Ako vybudovať robustné bezpečnostné opatrenia na ochranu vašich serverov

Úvod

Pri práci na cloudovej infraštruktúre je vašou prvoradou starosťou zabezpečiť, aby boli vaše aplikácie plne funkčné. Jednou z dôležitých súčastí procesu nastavenia a nasadenia je zabudovanie efektívnych, dôkladných a robustných bezpečnostných opatrení do vašich aplikácií alebo systémov predtým, ako budú ponúknuté verejnosti. Namiesto dodatočného implementovania bezpečnostných opatrení po nasadení je dôležité zabezpečiť, aby bola vo vašej infraštruktúre zabudovaná bezpečná základná konfigurácia.

Tento návod vám v tomto smere pomôže. Poukáže na určité praktické bezpečnostné opatrenia, ktoré možno implementovať počas nastavovania a konfigurácie infraštruktúry vášho servera. Hoci nejde o vyčerpávajúci zoznam bezpečnostných protokolov servera, je to užitočný východiskový bod. Keď budete pracovať so špecifickými potrebami vášho prostredia a aplikácií a lepšie im porozumiete, môžete vyvinúť ďalšie bezpečnostné opatrenia, ktoré vám pomôžu stavať na vašom základe.

Kľúče SSH (Secure Shell)

Počas práce so serverom strávite veľkú väčšinu času prácou v SSH pripojení k vášmu serveru v relácii terminálu. Kľúče SSH (Security Shell) poskytujú bezpečnejší spôsob prihlásenia na server ako prihlásenia, ktoré sa spoliehajú na heslá. Na účely autentifikácie sa pomocou kľúčov SSH pripravujú dva prístupové kľúče. Prvým je tajný (súkromný) kľúč, zatiaľ čo druhým je zdieľateľný, verejný kľúč.

Autentifikáciu pomocou kľúča SSH je potrebné najprv nakonfigurovať. To sa dosiahne umiestnením verejného kľúča SSH do správneho adresára na serveri. Keď sa váš klient prvýkrát pripojí k serveru, budete požiadaní o dôkaz o vlastníctve súkromného kľúča. To sa vykoná vygenerovaním náhodnej hodnoty, ktorá sa potom odošle vášmu SSH klientovi. SSH klient následne použije súkromný kľúč na zašifrovanie odpovede. Táto odpoveď bude odoslaná na server. Potom server dešifruje správu od klienta pomocou vášho verejného kľúča. Ak server náhodnú hodnotu dešifruje, znamená to, že klient má súkromný kľúč. V takom prípade je autentifikácia potvrdená a môže sa nadviazať pripojenie k serveru bez hesla.

Zvýšenie bezpečnosti pomocou kľúčov SSH

Hoci je autorizácia hesla alebo akákoľvek autentifikácia pomocou SSH úplne zašifrovaná, o prístup k serveru sa môžu pokúsiť škodliví používatelia. Najmä ak získali verejnú IP adresu servera. Skúšaním každej možnej kombinácie klávesov moderné počítače umožňujú prihlásenie na základe hesla a škodliví používatelia sa o to často pokúšajú. Ak by niekto tieto pokusy o prístup zautomatizoval, je možné systematickým skúšaním rôznych kombinácií nakoniec získať správne heslo.

Vďaka využitiu šifrovanej autentifikácie SSH nie je potrebné povoľovať heslá na prihlásenie. Kľúče SSH zvyčajne obsahujú obrovské množstvo možných kombinácií, ktoré by útočník musel vyskúšať. Zvýšený počet bitov znásobuje potenciál rôznych kombinácií potrebných na prelomenie šifrovania. Prejsť všetky možné kombinácie algoritmu kľúča SSH by preto bolo nesmierne časovo náročné. Pre škodlivého útočníka sa to teda stáva aktivitou, ktorá nestojí za jeho čas. To je dôvod, prečo sa šifrovanie SSH zvyčajne považuje za „neprelomiteľné“.

Implementácia kľúčov SSH

Na prihlásenie k akémukoľvek vzdialenému Linux serveru by sa mali používať kľúče SSH. Kľúč je možné vygenerovať na strane lokálneho počítača a verejný kľúč preniesť na server v priebehu niekoľkých minút. S týmto návodom získate základnú predstavu o tom, ako používať SSH na pripojenie k vzdialenému serveru v Ubuntu. Môžete tiež postupovať podľa nášho podrobného návodu, ako nakonfigurovať váš Linux server na používanie autentifikácie založenej na kľúčoch SSH.

Celkovo je nepovolenie priameho prihlásenia používateľa root cez SSH bežne využívaným osvedčeným postupom, zatiaľ čo sa prihlasuje ako neprivilegovaný používateľ a na eskaláciu privilégií sa podľa potreby používa nástroj ako sudo. Toto je známe ako princíp najnižších privilégií: metóda obmedzenia prístupových oprávnení. Po overení prihlásenia ako neprivilegovaného účtu pomocou SSH je možné prihlásenie root zakázať nastavením direktívy PermitRootLogin no v súbore /etc/ssh/sshd_config na vašom serveri. Potom je možné server reštartovať pomocou príkazu procesu SSH sudo systemctl restart sshd.

Firewally

Softvér (alebo hardvérové zariadenie), ktorý reguluje vystavenie služieb sieti, je známy ako firewall. Optimálne nakonfigurovaný firewall zaisťuje, že verejne sú dostupné iba povolené služby a že majú povolený prístup do a z konkrétneho servera.

Na serveri môže predvolene bežať niekoľko služieb, ktoré možno rozdeliť do nasledujúcich skupín:

• Interné služby: K týmto službám by sa malo pristupovať iba interne zo samotného servera. Tým sa zabráni vystaveniu služieb z verejne prístupného internetu (napr. databáza dostupná iba prostredníctvom lokálnych pripojení).
• Verejné služby: Služby, ku ktorým má prístup ktokoľvek, často anonymne, na internete. Patria sem webové servery, ktoré umožňujú návštevníkom prístup k vašej stránke.
• Súkromné služby: K týmto službám môžu pristupovať iba autorizované účty z exkluzívnej sady umiestnení (napr. ovládací panel databázy phpMyAdmin).

Zatiaľ čo verejné služby môžu zostať dostupné pre prístup z internetu, súkromné služby môžu byť obmedzené na základe prístupových parametrov (ako sú typy pripojenia) a interné služby sú úplne odpojené od akéhokoľvek prístupu z internetu. Prístup k týmto službám, spolu s podrobnosťou, s akou je povolený, je riadený firewallom. Nepoužívané porty sú bežne nakonfigurované tak, aby úplne blokovali prístup k nim.

Zvýšenie bezpečnosti pomocou firewallu

Firewall je základom ochrany servera. Slúži na obmedzenie pripojenia k službám a zo služieb predtým, ako aplikácia spracuje prevádzku. Samozrejme môžete pre svoje služby implementovať ďalšie bezpečnostné funkcie a obmedziť ich na požadované rozhrania.

Iba služby, ktoré sa rozhodnete ponechať otvorené, nebudú obmedzené správne nakonfigurovaným firewallom. To obmedzuje prvky zraniteľné voči zneužitiu, keďže dostupné softvérové časti sú oveľa obmedzenejšie, a preto je menej pravdepodobné, že budú čeliť útoku.

Implementácia firewallov

Pre systémy Linux je k dispozícii mnoho firewallov. Niektoré z nich sú pomerne zložité. Typické nastavenie firewallu by sa však malo vykonať iba v čase počiatočného nastavenia servera, keď sa implementujú zmeny v službách zo servera. To by malo zabrať len niekoľko minút vášho času. Nasleduje niekoľko možností, ktoré treba zvážiť pri nastavení a aktivácii firewallu:

• Pre CentOS môžete postupovať podľa nášho návodu na nastavenie firewallu pomocou FirewallD na CentOS 7.
• Náš návod na Iptables vás môže previesť výpisom a vymazaním pravidiel firewallu Iptables.

Čo je najdôležitejšie, bez ohľadu na návod, musíte zabezpečiť, aby vybraný firewall blokoval neznámu prevádzku z vašich serverov, aby sa zabránilo neúmyselnému vystaveniu akýchkoľvek novo dostupných služieb na internete. Tým, že budete musieť explicitne autorizovať prístup, budete vyzvaní, aby ste plne vyhodnotili, ako sa k službe pristupuje, ako beží a kto k nej má povolený prístup.

Siete Virtual Private Cloud (VPC)

Prostriedky vašej infraštruktúry musia fungovať v rámci privátnej sieti známej ako VPC. Tieto siete sú bezpečnejšie, pretože zabraňujú prístupu z iných cloudových sietí VPC. Vďaka tomu robia rozhrania siete neprístupnými z verejného internetu.

Zvýšenie bezpečnosti pomocou sietí VPC

Súkromné siete sú pre internú komunikáciu vhodnejšie ako ich verejné sieťové protipóly. VPC umožňuje izoláciu skupín prostriedkov do konkrétnych súkromných sietí. Keďže siete VPC komunikujú iba prostredníctvom súkromných pripojení, sieťová prevádzka je chránená pred vystavením verejnému internetu, kde by tieto informácie mohli byť zraniteľné voči zachyteniu alebo odhaleniu. Siete VPC sa dajú použiť aj na izoláciu prostredí na spúšťanie, ako aj nájomcov. Internetové brány môžu byť tiež nastavené ako jediný bod prístupu medzi verejným internetom a prostriedkami vo vašej sieti VPC.

Okrem toho veľká časť bezpečnosti spočíva v analýze našich systémov a zabezpečení všetkých komponentov podľa našich najlepších schopností. Audit služieb nám umožňuje poznať prijateľné protokoly systémov, spustené služby a porty, ktoré sa využívajú na komunikáciu. Znalosť týchto informácií môže pomôcť pri prijímaní najlepších rozhodnutí týkajúcich sa konfigurácie. Takýmto rozhodnutiami môžu byť nastavenia brány firewall, monitorovanie systému a výstrahy, a to, ktoré služby by mali byť prístupné verejne.

Využitie auditu na zvýšenie bezpečnosti

Každá služba môže byť využitá na obsluhu externých klientov alebo na interné účely. Bez ohľadu na zámer sú všetky tieto služby miestami zraniteľnosti pre útočníkov. S rastúcim počtom spustených služieb rastie aj potenciál zneužitia zraniteľností.

Analýzu služieb môžete začať hneď, ako budete mať jasný prehľad o tom, aké služby na stroji bežia. Pri vykonávaní auditu služieb je užitočné položiť si nasledujúce otázky:

• Mala by daná služba aktívne bežať?
• Beží na optimálnych sieťových rozhraniach?
• Je táto služba najvhodnejšia pre verejné alebo súkromné sieťové rozhranie?
• Sú pravidlá brány firewall správne nakonfigurované tak, aby umožňovali oprávnenú prevádzku k tejto službe?
• Je neoprávnená prevádzka blokovaná mojimi pravidlami brány firewall?
• Je povolený systém upozornení na bezpečnostné zraniteľnosti?

Pri pridávaní nového servera do infraštruktúry by mali byť vyššie uvedené kroky štandardným postupom v procese jeho konfigurácie. Ďalšou výhodou auditov služieb je, že umožnia identifikovať akékoľvek konfigurácie, ktoré sa neúmyselne zmenili.

Vykonávanie auditov služieb

Na audit spustených služieb použite príkaz ss na zobrazenie zoznamu všetkých UDP a TCP portov aktívne používaných na serveri. Tu je príklad použitia príkazu ss s názvom programu PID, ktorý kontroluje počúvajúce porty TCP a UDP:

Vráti sa niečo podobné tomuto:

Mali by ste sa zamerať hlavne na stĺpce Netid, Local Address:Port a Process:

• Ak je hodnota Local Address:Port 0.0.0.0, znamená to, že služba aktívne prijíma všetky pripojenia cez všetky sieťové rozhrania IPv4. Ak je adresa [::], potom všetky pripojenia IPv6 prijímajú prevádzku.
• Vo vyššie uvedenom príklade Nginx aj SSH počúvajú na všetkých verejných rozhraniach v oboch sieťových zásobníkoch (IPv4 a IPv6).

Vo vyššie uvedenom príklade by ste si mohli vybrať, či potrebujete povoliť SSH a Nginx počúvať na oboch rozhraniach, alebo len na jednom z nich. Vo všeobecnosti by ste mali zakázať všetky nepoužívané služby, aby ste zabránili ich spusteniu. Ak by napríklad vaša stránka mala byť dostupná iba cez IPv4, pomohlo by vypnúť rozhrania IPv6, aby sa obmedzilo vystavenie rizikám.

Udržiavanie aktuálnosti pomocou bezobslužných aktualizácií

Bezobslužné aktualizácie znižujú úsilie potrebné na udržanie bezpečnosti vašich serverov a pomáhajú skrátiť čas, počas ktorého zostávajú vystavené známym chybám. Čím dlhšie vám trvá spustiť aktualizácie na vašom serveri, tým dlhšie zostáva vystavený známym zraniteľnostiam. Bezobslužné aktualizácie zabezpečia, že hneď ako budú k dispozícii opravné balíky, môžu sa automaticky nainštalovať na server, aby sa obmedzil čas zraniteľnosti.

Okrem auditu servera môžu bezobslužné aktualizácie výrazne znížiť vystavenie útokom. Výrazne tiež skrátia čas strávený údržbou servera.

Ako sa aktivujú bezobslužné aktualizácie

Bezobslužné aktualizácie sú teraz voliteľnou funkciou vo väčšine distribúcií serverov. Na Ubuntu môže napríklad administrátor spustiť nasledujúci príkaz:

Ďalšie informácie o implementácii bezobslužných aktualizácií nájdete v sekcii Automatické aktualizácie tu. Pre Fedoru nájdete pokyny tu. Upozorňujeme, že automatické aktualizácie nainštalujú iba softvér, ktorý bol pôvodne nainštalovaný prostredníctvom systému správy balíkov vášho systému. Všetky doplnkové aplikácie, napríklad webové, bude potrebné skontrolovať na aktualizácie manuálne alebo ich individuálne nakonfigurovať na automatické aktualizácie.

Indexy adresárov

Ak v adresári chýba indexový súbor, väčšina serverov je predvolene nakonfigurovaná tak, aby zobrazovala indexy adresárov. Inými slovami, ak by bol na vašom webovom serveri vytvorený adresár s názvom 'downloads', ktokoľvek, kto si tento adresár prehliada, bude môcť vidieť všetky súbory v ňom. Hoci to nie je vždy bezpečnostné riziko, vystavuje to dôverné informácie očiam, ktoré k nim nemajú mať prístup. Ako príklad si predstavte, že váš webový server môže mať súbor, ktorý obsahuje prístupové údaje k domovskej stránke vášho webu, a súbor so všetkými konfiguráciami backendu databázy webu. Ak indexy adresárov nie sú zakázané, tieto súbory uvidí každý, kto si daný adresár prehliada.

Zvýšenie bezpečnosti zakázaním indexov adresárov

Aj keď sú indexy adresárov užitočné, môžu neúmyselne odhaliť súbory. Na zmiernenie takéhoto neúmyselného odhalenia a akýchkoľvek súvisiacich rizík by mali byť indexy adresárov na serveri predvolene zakázané. Hoci návštevníci môžu k súborom stále pristupovať, riziko neúmyselného zobrazenia údajov je výrazne obmedzené.

Zakázanie indexov adresárov

Vo väčšine prípadov stačí na zakázanie indexov adresárov pridať do konfigurácie webového servera len jeden riadok.

• Postupujte podľa týchto krokov na zakázanie týchto výpisov adresárov na Apache Wiki. Uistite sa, že v konfiguračných blokoch Apache Directory je uvedené Options -Indexes.
• V Nginx sú indexy predvolene zakázané, takže v tomto smere nie sú potrebné žiadne ďalšie kroky.

Časté zálohovanie

Hoci zálohy nie sú bezpečnostným opatrením, sú nevyhnutné na ochranu údajov a celých systémov v prípade napadnutia systému. Pomáhajú tiež analyzovať, ako mohlo k útoku na systém dôjsť. Predstavte si nešťastný scenár, kedy je váš systém napadnutý ransomvérom (vírus alebo malvér, ktorý zašifruje súbory vo vašom systéme a dešifruje ich len vtedy, ak zaplatíte hackerovi peniaze). Ak neexistujú žiadne zálohy údajov, vašou jedinou možnosťou je zaplatiť peniaze, aby ste získali prístup k svojim údajom späť. Ak sú údaje bezpečne zálohované, stále k nim budete mať prístup a budete ich môcť obnoviť bez toho, aby ste museli pristupovať k napadnutému systému.

Zvýšenie bezpečnosti prostredníctvom častého zálohovania

Časté zálohovanie pomáha získať späť informácie v dôsledku útoku, poškodenia alebo dokonca neúmyselnej straty (vymazania). Bez ohľadu na to, aký typ negatívnych udalostí vedie k strate údajov, riziko sa znižuje uchovávaním kópií serverových údajov.

Okrem útokov ransomvéru môže časté zálohovanie pomôcť pri merateľnom vyšetrovaní dlhodobých útokov na systém. Ak svoje údaje bezpečne neukladáte vo forme zálohy, zistenie zdroja útoku a toho, ktoré údaje boli kompromitované, môže byť náročné alebo dokonca nemožné.

Implementácia častého zálohovania

Pri zálohovaní systémov je prvoradé považovať overiteľnú obnovu poškodených, kompromitovaných alebo vymazaných údajov za cieľ vášho úsilia o obnovu. Najlepšie si to predstavíte tak, že zvážite, aké kroky by si vyžadovali najmenej práce, aby ste všetko opäť sprevádzkovali, ak by váš server zajtra zmizol.

Tu je niekoľko ďalších bodov, ktoré treba zvážiť pri premýšľaní o pláne obnovy po havárii:

• Ak pracujete s dynamicky sa meniacimi údajmi, vaše zálohy budú pravdepodobne musieť byť častejšie. V prípade straty údajov, ak bola vaša posledná záloha vykonaná príliš dávno, môžete byť nútení vrátiť sa k neaktuálnym údajom.
• Premyslite si samotný proces obnovy zálohy. Bude preň potrebné pridať nový server, alebo je možné obnoviť ten existujúci?
• Aká je najdlhšia doba, počas ktorej môže byť server nefunkčný?
• Je offsite zálohovanie nevyhnutným riešením?

Ak sa chcete dozvedieť viac o riešeniach Disaster Recovery od spoločnosti CloudSigma, pozrite si náš blogový príspevok, ktorý podrobne popisuje prečo je naša služba Disaster-Recovery-as-a-Service dokonalým spoločníkom pre cloud. A tu sa môžete dozvedieť viac o funkciách zabezpečenia & kontinuity podnikania od CloudSigma. Máme tiež podrobného sprievodcu o tom, ako jednoducho nastaviť funkciu zálohovania CloudSigma.

Privátne siete a VPN

Privátna sieť je sieť, ktorá je prístupná a slúži len konkrétnym používateľom alebo serverom. Bezpečné spojenie medzi vzdialenými zariadeniami, ktoré umožňuje, aby toto spojenie fungovalo, akoby bolo v privátnej sieti, je VPN (virtuálna privátna sieť). Poskytuje vám možnosť zabezpečiť pripojenia v privátnej sieti a pripojiť vzdialené servery.

Ako privátne siete zvyšujú bezpečnosť?

Ak existuje možnosť voľby medzi verejnými a privátnymi sieťami pre internú komunikáciu, druhá možnosť je vždy preferovanejšia. Majte však na pamäti, že ostatní používatelia v rámci dátového centra môžu mať stále prístup k rovnakej sieti. To znamená, že na zaistenie bezpečnej komunikácie medzi servermi je stále potrebné použiť dodatočné bezpečnostné opatrenia.

V podstate je využitie VPN spôsobom, ako vymedziť, čo môžu zamestnanci vašej organizácie vidieť. Korešpondencia bude úplne bezpečná a súkromná. Konfigurácie aplikácií by umožnili prenos prevádzky virtuálneho rozhrania cez VPN. Týmto spôsobom budú môcť byť verejnej sieti vystavené iba tie služby, ktoré sú určené na interakciu s klientom cez internet.

Aké náročné je implementovať VPN?

Využitie privátnych siet je pre vaše dátové centrum rovnako jednoduché ako konfigurácia vašich aplikácií a firewallu na používanie privátnej siete a povolenie VPN počas vytvárania servera. Je dôležité si uvedomiť, že ostatné servery zdieľajú rovnaký sieťový priestor ako privátne siete v rámci celého centra.

Počiatočné nastavenie VPN je o niečo zložitejšie. Dodatočné zabezpečenie, ktoré to prináša, však stojí za to pre väčšinu prípadov použitia. Konfiguračné údaje a zdieľané zabezpečenie je potrebné nainštalovať a nakonfigurovať na každom serveri v sieti. Pre podrobnejšie informácie o tom, ako funguje VPN a prehľad nastavenia OpenVPN na Ubuntu, postupujte podľa tohto návodu. Môžete tiež postupovať podľa tohto návodu, ktorý vás prevedie krokmi na pripojenie siete VPN k infraštruktúre CloudSigma.

Šifrovanie SSL/TLS a infraštruktúra verejných kľúčov (PKI)

Generovanie, správa a overovanie certifikátov na identifikáciu osôb a šifrovanie komunikácie sa označujú ako infraštruktúra verejných kľúčov (PKI). Rôzne entity sa môžu navzájom autentifikovať pomocou SSL alebo TLS certifikátov. Potom ich možno použiť aj na nadviazanie šifrovanej komunikácie.

Ako certifikáty zvyšujú bezpečnosť

Na šifrovanie prevádzky a overovanie identity členov na serveri je dôležité zriadiť certifikačnú autoritu (CA) a mať možnosť vidieť všetky certifikáty vašej siete. To môže pomôcť zabrániť útokom typu „man-in-the-middle“, pri ktorých hacker napodobní server a presmeruje prevádzku inam.

Konfiguráciu každého servera je možné nastaviť tak, aby dôveroval centralizovanej CA. Akýmkoľvek následným podpisom certifikátov potom možno implicitne dôverovať. Ak protokoly a aplikácie, ktoré váš server používa, podporujú šifrovanie SSL/TLS, môžete svoj systém zabezpečiť bez réžie spojenej s VPN tunelom. Pre ďalšie informácie postupujte podľa nášho návodu, ako automatizovať obnovu SSL certifikátov LetsEncrypt pre Nginx.

Náročnosť implementácie

Konfigurácia certifikačnej autority a následné nastavenie zvyšnej PKI môže vyžadovať veľa počiatočného úsilia. Taktiež, keď je potrebné vytvoriť, odvolať alebo podpísať nové certifikáty, bude potrebné dodatočné úsilie na správu.

Keďže väčšina infraštruktúr musí rásť, implementácia plnohodnotného PKO je najrozumnejším prístupom. Kým nedosiahnete bod, kedy sa PKI vyplatí aj napriek dodatočným nákladom na správu, môže ako adekvátne dočasné opatrenie na zabezpečenie komponentov systému poslúžiť využitie VPN.

Detekcia prieniku do systému a využitie auditu súborov

Audit súborov je proces používaný na porovnanie súborov a ich atribútov vo vašom systéme v plne zabezpečenom, dobrom stave s tými, ktoré sú v systéme aktuálne. Je to dobrá metóda na vyhľadanie a izolovanie neoprávnených zmien v systéme.

An IDS, systém detekcie prienikov, označuje monitorovací softvér, ktorý sleduje akúkoľvek neoprávnenú aktivitu v systéme. Vo všeobecnosti využíva metódy auditu súborov na vyhľadávanie akýchkoľvek neočakávaných zmien v systéme.

Zvýšenie bezpečnosti pomocou IDS/auditu súborov

Okrem samotného auditu na úrovni služieb je pre zaistenie bezpečnosti vášho systému nevyhnutné vykonávať audity na úrovni súborov. To môže byť vykonávané buď automatizovaným procesom IDS, alebo periodicky administrátorom systému.

Audity súborov a IDS sú jediné skutočné procesy, ktoré uistia, že v systéme nedošlo k žiadnym neočakávaným zmenám. Väčšina útočníkov chce servery, ktoré napadnú, využívať dlhodobo, a aby to dosiahli, musia si zachovať schopnosť utajiť svoje konanie. Mohli by nahradiť binárne súbory zraniteľnými alebo kompromitovanými verziami. Akékoľvek súbory, ktoré boli v systéme zmenené, budú detegované auditom súborového systému. To vám poskytuje istotu, že sa veľmi rýchlo dozviete, či bola narušená integrita systému.

Úroveň náročnosti implementácie

Implementácia IDS a auditu súborov môže byť veľmi náročný proces. Na začiatku musí byť systém nakonfigurovaný tak, aby definoval cesty, ktoré sa majú vylúčiť, a určil neštandardné zmeny, ktoré boli v systéme vykonané, s cieľom vytvoriť základný stav systému.

Každodenná prevádzka sa tiež stáva zložitejšou, pretože pred spustením akýchkoľvek aktualizácií bude potrebné znova skontrolovať systém. Základný stav meraní systému bude tiež potrebné znova vytvoriť alebo obnoviť, aby zachytil zmeny verzií softvéru ako súčasť nového základného stavu systému. Správy z auditu bude tiež potrebné preniesť na iné miesto. Je to preto, že musíte zabrániť útočníkovi v systéme zmeniť audit, aby zostal skrytý zahladením svojich stôp.

Hoci to určite zvyšuje administratívnu záťaž vášho systému, je to jeden z mála zaručených spôsobov, ako zabezpečiť, aby žiadny zo súborov nebol zmenený bez vášho vedomia. Medzi najpopulárnejšie systémy na detekciu prienikov a audit súborov patria Aide a Tripwire.

Izolované prostredia

Akákoľvek metóda, pri ktorej jednotlivé komponenty bežia vo svojom vlastnom vyhradenom priestore, sa označuje ako izolované prostredie na spúšťanie.

To môže znamenať, že konkrétne komponenty aplikácie budú umiestnené na ich vlastných vyhradených serveroch, alebo že vaše služby môžu byť nakonfigurované na prevádzku v prostrediach chroot (alebo kontajneroch). To, do akej miery je prostredie izolované, závisí najmä od reality vašej infraštruktúry a požiadaviek vašej aplikácie.

Zvýšenie bezpečnosti pomocou izolovaných prostredí

Izolovaním vašich procesov do jednotlivých prostredí izolujete aj to, ktoré procesy by mohli byť ovplyvnené bezpečnostnými chybami. Podobne ako vodotesné komory a prepážky pomáhajú udržať trhliny v trupe lodí, keď oddelíte jednotlivé časti a komponenty vášho systému, ak útočník získa prístup k jednému z nich, nedokáže sa dostať do celého prepojeného sieťového systému.

Náročnosť implementácie

Zložitosť izolácie vašich aplikácií sa líši v závislosti od typov kontajnerizácie, ktoré ste sa rozhodli použiť. Docker nepovažuje izoláciu za bezpečnostnú funkciu. Keď sú však vaše komponenty rozdelené medzi rôzne kontajnery, izolácia sa dosiahne oveľa jednoduchšie. Môžete postupovať podľa tohto návodu na inštaláciu Dockeru na našej infraštruktúre.

Keď sú nastavené prostredia chroot, poskytuje sa tým aj určitá miera izolácie. Nejde však o úplne nepreniknuteľnú metódu, keďže existujú spôsoby, ako sa z takéhoto prostredia dostať. Vyhradené stroje pre rôzne komponenty sú zvyčajne najlepším a najjednoduchším spôsobom, ako dosiahnuť izoláciu. Je to však nákladnejšie kvôli potrebe ďalších strojov.

Záverečné myšlienky

Poskytnuté stratégie sú len niektorými z krokov, ktoré môžete podniknúť na zvýšenie bezpečnosti vášho systému. Stojí za zmienku, že čím dlhšie čakáte s implementáciou bezpečnostných funkcií, tým nižšia je ich účinnosť. S ohľadom na to je dôležité zabezpečiť, aby sa s bezpečnosťou nečakalo. Namiesto toho by mala byť implementovaná ako jedno z prvých opatrení pri budovaní infraštruktúry. Keď je váš systém dostatočne zabezpečený základnou ochranou, môžete začať aktivovať služby a pridávať aplikácie s vedomím, že sa predvolene spúšťajú v bezpečnom prostredí.

Bezpečnosť však nie je stagnujúci proces, ale plynulý. Je potrebné ju udržiavať a opakovať. Malo by sa k nej pristupovať s mentalitou neustálej ostražitosti a vytrvalej bdelosti. Vždy sa pýtajte, aké bezpečnostné dôsledky prináša akákoľvek zmena systému. Uistite sa, že operačné prostredia a predvolené konfigurácie vždy optimalizujú bezpečnosť a pracujú s dostatočne defenzívnym softvérom.

Príjemnú prácu s počítačom!