Захист серверів

Усі мережеві TCP/UDP порти та сервіси, які використовуються для внутрішньокорпоративного застосування мають бути закритими від публічного доступу з інтернету. Хорошою практикою є заміна стандартних порядкових номерів портів на довільні.

Мережевий периметр сервера повинен бути надійно захищений системами виявлення та запобігання вторгненням (IPS/IDS). З допомогою політик та правил безпеки, що встановлюються різними рішеннями (UFW/CSF/IPTables/Fail2ban/SpamAssasin/Snort) необхідно виставити захист на всіх рівнях OSI-моделі.

Правильна конфігурація і розподілення сервісів DNS може врятувати від багатьох видів мережевих атак. Основним заходом безпеки є активація ключа DNSSEC, який вказує на приналежність сервера до відповідної IP-адреси. Це унеможливлює підміну сервера та різні маніпуляцій з кешем.

Ще одним дієвим методом захисту серверів є налаштування проксі через CDN Cloudflare, який володіє просунутими методами захисту від різних атак, включаючи DOS/DDOS. Увесь трафік буде пропускатися через проксі-сервери Cloudflare і фільтруватися від зовнішніх подразників/чинників. Крім того це дозволить приховати справжню IP-адресу.

Це цифрові підписи безпеки, які додаються в DNS-зону й захищають поштові сервери від атак та маніпуляцій. Вони свідчать про приналежність email-адреси власнику і унеможливлюють спам, фішинг, перехоплення даних.

Сервер – це середовище, яке постійно оновлюється, актуалізується, наповнюється даними. Регулярно скануйте його на вразливості з допомогою DAST/SAST/IAST сканерів та інструментів з аудиту, наприклад: Acunetix, Tenable Nessus, Lynis, Qualys, OpenVAS, Intruder, ImmuniWeb, Nikto, Nuclei, WhatWeb тощо.

Внутрішні та зовнішні тестування безпеки “чорного та білого ящиків” або Black-Box/White-Box Pentest є ефективним засобом підготовки до майбутніх атак. Вони дозволяють протестувати на міцність мережевий периметр сервера і перевірити вжиті заходи безпеки, дати оцінку Blue Team.

Резервне копіювання і відновлення є важливим заходом безпеки серверів. Необхідно, щоб усі дані були захищені від втрати та у разі потреби були швидко відновлені. Рекомендується налаштувати автоматичне створення Backup-копій за розкладом і зберігати їх у зашифрованому вигляді на хмарному диску.

Централізований моніторинг на базі хмарних рішень Splink, Kibbana, Graffana, Zabbix допоможуть аналізувати доступ до сервера в режимі real-time. Також не зайвою буде окрема SIEM-система, яка виявлятиме кібер-загрози та сповіщатиме про них адміністратора.

Доступ до серверів має здійснюватися згідно SSH-ключів та дозволеного списку IP-адрес. Доступ до ресурсів сервера, файлів та папок повинен відбуватися згідно політик безпеки і рольового доступу. Усі облікові записи мають мати різні привілеї, в залежності від їх типу (root/user). Необхідно ретельно налаштувати вбудовану систему безпеки доступу SELinux. Права доступу на файли мають бути виставлені коректно.

Будь-які адміністративні частини, сторінки адміністраторів, входи в адмін-панель, форми авторизації мають бути захищені системами 2FA/MFA Authorixation та CAPTCHA. Це не дозволить нікому проникнути в систему без підтвердження.

Користувацькі, службові, конфіденційні дані, наприклад паролі до облікових записів, бази даних, мають надійно хешуватися (MD5) і шифруватися (AES/SHA/RSA/WPA2). Обмін повідомленнями у корпоративній мережі має проходить тільки по захищеним каналам SSL/TLS та з’єднанням HTTPS.