8 nauðsynleg ráð til að tryggja netforritamiðlara

Í flestum tilvikum þurfa netforrit netþjónar að vera aðgengilegir, sem þýðir að þeir verða fyrir alls kyns ógnum.


Margar af þessum ógnum eru fyrirsjáanlegar og auðvelt er að komast hjá þeim, en aðrar eru óþekktar og geta gripið þig varlega. Til að lágmarka möguleikann á þessu síðara tilviki, bjóðum við upp á lista yfir nauðsynleg ráð til að halda netforrit netþjónum eins öruggum og unnt er.

Áður en byrjað er með ábendingalistann þarftu að skilja að netforritamiðlari er ekki eyja. Miðlarinn er aðalhlutinn í vefforritabúinu sem gerir hýsingu og rekstur vefforrits mögulegt. Þess vegna, til að tryggja, verður þú að taka tillit til allra íhlutanna sem umlykja það og tryggja allt vefumsóknarumhverfið.

Grunnumhverfi fyrir hýsingu og keyrslu á vefforritum er stýrikerfi (Linux, Windows), hugbúnaður netþjónsins (Apache, Nginx), gagnagrunnsþjónn. Ef brotist er inn í einhvern af þessum íhlutum gætu árásarmenn fengið aðgang og framkvæmt allar illar aðgerðir sem þeir vilja.

Fyrsta og grundvallar ábending til að tryggja umhverfi eins og það sem lýst er hér að ofan er að lesa öryggisleiðbeiningar og lista yfir bestu starfsvenjur fyrir hvern og einn af íhlutunum. Sem sagt, við skulum fara yfir nokkrar öryggisleiðbeiningar um skynsemi sem eiga við nánast hvert umhverfi vefforrita.

Eldveggurinn afmáð

Þú gætir freistast til að athuga þetta atriði fljótt og hugsa, „heppinn, ég er nú þegar með eldvegg sem verndar netið mitt.“ En þú heldur betur á hestunum þínum.

Eldveggurinn þinn gætir annast landamæri netsins þíns, heldur slæmu strákunum úti og góðu gæjunum inni, en vissulega er það að láta dyr standa opnar fyrir árásarmenn að brjótast inn á vefforritamiðlarann ​​þinn.

Hvernig?

Einfalt: neteldveggurinn þinn verður að minnsta kosti að leyfa komandi umferð á höfnum 80 og 443 (það er HTTP og HTTPS) og veit ekki hver eða hvað fer um þær hafnir.

Það sem þú þarft til að vernda umsókn þína er netforrit eldveggur (WAF) sem greinir sérstaklega á vefumferð og hindrar allar tilraunir til að nýta varnarleysi, svo sem forskriftir á vefsvæði eða inndælingu kóða. WAF virkar eins og dæmigerð vírusvarnarefni og antimalware: það leitar að þekktum mynstrum í gagnastraumnum og hindrar það þegar það skynjar skaðlega beiðni.

Til að ná árangri þarf WAF að hafa gagnagrunn sinn stöðugt uppfærður með nýjum ógnarmynstri til að geta lokað á þá. Vandamálið við mynstursbundna árásarvarnir er að vefforritið þitt getur verið eitt af fyrstu markmiðum nýrrar ógnunar sem WAF þinn er ekki enn meðvitaður um.

Af þessum ástæðum þarf vefforritið þitt viðbótar verndarlög fyrir utan eldvegginn.

Leitaðu að vefsértækum varnarleysi

Aftur, held ekki að vefforritamiðlarinn þinn sé laus við varnarleysi bara af því að netöryggisskanninn þinn segir það.

Netskannar geta ekki greint sértækar varnarleysi við forrit. Til að uppgötva og útrýma þessum varnarleysi verður þú að setja forritin undir röð prófa og endurskoðana, svo sem skarpskyggnipróf, skönnun svarta kassa og endurskoðun á frumkóða. Engin af þessum aðferðum er skotheld, samt. Helst að þú ættir að framkvæma eins mörg af þeim og mögulegt er til að útrýma öllum varnarleysum.

Til dæmis öryggisskannar, eins og Netsparker, tryggja að enginn nothæfur kóða komist í framleiðsluumhverfið. En það gætu verið rökréttar varnarleysi sem aðeins er hægt að greina með handvirkri endurskoðun á kóða. Handvirk endurskoðun, auk þess að kosta mikið, er mannleg og því villubundin aðferð. Góð hugmynd að gera þessa endurskoðun án þess að sóa miklum peningum er að fella það inn í þróunarferlið, aðallega með því að fræða forritara þína.

Fræðdu forritara þína

Hönnuðir hafa tilhneigingu til að halda að forrit þeirra gangi í hugsjónum heimum, þar sem auðlindir eru ótakmarkaðar, notendur gera ekki mistök og það er ekkert fólk með miskunnarlausar áform. Því miður þurfa þeir á einhverjum tímapunkti að horfast í augu við raunveruleg vandamál, sérstaklega þau sem varða upplýsingaöryggi.

Þegar vefforrit eru þróuð verða forritakóðarar að þekkja og innleiða öryggisleiðir til að tryggja að það sé laust við varnarleysi. Þessir öryggisleiðir ættu að vera hluti af bestu leiðarvísunum sem þróunarteymið verður að fara eftir.

Endurskoðun hugbúnaðargæða er notuð til að tryggja samræmi við bestu starfshætti. Bestu starfshættir og endurskoðun eru einu leiðirnar til að greina rökréttar varnarleysi, svo sem (til dæmis) að standast ódulkóðaðar og sýnilegar breytur í vefslóð, sem árásarmaður gæti auðveldlega breytt til að gera það sem hann eða hún vill.

Slökktu á óþarfa virkni

Að því gefnu að vefforritin séu eins villulaus og mögulegt er og vefbúið sé tryggt, við skulum sjá hvað er hægt að gera á netþjóninum sjálfum til að verja hann fyrir árásum.

Grundvallarábending um skynsemi er að fækka mögulegum viðkvæmum inngangspunktum. Ef árásarmenn geta nýtt sér eitthvað af íhlutum vefþjónsins gæti allur vefþjónninn verið í hættu.

Gerðu lista yfir alla opnar hafnir og keyra þjónustu eða púkana á netþjóninum þínum og loka, slökkva eða slökkva á óþarfa þjónunum. Ekki ætti að nota netþjóninn í öðrum tilgangi en að keyra vefforritin þín, svo íhugaðu að færa alla viðbótarvirkni yfir á aðra netþjóna á þínu neti.

Notaðu sérstakt umhverfi til þróunar, prófa og framleiða

Hönnuðir og prófunaraðilar þurfa forréttindi á því umhverfi sem þeir vinna að sem þeir ættu ekki að hafa á netforritsmiðlinum. Jafnvel ef þú treystir þeim í blindni, gætu lykilorð þeirra auðveldlega lekið og fallið í óvelkomnar hendur.

Að auki lykilorð og forréttindi, í þróunar- og prófunarumhverfinu, eru venjulega bakdyr, logaskrár, frumkóða eða aðrar upplýsingar um kembiforrit sem geta afhjúpað viðkvæm gögn, svo sem notendanöfn og lykilorð gagnagrunns. Stjórnandi þarf að dreifa ferli vefforritsins sem þarf að ganga úr skugga um að engar viðkvæmar upplýsingar séu afhjúpaðar eftir að forritið hefur verið sett upp á lifandi netþjóninum..

Sama aðgreiningarhugtak þarf að beita á gögn forritsins. Prófarar og verktaki vilja alltaf raunveruleg gögn til að vinna með en það er ekki góð hugmynd að veita þeim aðgang að framleiðslugagnagrunninum eða jafnvel að afriti af þeim. Fyrir utan augljósar áhyggjur af persónuvernd, gæti gagnagrunnurinn innihaldið stillingarbreytur sem sýna innri netþjónstillingar – svo sem endapóstfang eða slóð, til að nefna par.

Haltu netþjóninum þínum uppfærðum

Eins augljóst og það kann að virðast er þetta eitt af verkefnum sem mest gleymast. SUCURI fannst 59% CMS forrita vera úrelt, sem er opið fyrir áhættu.

Nýjar ógnir birtast á hverjum degi, og eina leiðin til að koma í veg fyrir að þeir stofni netþjóninum þínum í hættu er að setja alltaf upp nýjustu öryggisforritin.

Við nefndum áður að netveggir og netöryggisskannar duga ekki til að koma í veg fyrir árásir á vefforrit. En þeir eru nauðsynlegir til að verja netþjóninn þinn fyrir algengum netöryggisógnunum, eins og DDoS árásum. Svo vertu viss um að þú hafir alltaf uppfærð slík forrit og að þau verndar í raun viðskipti umsókn þína.

Takmarka aðgang og forréttindi

Grundvallaröryggisráðstöfun er að halda fjarlægri aðgangsumferð – svo sem RDP og SSH – dulkóðuð og göng. Það er líka góð hugmynd að hafa minnkaðan lista yfir IP-netföng þaðan sem fjarlægur aðgangur er leyfður, og gættu þess að reynt sé að skrá sig lítillega frá öðrum IP sé lokað.

Stjórnendur gefa þjónustureikningum af og til öll möguleg forréttindi vegna þess að þeir vita að með þessu mun „allt ganga.“ En þetta er ekki góð starf þar sem árásarmenn geta notað varnarleysi í þjónustunni til að komast inn á netþjóninn. Ef þessi þjónusta keyrir með stjórnandi forréttindi geta þau nýtt sér allan þjóninn.

Gott jafnvægi milli öryggis og hagkvæmni krefst þess að hver reikningur – bæði innskráningarreikningar og þjónustureikningar – hafi þau forréttindi sem hann þarf til að gegna starfi sínu og ekkert annað.

Til dæmis er hægt að skilgreina mismunandi reikninga fyrir stjórnanda til að vinna mismunandi verkefni: einn til að taka afrit, önnur til að hreinsa annál, aðra til að breyta stillingum þjónustu og svo framvegis. Sama á við um gagnagrunnsreikninga: forrit þarf venjulega aðeins heimildir til að lesa og skrifa gögn, og ekki til að búa til eða sleppa töflum. Þess vegna ætti það að keyra með reikningi með forréttindi takmörkuð til að sinna verkefnum sem það þarf að framkvæma.

Fylgstu með netþjónsskrám

Annáll eru til af ástæðu.

Stjórnendur ættu að fylgjast reglulega með þeim til að uppgötva grunsamlega hegðun áður en það gerir tjón. Með því að greina annáll geturðu afhent mikið af upplýsingum sem hjálpa þér að vernda forritið betur. Ef árás ætti að eiga sér stað gætu annáll sýnt þér hvenær og hvernig hún byrjaði og hjálpað til við að gera betri skaðaeftirlit.

Þú verður einnig að hafa sjálfvirka aðferð til að eyða gömlum annálaskrám eða til að klippa gamaldags upplýsingar, til að koma í veg fyrir að þær eyði öllu tiltæku geymslurými á þjóninum.

Ábending um bónus: hafðu upplýsingar um þig

Það er mikið af ókeypis og gagnlegum upplýsingum á Netinu sem þú getur notað í þágu vefforritsins þíns. Ekki missa af neinni nýrri færslu á virtu öryggisbloggi (eins og þessu) og vertu upplýst um hvað er að gerast í öryggis- og vefgeiranum.

Kennsla, námskeið, myndbönd og bækur eru einnig heimildir um gagnlega þekkingu. Æfðu þér að eyða einum eða tveimur klukkustundum á viku bara til að vera upplýstir um fréttir iðnaðarins – það mun veita þér hugarró með að vita að þú ert að gera rétt til að halda umsóknum þínum öruggum.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map