυτόματα ή να ρυθμίζονται μεμονωμένα για αυτόματες ενημερώσεις.

Ευρετήρια καταλόγων

Όταν ένας κατάλογος δεν διαθέτει αρχείο ευρετηρίου, οι περισσότεροι διακομιστές είναι ρυθμισμένοι να εμφανίζουν τα ευρετήρια καταλόγων από προεπιλογή. Με άλλα λόγια, εάν δημιουργήθηκε ένας κατάλογος με το όνομα «downloads» στον διακομιστή ιστού σας, οποιοσδήποτε περιηγείται σε αυτόν τον κατάλογο θα μπορεί να δει όλα τα αρχεία που περιέχονται σε αυτόν. Αν και αυτό δεν αποτελεί πάντα κίνδυνο για την ασφάλεια, καθιστά εμπιστευτικές πληροφορίες ορατές σε μάτια που δεν θα έπρεπε να έχουν πρόσβαση. Ως παράδειγμα, σκεφτείτε ότι ο διακομιστής ιστού σας μπορεί να έχει ένα αρχείο που περιέχει τα διαπιστευτήρια πρόσβασης της αρχικής σελίδας του ιστότοπού σας και ένα αρχείο με όλες τις ρυθμίσεις παραμέτρων για τη βάση δεδομένων του ιστότοπου. Εάν τα ευρετήρια καταλόγων δεν είναι απενεργοποιημένα, αυτά τα αρχεία θα είναι ορατά σε οποιονδήποτε περιηγείται σε αυτόν τον κατάλογο.

Αύξηση της ασφάλειας μέσω της απενεργοποίησης των ευρετηρίων καταλόγων

Παρόλο που τα ευρετήρια καταλόγων είναι χρήσιμα, μπορούν να αφήσουν αρχεία ακούσια εκτεθειμένα. Για να μετριαστεί αυτή η ακούσια έκθεση και τυχόν σχετικοί κίνδυνοι, τα ευρετήρια καταλόγων στον διακομιστή θα πρέπει να είναι απενεργοποιημένα από προεπιλογή. Αν και οι επισκέπτες εξακολουθούν να έχουν πρόσβαση στα αρχεία, η έκθεση σε ακούσια προβολή δεδομένων περιορίζεται σημαντικά.

Απενεργοποίηση ευρετηρίων καταλόγων

Στις περισσότερες περιπτώσεις, η προσθήκη μίας μόνο γραμμής στη διαμόρφωση του διακομιστή ιστού σας είναι επαρκής για την απενεργοποίηση των ευρετηρίων καταλόγων.

• Ακολουθήστε αυτά τα βήματα για να απενεργοποιήσετε αυτές τις λίστες καταλόγων στο Apache Wiki. Βεβαιωθείτε ότι το Options -Indexes αναφέρεται στα μπλοκ ρυθμίσεων Apache Directory.
• Τα ευρετήρια είναι απενεργοποιημένα από προεπιλογή στο Nginx, απαιτώντας καμία περαιτέρω ενέργεια ως προς αυτό.

Συχνά αντίγραφα ασφαλείας

Παρόλο που τα αντίγραφα ασφαλείας δεν αποτελούν μέτρο ασφαλείας, είναι επιβεβλημένα για τη διασφάλιση των δεδομένων και ολόκληρων των συστημάτων σε περίπτωση που το σύστημα παραβιαστεί. Βοηθά επίσης στην ανάλυση του τρόπου με τον οποίο το σύστημα θα μπορούσε να δεχθεί επίθεση. Σκεφτείτε ένα ατυχές σενάριο όπου το σύστημά σας δέχεται επίθεση από ransomware (έναν ιό ή εργαλείο κακόβουλου λογισμικού που κρυπτογραφεί τα αρχεία στο σύστημά σας, αποκρυπτογραφώντας τα μόνο εάν πληρώσετε χρήματα στον χάκερ). Εάν δεν υπάρχουν αντίγραφα ασφαλείας των δεδομένων, η μόνη σας επιλογή είναι να πληρώσετε τα χρήματα για να αποκτήσετε ξανά πρόσβαση στα δεδομένα σας. Εάν τα δεδομένα έχουν δημιουργηθεί με ασφάλεια αντίγραφα ασφαλείας, θα εξακολουθείτε να έχετε πρόσβαση σε αυτά και θα μπορείτε να τα ανακτήσετε χωρίς να χρειάζεται να αποκτήσετε πρόσβαση στο παραβιασμένο σύστημα.

Ενίσχυση της ασφάλειας μέσω συχνών αντιγράφων ασφαλείας

Τα συχνά αντίγραφα ασφαλείας βοηθούν στην ανάκτηση πληροφοριών λόγω επίθεσης, καταστροφής ή ακόμη και ακούσιας απώλειας (διαγραφής). Ανεξάρτητα από το είδος των αρνητικών συμβάντων που οδηγούν σε απώλεια δεδομένων, ο κίνδυνος μειώνεται με τη διατήρηση αντιγράφων των δεδομένων του διακομιστή.

Εκτός από τις επιθέσεις ransomware, τα συχνά αντίγραφα ασφαλείας μπορούν να βοηθήσουν στη μετρήσιμη διερεύνηση μακροχρόνιων επιθέσεων στο σύστημα. Εάν δεν αποθηκεύετε με ασφάλεια τα δεδομένα σας σε μορφή αντιγράφου ασφαλείας εκτός συστήματος, ο προσδιορισμός της πηγής της επίθεσης και των δεδομένων που παραβιάστηκαν μπορεί να είναι δύσκολος ή ακόμη και αδύνατος.

Εφαρμογή συχνών αντιγράφων ασφαλείας

Η αντιμετώπιση της επαληθεύσιμης ανάκτησης κατεστραμμένων, παραβιασμένων ή διαγραμμένων δεδομένων ως στόχου των προσπαθειών ανάκτησης κατά τη δημιουργία αντιγράφων ασφαλείας των συστημάτων σας είναι υψίστης σημασίας. Για να το θέσουμε καλύτερα, σκεφτείτε ποιες ενέργειες θα απαιτούσαν τον λιγότερο όγκο εργασίας για να επανέλθετε σε λειτουργία εάν ο διακομιστής σας εξαφανιζόταν αύριο.

Ακολουθούν ορισμένα άλλα σημεία που πρέπει να λάβετε υπόψη όταν σκέφτεστε ένα σχέδιο αποκατάστασης από καταστροφή:

• Αν εργάζεστε με δυναμικά μεταβαλλόμενα δεδομένα, τα αντίγραφα ασφαλείας σας θα πρέπει πιθανότατα να είναι πιο συχνά. Σε περίπτωση απώλειας δεδομένων, εάν το τελευταίο σας αντίγραφο ασφαλείας έγινε πριν από πολύ καιρό, ενδέχεται να αναγκαστείτε να επιστρέψετε σε παλιά δεδομένα.
• Σκεφτείτε την πραγματική διαδικασία επαναφοράς αντιγράφων ασφαλείας. Θα χρειαστεί να προστεθεί ένας νέος διακομιστής για αυτό ή μπορεί να αποκατασταθεί ο υπάρχων;
• Ποιο είναι το μεγαλύτερο χρονικό διάστημα που μπορείτε να έχετε τον διακομιστή εκτός λειτουργίας;
• Είναι το offsite αντίγραφο ασφαλείας μια απαραίτητη λύση;

Για να μάθετε περισσότερα σχετικά με τις λύσεις Disaster Recovery της CloudSigma, δείτε τη δημοσίευση στο ιστολόγιό μας που περιγράφει λεπτομερώς γιατί το Disaster-Recovery-as-a-Service μας είναι ο τέλειος σύντροφος για το cloud. Και εδώ μπορείτε να μάθετε περισσότερα σχετικά με τα χαρακτηριστικά ασφάλειας & επιχειρηματικής συνέχειας της CloudSigma. Έχουμε επίσης έναν λεπτομερή οδηγό για το πώς να ρυθμίσετε εύκολα τη λειτουργία αντιγράφων ασφαλείας της CloudSigma.

Ιδιωτική Δικτύωση και VPN

Ένα ιδιωτικό δίκτυο είναι αυτό που είναι διαθέσιμο για πρόσβαση και χρήση μόνο σε συγκεκριμένους χρήστες ή διακομιστές. Μια ασφαλής σύνδεση μεταξύ απομακρυσμένων συσκευών που επιτρέπει στη σύνδεση να λειτουργεί σαν να βρίσκεται σε ιδιωτικό δίκτυο είναι ένα VPN (ένα εικονικό ιδιωτικό δίκτυο). Σας παρέχει τη δυνατότητα να ασφαλίζετε συνδέσεις σε ένα ιδιωτικό δίκτυο και να συνδέετε απομακρυσμένους διακομιστές.

Πώς τα Ιδιωτικά Δίκτυα Ενισχύουν την Ασφάλεια;

Όταν υπάρχει επιλογή χρήσης δημόσιων έναντι ιδιωτικών δικτύων για εσωτερική επικοινωνία, η δεύτερη επιλογή είναι πάντα η προτιμότερη. Λάβετε υπόψη, ωστόσο, ότι άλλοι χρήστες μέσα από το κέντρο δεδομένων εξακολουθούν να έχουν πρόσβαση στο ίδιο δίκτυο. Αυτό σημαίνει ότι πρέπει να εφαρμοστούν πρόσθετα μέτρα ασφαλείας για να διασφαλιστεί ότι η επικοινωνία μεταξύ των διακομιστών είναι ασφαλής.

Ουσιαστικά, η χρήση ενός VPN είναι μια προσέγγιση για τον καθορισμό του τι μπορούν να δουν οι εργαζόμενοι του οργανισμού σας. Η αλληλογραφία θα είναι απόλυτα ασφαλής και ιδιωτική. Οι ρυθμίσεις των εφαρμογών θα επέτρεπαν τη διέλευση της κίνησης της εικονικής διεπαφής μέσω του VPN. Με αυτόν τον τρόπο, μόνο οι υπηρεσίες που προορίζονται για αλληλεπίδραση με πελάτες μέσω του διαδικτύου θα επιτρέπεται να εκτίθενται σε ένα δημόσιο δίκτυο.

Πόσο Δύσκολη Είναι η Υλοποίηση ενός VPN;

Η αξιοποίηση των ιδιωτικών δικτύων είναι τόσο απλή για το κέντρο δεδομένων σας όσο η διαμόρφωση των εφαρμογών και του τείχους προστασίας σας για τη χρήση ενός ιδιωτικού δικτύου και η ενεργοποίηση του VPN κατά τη δημιουργία του διακομιστή σας. Είναι σημαντικό να θυμάστε ότι άλλοι διακομιστές μοιράζονται τον ίδιο χώρο δικτύου με τα ιδιωτικά δίκτυα σε όλο το κέντρο.

Η αρχική ρύθμιση ενός VPN είναι ελαφρώς πιο περίπλοκη. Ωστόσο, η πρόσθετη ασφάλεια που προσφέρει αξίζει τον κόπο για την πλειονότητα των περιπτώσεων χρήσης. Τα δεδομένα διαμόρφωσης και η κοινόχρηστη ασφάλεια πρέπει να εγκατασταθούν και να ρυθμιστούν σε κάθε διακομιστή στο δίκτυο. Για πιο λεπτομερείς πληροφορίες σχετικά με το πώς λειτουργεί ένα VPN και μια επισκόπηση της εγκατάστασης του OpenVPN σε Ubuntu, ακολουθήστε αυτόν τον οδηγό. Μπορείτε επίσης να ακολουθήσετε αυτό το σεμινάριο που σας καθοδηγεί στα βήματα για τη σύνδεση ενός δικτύου VPN στην υποδομή της CloudSigma.

Κρυπτογράφηση SSL/TLS και Υποδομή Δημόσιου Κλειδιού

Η δημιουργία, η διαχείριση και η επικύρωση πιστοποιητικών για την ταυτοποίηση ατόμων και την κρυπτογράφηση επικοινωνιών αναφέρονται ως Υποδομή Δημόσιου Κλειδιού (PKI). Διαφορετικές οντότητες μπορούν να πιστοποιηθούν μεταξύ τους με τη χρήση πιστοποιητικών SSL ή TLS πιστοποιητικών. Μετά από αυτό, μπορούν επίσης να χρησιμοποιηθούν για τη δημιουργία κρυπτογραφημένης επικοινωνίας.

Πώς τα Πιστοποιητικά Ενισχύουν την Ασφάλεια

Προκειμένου να κρυπτογραφηθεί η κίνηση και να επικυρωθούν οι ταυτότητες των μελών σε έναν διακομιστή, είναι ζωτικής σημασίας να δημιουργηθεί μια αρχή πιστοποίησης (CA) και να μπορείτε να βλέπετε όλα τα πιστοποιητικά του δικτύου σας. Αυτό μπορεί να βοηθήσει στην αποτροπή επιθέσεων «man-in-the-middle», στις οποίες ο διακομιστής μιμείται από έναν χάκερ και η κίνηση ανακατευθύνεται αλλού.

Η διαμόρφωση κάθε διακομιστή μπορεί να ρυθμιστεί ώστε να εμπιστεύεται μια κεντρική CA. Οποιεσδήποτε επόμενες υπογραφές πιστοποιητικών μπορούν στη συνέχεια να γίνουν τυφλά αποδεκτές. Εάν η κρυπτογράφηση SSL/TLS υποστηρίζεται από τα πρωτόκολλα και τις εφαρμογές που χρησιμοποιεί ο διακομιστής σας, μπορείτε να ασφαλίσετε το σύστημά σας χωρίς την επιβάρυνση της σήραγγας VPN. Για περισσότερες πληροφορίες, ακολουθήστε το σεμινάριό μας σχετικά με τον τρόπο αυτοματοποίησης των ανανεώσεων πιστοποιητικών SSL LetsEncrypt για το Nginx.

Δυσκολία Υλοποίησης

Μπορεί να απαιτηθεί μεγάλη αρχική προσπάθεια για τη διαμόρφωση μιας αρχής έκδοσης πιστοποιητικών και, στη συνέχεια, για τη δημιουργία της υπόλοιπης υποδομής PKI. Επίσης, όταν πρέπει να δημιουργηθούν, να ανακληθούν ή να υπογραφούν νέα πιστοποιητικά, θα απαιτηθεί πρόσθετη προσπάθεια διαχείρισης.

Επειδή οι περισσότερες υποδομές πρέπει να αναπτυχθούν, η εφαρμογή ενός πλήρους PKO είναι η πιο λογική προσέγγιση. Μέχρι να φτάσετε σε ένα σημείο όπου το PKI αξίζει το επιπλέον κόστος διαχείρισης, η χρήση ενός VPN για την ασφάλεια των στοιχείων του συστήματος μπορεί να χρησιμεύσει ως ένα επαρκές προσωρινό μέτρο.

Ανίχνευση εισβολής συστήματος και χρήση ελέγχου αρχείων

Ο έλεγχος αρχείων είναι μια διαδικασία που χρησιμοποιείται για τη σύγκριση των αρχείων και των χαρακτηριστικών του συστήματός σας σε μια πλήρως ασφαλή, καλή κατάσταση με εκείνα του συστήματός σας επί του παρόντος. Αυτή είναι μια καλή μέθοδος για την εύρεση και την απομόνωση μη εξουσιοδοτημένων αλλαγών στο σύστημα.

Ένα IDS, σύστημα ανίχνευσης εισβολών, αναφέρεται σε λογισμικό παρακολούθησης που ελέγχει τυχόν μη εξουσιοδοτημένη δραστηριότητα στο σύστημα. Γενικά, χρησιμοποιεί μεθόδους ελέγχου αρχείων για να αναζητήσει τυχόν απροσδόκητες αλλαγές στο σύστημα.

Ενίσχυση της ασφάλειας μέσω IDS/Ελέγχου αρχείων

Πέρα από τον έλεγχο σε επίπεδο υπηρεσιών, η εκτέλεση ελέγχων σε επίπεδο αρχείων είναι απαραίτητη για τη διασφάλιση της ασφάλειας του συστήματός σας. Αυτό μπορεί να γίνει είτε μέσω μιας αυτοματοποιημένης διαδικασίας IDS είτε περιοδικά από τον διαχειριστή του συστήματος.

Οι έλεγχοι αρχείων και το IDS είναι οι μόνες πραγματικές διαδικασίες για να βεβαιωθείτε ότι το σύστημα δεν υπέστη απροσδόκητες τροποποιήσεις. Οι περισσότεροι εισβολείς θέλουν να εκμεταλλεύονται τους διακομιστές στους οποίους εισβάλλουν για μεγάλα χρονικά διαστήματα και, για να το κάνουν αυτό, πρέπει να διατηρήσουν την ικανότητα να δρουν κρυφά. Θα μπορούσαν να αντικαταστήσουν εκτελέσιμα αρχεία με ευάλωτες ή παραβιασμένες εκδόσεις. Οποιεσδήποτε αλλαγές σε αρχεία του συστήματος θα ανιχνευθούν από έναν έλεγχο του συστήματος αρχείων. Αυτό σας προσφέρει τη σιγουριά να γνωρίζετε πολύ γρήγορα εάν η ακεραιότητα του συστήματος έχει παραβιαστεί.

Επίπεδο δυσκολίας υλοποίησης

Η υλοποίηση του IDS και του ελέγχου αρχείων μπορεί να είναι μια πολύ απαιτητική διαδικασία. Στην αρχή, το σύστημα πρέπει να διαμορφωθεί ώστε να ορίζει διαδρομές προς εξαίρεση και να καταγράφει μη τυπικές αλλαγές που έχουν γίνει στο σύστημα, προκειμένου να δημιουργηθεί μια μέτρηση αναφοράς του συστήματος.

Οι καθημερινές λειτουργίες γίνονται επίσης πιο περίπλοκες, καθώς οι διαδικασίες θα πρέπει να επανελέγχουν το σύστημα πριν από την εκτέλεση οποιασδήποτε ενημέρωσης. Η βάση αναφοράς των μετρήσεων του συστήματος θα πρέπει επίσης να αναδημιουργηθεί ή να επαναπροσδιοριστεί για να συμπεριλάβει τις αλλαγές στις εκδόσεις λογισμικού ως μέρος της νέας βάσης αναφοράς του συστήματος. Οι αναφορές ελέγχου θα πρέπει επίσης να μεταφερθούν σε μια εναλλακτική τοποθεσία. Αυτό συμβαίνει επειδή πρέπει να αποτρέψετε έναν εισβολέα του συστήματος από το να τροποποιήσει τον έλεγχο για να παραμείνει κρυμμένος, καλύπτοντας τα ίχνη του.

Αν και αυτό σίγουρα αυξάνει τον διοικητικό φόρτο του συστήματός σας, είναι ένας από τους ελάχιστους σίγουρους τρόπους για να διασφαλίσετε ότι κανένα από τα αρχεία δεν έχει τροποποιηθεί εν αγνοία σας. Μερικά από τα πιο δημοφιλή συστήματα ανίχνευσης εισβολών και ελέγχου αρχείων είναι τα Aide και Tripwire.

Απομονωμένα περιβάλλοντα

Οποιαδήποτε μέθοδος κατά την οποία μεμονωμένα στοιχεία εκτελούνται στον δικό τους αποκλειστικό χώρο αναφέρεται ως απομονωμένα περιβάλλοντα εκτέλεσης.

Αυτό θα μπορούσε να σημαίνει ότι συγκεκριμένα στοιχεία της εφαρμογής θα φιλοξενούνται στους δικούς τους αποκλειστικούς διακομιστές ή ότι οι υπηρεσίες σας ενδέχεται να έχουν διαμορφωθεί ώστε να λειτουργούν σε περιβάλλοντα chroot (ή containers). Το πόσο απομονωμένο είναι το περιβάλλον εξαρτάται κυρίως από την πραγματικότητα της υποδομής σας και τις απαιτήσεις της εφαρμογής σας.

Ενίσχυση της ασφάλειας με απομονωμένα περιβάλλοντα

Απομονώνοντας τις διεργασίες σας σε μεμονωμένα περιβάλλοντα, απομονώνετε επίσης ποιες διεργασίες θα μπορούσαν να επηρεαστούν από κενά ασφαλείας. Όπως ακριβώς τα στεγανά διαμερίσματα βοηθούν στον περιορισμό των ρηγμάτων στο κύτος των πλοίων, όταν διαχωρίζετε τα επιμέρους τμήματα και στοιχεία του συστήματός σας, εάν ένας εισβολέας αποκτήσει πρόσβαση σε ένα από αυτά, δεν θα μπορεί να έχει πρόσβαση σε ολόκληρο το διασυνδεδεμένο σύστημα δικτύου.

Δυσκολία υλοποίησης

Η πολυπλοκότητα της απομόνωσης των εφαρμογών σας ποικίλλει ανάλογα με τους τύπους περιορισμού που αποφασίσατε να χρησιμοποιήσετε. Το Docker δεν θεωρεί την απομόνωση ως χαρακτηριστικό ασφαλείας. Ωστόσο, όταν τα στοιχεία σας είναι χωρισμένα σε διαφορετικά κοντέινερ, η απομόνωση επιτυγχάνεται πολύ πιο εύκολα. Μπορείτε να ακολουθήσετε αυτόν τον οδηγό για να εγκαταστήσετε το Docker στην υποδομή μας.

Όταν ρυθμίζονται περιβάλλοντα chroot, παρέχεται επίσης κάποιος βαθμός απομόνωσης. Ωστόσο, αυτή δεν είναι μια εντελώς αδιαπέραστη μέθοδος, καθώς υπάρχουν τρόποι διαφυγής από ένα τέτοιο περιβάλλον. Τα αποκλειστικά μηχανήματα για διάφορα στοιχεία είναι συνήθως ο καλύτερος και απλούστερος τρόπος επίτευξης απομόνωσης. Ωστόσο, είναι πιο δαπανηρό λόγω της ανάγκης για πρόσθετα μηχανήματα.

Τελικές Σκέψεις

Οι παρεχόμενες στρατηγικές είναι μόνο μερικά από τα βήματα που μπορείτε να λάβετε για να αυξήσετε την ασφάλεια του συστήματός σας. Είν’ άξιο να σημειωθεί ότι όσο περισσότερο περιμένετε για να εφαρμόσετε τα χαρακτηριστικά ασφαλείας, τόσο χαμηλότερη γίνεται η αποτελεσματικότητά τους. Έχοντας αυτό υπόψη, είναι σημαντικό να διασφαλίσετε ότι η ασφάλεια δεν είναι κάτι που πρέπει να περιμένει. Αντίθετα, θα πρέπει να εφαρμοστεί ως μία από τις πρώτες προβλέψεις κατά τη δημιουργία της υποδομής. Μόλις το σύστημά σας είναι επαρκώς ασφαλές με βασικές προστασίες, μπορείτε να ξεκινήσετε την ενεργοποίηση υπηρεσιών και την προσθήκη εφαρμογών, γνωρίζοντας παράλληλα ότι εκτελούνται από προεπιλογή σε ένα ασφαλές περιβάλλον.

Η ασφάλεια δεν είναι μια στάσιμη διαδικασία, ωστόσο, αλλά μια ρευστή. Πρέπει να συντηρείται και να επαναλαμβάνεται. Θα πρέπει να προσεγγίζεται με μια νοοτροπία συνεχούς επίγνωσης και επίμονης επαγρύπνησης. Πάντα να αναρωτιέστε ποιες είναι οι επιπτώσεις στην ασφάλεια που εμπλέκονται σε οποιαδήποτε αλλαγή συστήματος.  Βεβαιωθείτε ότι τα περιβάλλοντα λειτουργίας και οι προεπιλεγμένες ρυθμίσεις παραμέτρων βελτιστοποιούν πάντα την ασφάλεια και λειτουργούν με επαρκώς αμυντικό λογισμικό.

Καλή συνέχεια!