Как да подобрим сигурността на клауд сървъра си

26.05.2021 91 0

Не е случайно, че клауд сървърите са популярни. Те позволяват компании с всякакви размери и възможности да имат достъп до качествени технологии на достъпни цени. Друга полза от клауд сървърите е фактът, че не изискват много поддръжка и голяма част от трудните задачи се извършват от доставчика на услугата.

Все пак има някои аспекти, които клиентите трябва да вършат сами. Един от тях е сигурността на клауд сървъра. Потребителите на подобни услуги могат да предприемат множество стъпки, за да защитят клауд сървъра си. Киберсигурността често е приемана като нещо твърде сложно и се подценява, тъй като много компании смятат, че няма да им се случи нещо.

Скорошните събития като хакерската атака срещу Colonial Pipeline обаче показват, че никой не е защитен. Затова вече е задължителна бизнес практика да се обръща внимание на киберсигурността на фирмата и най-малкото тя да се поддържа в крак с последните тенденции и заплахи. В наши дни доброто ниво на сигурност не е само технически въпрос, но и фактор в изграждането на добра репутация и доверие в бизнеса ви. С това наум, нека да разгледаме някои допълнителни съвети за сигурност на клауд сървъра ви.

Полагане на основите

Сигурно вече сте направили тази стъпка, но ако не сте, сега е моментът. Проучете функциите и услугите за сигурност, които доставчикът на вашия клауд сървър предлага. Това включва сигурността на дейта центъра и наличните опции за управление, с които разполагате. Функциите, до които имате достъп, може да варират значително според няколко фактора. Сред тях е типът хостинг, естеството на сървъра, наличните функции според абонаментния план, допълнителни функции, за които се плаща и техническите съвместимости и наличности. Не е лоша идея да си направите списък, по който да се водите, и той да отразява вашите нужди и цели, и който да обновявате с времето.

Отделете време, за да изучите функциите, с които разполагате. Те може да са точно това, което ви трябва. Например за семпъл фирмен уебсайт с минимални функции не е нужно кой знае колко, за да е защитен. Но за онлайн магазин или нещо подобно, може да се наложи добавянето на още функции за сигурност. Затова отделете време и не подценявайте ситуацията, защото Gartner прогнозира, че до 2025 г. 99% от провалите на клауд сигурността ще е заради клиента. Защо? Защото много клиенти не знаят какво да правят и конфигурират погрешно и управляват неправилно клауд сървърите си.

Това може да се случи не само заради подценяване или непознаване на  функциите. Може да е и заради непознаване на особеностите и рисковете на реалния свят и неразбирането на актуалните предизвикателства. Затова опознаването на нуждите на вашата конфигурация и разбирането на последиците от липсата на адекватна защита върху целите на бизнеса ви са задължителни.

Подготовката

Още сме в началото, но това е важно. Вече сте опознали функциите за сигурност, които са достъпни за вашия клауд сървър. Сега е времето да настроим и подготвим всичко и трябва да започнете от екипа.

Нека всеки да знае какви са неговите отговорности. След това въведете и ограничения на достъпа. Не всички имат нужда от пълен достъп до всички  функции в админ панела или до всички данни и т.н. Когато достъпът е ограничен разумно, служителите ще могат да вършат работата си без проблеми, но няма да се объркват от опции и функции, които не им трябват. А и е по-добре за сигурността в случай на пробив на профила им.

След това подобрете сигурността на профилите. Например активирайте мултифакторна автентикация (MFA). Не разчитайте само на традиционните пароли – те са най-слабата връзка във веригата. Добавянето на MFA ще е добър начин да подобрите сигурността на клауд сървъра си и всичко, което е на него. И след като сте направили всичко това, можем да продължим с още съвети за подобряване сигурността на клауд сървъра.

Наблюдавайте активността на потребителите

Това е често пренебрегвана практика, но трябва да следите активността на потребителите на сървъра. Това не означава да гледате постоянно зад рамената им, но следете за нетипична дейност. Например влизане от непознато досега IP, но с познати име и парола или опит за достъп до ограничени функции, които не са достъпни за даден профил. Това може да е предизвикателство, защото има много и различни роли и задачи, които варират според всеки бизнес и конфигурация, но може да е и ясен индикатор за нещо нередно, което се случва в системата.

Не забравяйте служителите, които напускат

Говорейки за странни неща в системата, не забравяйте да имате ясен процес за служителите, които напускат. Притеснително много компании забравят да деактивират профилите на бивши служители в системите си. И макар бившите служители дори да не подозират за това, хакерите могат да се възползват от подобен стар, но активен профил и да го атакуват и да получат контрол над него. Затова всички стари и ненужни профили трябва да са или изтрити, или най-малкото деактивирани.

Премахнете ненужните услуги и процеси

И докато сме на темата за деактивиране на ненужни неща, същото важи и за всички услуги и процеси, които са активирани на сървъра. Всеки работещ процес е т.нар. вектор на атака, което означава, че хакери могат да го използват. Има много услуги, които работят на фонов режим и повечето потребители дори не знаят за тях. Някои от тях са важни за системата като драйвъри, процеси за важни платформи и т.н.

Други обаче не са необходими. Например всякакви плъгини за WordPress, които не използвате в момента. Или системни процеси за функции, които не ви трябват, като принтиране от разстояние. Деактивирайте такива процеси, но предварително ги проучете, за да видите дали нямат някакви зависимости, които може да влошат работата на системата. Ако всичко е наред, дръжте тези процеси изключени. Това не само ще намали риска за сигурността, но и ще освободи системни ресурси.

Криптирайте данните

В зависимост от типа клауд сървър, който използвате, данните ви може вече да са криптирани. Но ако не са, трябва да го направите сами. Криптирането на данните ще защити бизнеса ви в случай на пробив или кражба. Има много инструменти и протоколи за криптиране. Някои са платени, други са с отворен код. Ако клауд сървърът ви използва чувствителни данни, т.е. информация на клиенти или важна за фирмата, то тогава криптирането е задължително.

Криптирайте връзките

Смисълът на клауд сървърът е лесен отдалечен достъп. Въпреки това, задължително трябва да използвате криптирани връзки до него. Може да използвате протокола Secure Shell (SSH), който е безплатен и много разпространен. Има много опции за конфигурация, но не трябва просто да го активирате и забравите. Конфигурирайте го внимателно. Например, сменете порта по подразбиране. Той е 22 и това е известно на всички, особено на хакерите. SSH портовете достигат до 32767, така че е препоръчително да използвате друг порт за по-голяма сигурност.

Като говорим за портове, затворете всички портове, които не са ви необходими. Винаги може да ги активирате по всяко време, но е по-добре да се налага да ги отваряте, вместо да стоят отворени месеци наред и да са удобни врати за хакери. Има много портове за различни услуги и функции, така че затварянето на всички може да е малко досадна задача, но е доста важна.

Добавете DDoS защита

DDoS атаките могат да навредят на бизнеса ви в продължение на дни. Те са лесни за провеждане и струват няколко долара да се наеме инфраструктурата. Поради това е абсолютно задължително да имате DDoS защита на сървъра си. Някои доставчици на клауд сървъри като Cloudware предлагат такава защита като част основната цена на услугата. В комбинация със Sofia Data Center на Neterra и неговата инфраструктура и защита, получавате много добро ниво на сигурност.

Бекъп на всичко

Още един съвет, който е стар колкото Вселената и въпреки това на него е гледано като на нещо странно също както нея. Моля, наистина правете качествен, редовен бекъп на клауд сървъра си. Да, това може да изисква допълнителни инвестиции за още един сървър и бекъп услуга, но сумата ще е малка жертва спрямо кошмара, който ще преживеете, ако бъдете хакнати, загубите достъп и/или данни и нямате бекъпи, които да ви помогнат. Най-малкото редовният бекъп ще ви спести време и усилия, когато някой ъпдейт се обърка и работата на системата се влоши. А за чувствителните данни, понякога дори наличието на бекъп на бекъпа не е лоша идея, колкото и параноично да звучи това на пръв поглед.

Скрийте информацията за сървъра

Когато инсталирате нови услуги и функции на клауд сървъра си, те може да ви посрещнат с хубава страница, която описва възможностите им. След това ще добавят версия на софтуера или дата някъде във фуутъра или на друго място в кода. Тази информация не ви носи нищо, но е от помощ на хакерите, защото им подсказва кои уязвимости да използват.

Затова постарайте се да скриете подобна информация. Не изглежда много, но може да помогне да забави хакерите или да ги прати в грешна посока, което да спечели достатъчно време, за да могат администраторите да видят, че нещо се случва и да предприемат мерки.

Защитете приложенията

Защитаването на клауд сървъра не означава фокусиране само върху системните процеси. Не забравяйте и всички приложения, които са инсталирани на него. Поддържайте целия софтуер актуален и редовно ъпдейтван. Под „приложения“ имаме предвид всичко – от платформи като WordPress и Magento, както и техните плъгини и добавки, така и операционната система, драйвери, модули и всичко останало, което сте инсталирали. Дори имейл клиента. Трябва да действате с приложенията като със самия сървър – проверете конфигурацията им, активирайте или деактивирайте функции според нуждите си.

Следете логовете

Повечето доставчици на клауд сървъри предлагат разнообразни услуги за мониторинг и записване на лог файлове. Те дават подробна информация за процесите, които протичат на сървъра и дават яснота какво се случва с и на него. Логовете са чудесен елемент, но когато някой им обръща внимание. Затова отделяйте си нужното време, за да можете да преглеждате логовете редовно. Чрез тях ще разбирате всичко за сървъра, включително дали той е използван пълноценно. А също така може да откривате и индикации за потенциална хакерска активност.

Мислете извън собствените си рамки

Клауд сървърите са страхотни, но трябва да помните един детайл – обикновено те са базирани на споделен сървър. Това означава, че на една физическа машина работят няколко клауд сървъра за различни клиенти. В повечето случаи това не е проблем и означава по-ниска цена на услугата. Но ако един от тези клиенти бъде атакуван с DDoS атака, това може да повлияе на всички останали в рамките на физическия сървър.

Доставчиците на такива услуги са наясно с този факт и имат мерки, които да намаляват риска от подобни последици. Все пак, това е вероятност, за която трябва да сте наясно и да сте подготвени. Понякога това може да означава просто да уведомите служители и клиенти за временни проблеми с услугата за кратко време. Ако обаче имате нужда вашият клауд сървър да е постоянно наличен, то тогава може да е добра идея да инвестирате и в редънданси бекъп, който да се активира при необходимост.

Както виждате, има много възможности и варианти, които да се използват, за да се подобри сигурността на клауд сървър. Не е нужно да прилагате всички, но е препоръчително да ги проучите и да се запознаете с тях, за да знаете кои ще са подходящи за вашите нужди и цели. Така ще подсигурите клауд сървъра си добре, а сигурен сървър означава и щастливи клиенти.

Ако все още не сте убедени какво точно ви трябва – нает сървър или клауд сървър, прочетете тази статия:

Ако искате да задълбаете повече в темата за сигурността, ето още една статия:

Вашият коментар

Вашият имейл адрес няма да бъде публикуван.