Veb Tətbiqi Serverini Etibar etmək üçün 8 Əsas Məsləhət

Əksər hallarda veb tətbiqi serverlərinin hamı üçün açıq olması lazımdır, yəni hər cür təhdidlərə məruz qalırlar.


Bu təhdidlərin çoxu əvvəlcədən bilinən və asanlıqla qarşısını almaq olar, digərləri isə naməlum və sizi gözətçi tuta bilər. Bu son işin mümkünlüyünü minimuma endirmək üçün veb tətbiq serverlərini mümkün qədər etibarlı saxlamaq üçün vacib tövsiyələrin siyahısını təqdim edirik.

Tip siyahısına başlamazdan əvvəl bir veb tətbiq serverinin bir ada olmadığını başa düşməlisiniz. Server veb tətbiqi təsərrüfatında bir veb tətbiqinin yerləşdirilməsini və işləməsini mümkün edən mərkəzi komponentdir. Buna görə, təhlükəsiz olmaq üçün onu əhatə edən bütün komponentləri nəzərə almalı və bütün veb tətbiq mühitini təmin etməlisiniz.

Veb tətbiqetmələrini yerləşdirmək və idarə etmək üçün əsas bir mühitə əməliyyat sistemi (Linux, Windows), veb-proqram təminatı (Apache, Nginx), verilənlər bazası serveri daxildir. Bu komponentlərdən hər hansı biri parçalanarsa, təcavüzkarlar əldə edə və istədikləri zərərli hərəkətləri edə bilərlər.

Yuxarıda göstərilən kimi bir mühiti təmin etmək üçün ilk və əsas tövsiyə, komponentlərin hər biri üçün təhlükəsizlik qaydalarını və ən yaxşı təcrübələrin siyahısını oxumaqdır. Demək olar ki, hər veb tətbiqi mühitinə aid bir sıra ümumi mənada təhlükəsizlik qaydalarını nəzərdən keçirək.

Firewall sıradan çıxdı

Bu elementi tez bir zamanda yoxlamaq üçün aludə ola bilərsən: “Şanslıyam, şəbəkəmi qoruyan bir firewall var.” Ancaq atlarınızı daha yaxşı tutursunuz.

Firewall, pis adamları və yaxşı adamları kənarda saxlayaraq şəbəkənizin sərhədlərinə diqqətlə yanaşa bilər, ancaq əmin olun ki, bu veb tətbiq serverinizdə təcavüzkarlar üçün geniş bir qapı açır..

Necə?

Sadə: şəbəkə firewall ən azı 80 və 443 limanlarında (yəni HTTP və HTTPS) gələn trafikə icazə verməlidir və bu limanlardan kimin və ya nəyin keçdiyini bilmir..

Tətbiqinizi qorumaq üçün lazım olan şey, veb trafikini xüsusi olaraq təhlil edən və saytlararası skriptləmə və ya kod inyeksiya kimi zəifliklərdən istifadə etmək cəhdlərini bloklayan bir veb tətbiqetməsidir. Bir WAF tipik bir antivirus və antware proqramı kimi fəaliyyət göstərir: məlumat axınında məlum nümunələri axtarır və zərərli bir sorğu aşkar edərkən blok edir..

Təsirli olmaq üçün WAF, öz bazalarını blok edə bilməsi üçün daima yeni təhdid nümunələri ilə yenilənməlidir. Nümunə əsaslı hücumun qarşısının alınması ilə bağlı problem, veb tətbiqinizin WAF’nın hələ də tanımadığı yeni bir təhlükənin ilk hədəflərindən biri ola bilməsidir..

Bu səbəblərə görə veb tətbiqiniz şəbəkə firewallından əlavə əlavə qoruma təbəqələrinə ehtiyac duyur.

Xüsusi zəifliklər üçün tarama

Yenə də, şəbəkə təhlükəsizliyi skanerinizin dediyi üçün veb tətbiq serverinizi zəiflik düşünməyin.

Şəbəkə skanerləri Tətbiqə məxsus zəiflikləri aşkar edə bilmir. Bu çatışmazlıqları aşkar etmək və aradan qaldırmaq üçün tətbiqetmələri nüfuz testləri, qara qutuların taranması və mənbə kodlarının yoxlanılması kimi bir sıra testlər və yoxlamalar altında qoymalısınız. Bu metodların heç biri güllə keçirməz. İdeal olaraq, bütün zəiflikləri aradan qaldırmaq üçün mümkün qədər çoxunu etməlisiniz.

Məsələn, təhlükəsizlik skanerləri Netsparker, istismar olunan kodun istehsal mühitinə daxil olmamasını təmin edin. Ancaq məntiqi zəifliklər ola bilər ki, bunlar yalnız əl kodlarının yoxlanılması ilə aşkar edilə bilər. Əllə yoxlama, çox xərc tələb etməklə yanaşı, insandır və buna görə səhvlərə meylli bir üsuldur. Bu cür auditin çox pul sərf etmədən aparmaq üçün yaxşı bir fikir əsasən inkişaf etdiricilərinizi öyrətməklə onu inkişaf prosesinə daxil etməkdir.

Geliştiricilərinizi öyrədin

Geliştiricilər, tətbiqetmələrinin, resurslarının sınırsız olduğu, istifadəçilər səhv etmədikləri və amansız niyyətləri olmayan insanların ideal aləmlərdə işlədiyini düşünməyə meyllidirlər. Təəssüf ki, bir anda real həyatda, xüsusən də informasiya təhlükəsizliyi ilə bağlı problemlərlə üzləşməlidirlər.

Veb tətbiqetmələri inkişaf etdirərkən koderlər zəifliklərdən azad olmasını təmin etmək üçün təhlükəsizlik mexanizmlərini bilməli və tətbiq etməlidirlər. Bu təhlükəsizlik mexanizmləri inkişaf qrupunun riayət etməli olduğu ən yaxşı təcrübə təlimatlarının bir hissəsi olmalıdır.

Proqram keyfiyyətinin auditi ən yaxşı təcrübələrə uyğunluğu təmin etmək üçün istifadə olunur. Ən yaxşı təcrübə və audit, bir hücumçunun istədiyi işi asanlıqla dəyişdirə biləcəyi bir URL daxilində şifrələnməmiş və görünən parametrlərin ötürülməsi kimi (məsələn) məntiqi zəifliyi aşkar etməyin yeganə yoludur.

Lazımsız işləməyi söndürün

Veb tətbiqetmələrinin mümkün qədər səhvsiz olduğunu və veb təsərrüfatın təmin olunduğunu fərz etsək, hücumlardan qorumaq üçün serverdə nə edilə biləcəyini görək.

Əsas, ümumi mənada işarə potensial həssas giriş nöqtələrinin sayını azaltmaqdır. Təcavüzkarlar veb serverin hər hansı bir hissəsini istismar edə bilsələr, bütün veb server təhlükə altında qala bilər.

Bütün bunların siyahısını tərtib edin açıq limanlar və işləyən xidmətlər və ya serverləri serverinizə bağlayın və lazımsız olanları bağlayın, söndürün və ya söndürün. Server veb tətbiqlərinizi işlətməkdən başqa heç bir məqsəd üçün istifadə edilməməlidir, buna görə bütün əlavə funksiyaları şəbəkənizdəki digər serverlərə köçürməyi düşünün..

İnkişaf, sınaq və istehsal üçün ayrı mühitlərdən istifadə edin

Geliştiricilər və sınayıcılar, işlədikləri mühitdə canlı tətbiqetmə serverində olmamaları üçün imtiyazlara ehtiyac duyurlar. Onlara kor-koranə etibar etsəniz də, onların şifrələri asanlıqla sıza bilər və istənməyən əllərə düşə bilər.

Şifrələr və imtiyazlardan əlavə, inkişaf və sınaq mühitində, adətən arxa planlar, giriş sənədləri, mənbə kodu və ya verilənlər bazası istifadəçi adları və şifrələr kimi həssas məlumatları aça biləcək digər ayıklama məlumatları mövcuddur. Veb tətbiqetməsini yerləşdirmə prosesi, tətbiqatı canlı serverə qurduqdan sonra heç bir həssas məlumatın yayılmadığını təmin edən bir idarəçi tərəfindən edilməlidir.

Eyni bölmə konsepsiyasını tətbiqin məlumatlarına tətbiq etmək lazımdır. Sınaqçılar və tərtibatçılar həmişə real məlumatları işləməyi üstün tuturlar, lakin istehsal məlumat bazasına və ya hətta onun bir nüsxəsinə çıxış imkanı vermək yaxşı fikir deyil. Açıq məxfilik narahatlıqlarından başqa, verilənlər bazasında daxili server parametrlərini – məsələn, son nöqtə ünvanlarını və ya yol adlarını, cütlüyün adını açıqlayan konfiqurasiya parametrləri ola bilər.

Server proqramınızı yeniləyin

Göründüyü kimi açıq şəkildə göründüyü kimi, bu ən çox yayınan vəzifələrdən biridir. SUCURI, CMS tətbiqlərinin 59% -nin köhnəlmiş olduğunu, riskə açıq olduğunu açıqladı.

Hər gün yeni təhlükələr meydana çıxır və onların serverinizə təhlükə yaratmamasının yeganə yolu həmişə ən son təhlükəsizlik yamalarını quraşdırmaqdır..

Daha əvvəl qeyd etdik ki, şəbəkə firewallları və şəbəkə təhlükəsizlik skanerləri veb tətbiqlərinə hücumların qarşısını almaq üçün kifayət deyil. Lakin bunlar DDoS hücumları kimi serverinizi ümumi kiber təhlükəsizlik təhlükələrindən qorumaq üçün lazımdır. Beləliklə, bu cür tətbiqlərin daim yeniləndiyinə və iş tətbiqinizi effektiv şəkildə qoruduğuna əmin olun.

Giriş və imtiyazları məhdudlaşdırın

Əsas təhlükəsizlik tədbiri, RDP və SSH kimi uzaqdan giriş trafikini şifrəli və tunel şəklində saxlamaqdır. Həm də başqa bir IP-dən uzaqdan girmək cəhdinin bloklandığından əmin olaraq uzaqdan girişin icazə verilən yerlərdən azaldılmış bir siyahısını saxlamaq yaxşı bir fikirdir..

İdarəçilər bəzən xidmət hesablarına bütün mümkün imtiyazları verirlər, çünki bunu etməklə “hər şeyin işləyəcəyini” bilirlər. Lakin bu yaxşı bir təcrübə deyil, çünki təcavüzkarlar serverə nüfuz etmək üçün xidmətlərdəki zəifliklərdən istifadə edə bilərlər. Bu xidmətlər administrator imtiyazları ilə işləyərsə, bütün serveri ələ keçirə bilər.

Təhlükəsizlik və praktiklik arasında yaxşı bir tarazlıq tələb edir ki, hər bir hesab – həm giriş hesabları, həm də xidmət hesabları – öz işini yerinə yetirmək üçün güzəştlərə malikdir və başqa heç nə yoxdur.

Məsələn, bir idarəçinin fərqli bir tapşırıq yerinə yetirməsi üçün fərqli hesabları təyin edə bilərsiniz: biri yedekləmə etmək, digəri günlük fayllarını təmizləmək, digərləri xidmətlərin konfiqurasiyasını dəyişdirmək və s. Eyni şey verilənlər bazası hesablarına da aiddir: bir tətbiq ümumiyyətlə məlumatları oxumaq və yazmaq və cədvəllər yaratmaq və ya buraxmamaq üçün yalnız icazələrə ehtiyac duyur. Buna görə, yerinə yetirməsi lazım olan vəzifələri yerinə yetirmək üçün məhdud imtiyazları olan bir hesabla çalışmalıdır.

Server qeydlərinə diqqət yetirin

Giriş sənədləri bir səbəbdən var.

İdarəçilər hər hansı bir zərər vermədən əvvəl şübhəli bir davranışı aşkar etmək üçün onları mütəmadi olaraq izləməlidirlər. Giriş sənədlərini təhlil edərək, tətbiqinizi daha yaxşı qorumağa kömək edəcək bir çox məlumat ortaya qoya bilərsiniz. Hücum baş verərsə, giriş sənədləri zərərin daha yaxşı idarə olunmasına kömək edən zaman və necə başladığını göstərə bilər.

Köhnə giriş sənədlərini silmək və ya köhnəlmiş məlumatları silmək, serverdəki bütün mövcud saxlama yerlərini tükəndirməmək üçün avtomatlaşdırılmış bir prosedura sahib olmalısınız..

Bonus ucu: özünüzü məlumatlı saxlayın

İnternetdə veb tətbiqinizin xeyrinə istifadə edə biləcəyiniz bir çox pulsuz və faydalı məlumat var. Nüfuzlu təhlükəsizlik bloglarında (bu kimi) hər hansı bir yeni xəbəri qaçırmayın və təhlükəsizlik və veb sənayesində baş verənlərdən xəbərdar olun..

Dərsliklər, kurslar, video və kitablar da faydalı bilik mənbəyidir. Sənayedə olan xəbərlərdən xəbərdar olmaq üçün həftədə bir və ya iki saat sərf et – Tətbiqlərinizi qorumaq üçün düzgün bir iş etdiyinizi bildiyinizə əminlik verəcəksiniz..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map