Servery jsou častým terčem nejrůznějších útoků. Jak si vede váš server z hlediska zabezpečení?
V dnešní době IT a Internetu se spousta firem neobejde bez vlastního serveru. Ať už se jedná o zakoupení nebo pronájem serveru, musí se o něj také někdo pravidelně starat. Profesionální správu serveru je možné si zaplatit (tzv. managed servery) nebo se do ní můžete pustit sami. V tom druhém případě musíte rozumět, jakým rizikům je Váš server na Internetu vystaven. O pravidlech bezpečnosti, jak rizikovým situacím předcházet a jaké jsou praktické zkušenosti provozovatelů datacenter píše serverhostingová společnost Master Internet.
Bezpečí z fyzického pohledu
Rozhodli jste se umístit váš HW do moderního datacentra. Máte rychlou a zálohovanou konektivitu, pro případ výpadku proudu je tu UPS a diesel agregát. Redundantní klimatizace vašemu serveru nedovolí se přehřívat, navíc je permanentně monitorován speciálním softwarem a pod dohledem nonstop technické podpory. Své disky máte v RAIDu, Internet na dvou síťových kartách a dva zdroje s různými napájecími větvemi. Všechna data zálohujete na backup server. Používáte zásadně certifikovaný hardware s podepsanými ovladačemi. Váš projekt doposud běží skvěle, máte pocit, že jste udělali vše pro maximální bezpečí.
Běžná praxe
Je třeba si uvědomit, že spolehlivost po hardwarové stránce je jen první částí celého procesu zabezpečení. Nesmíte podcenit rizika spojená s provozováním internetových aplikací. Útoky jsou často vedené tak, že si toho majitelé serverů ani nevšimnou. Většinou probíhají automatizovaně a dojde ke zneužití jedné konkrétní chyby za konkrétním účelem. Program se například kvůli špatné verzi skriptu dostane dovnitř, typicky rozešle spamy, rozšíří nákazu dál a následně se sám smaže. Kromě celkového snížení výkonu vašich aplikací na vás můžou přijít i různé stížnosti, že napadáte ostatní servery. Ještě horší situace vás může potkat, pokud váš infikovaný server začne způsobovat větší toky dat, zvláště pokud máte limit pro zahraniční konektivitu. V neposlední řadě také může dojít k odcizení firemních dat, který zprvu nemusíte zaregistrovat, ale které může mít samozřejmě nedozírné následky.
Minimalizace rizik
Rizika tu zkrátka jsou, a proto je nutné důsledně pracovat na jejich minimalizaci. Jistou základní prevenci poskytují systémy, které obsahují mechanismy pro omezení chyb v aplikacích nastavením práv. Někdy také můžete používat různé patche pro kontrolu vstupů. Vyvarujte se provozu zbytečných programů, které nevyužijete, naopak zredukujte počet aplikací a jejich funkcí na minimum, se kterým si vystačíte. Pravidelně aktualizujte veškerý používaný software včetně operačního systému, u kterého využívejte jeho bezpečnostní možnosti. Vytvořte si dostatečně silná hesla a pravidelně je obměňujte. Pro připojení k serveru používejte šifrované protokoly. A co je snad samozřejmostí, pečlivě nakonfigurujte specializované programy pro bezpečnost (různé firewally, antiviry).
Stačí firewall?
Někteří méně zkušení uživatelé serverhostingu se domnívají, že pokud mají server za firewallem, zabezpečení je vyřešeno. Opak je pravdou. Největším rizikem pro server jsou útoky na konkrétní webové aplikace. Z tohoto pohledu standardní firewall v podstatě nic neřeší. Může sice průběh některých útoků znesnadnit, ale věci, které půjdou přes port 80, je možné odfiltrovat až na úrovni aplikačního firewallu. Konfigurace takového firewallu, už jen pro jednu aplikaci, bývá velmi komplikovaná (dlouhá práce pro tým lidí), takže se vyplatí jen u velkých projektů. Pokud to není váš případ, nezbývá než minimalizovat rizika precizním nastavením základního firewallu a pravidelným dodržováním výše uvedených bezpečnostních zásad.
O společnosti Master Internet, s.r.o.
Master Internet působí na poli serverhostingových služeb už více než 10 let. Provozuje housing i pronájem serverů, ke kterým poskytuje zásadně vyhrazené nesdílené linky na portech až 10Gbps. Od ledna roku 2008 nabízí zvýhodněné serverhostingové balíčky pro studenty. Do portfolia služeb Master Internet nespadá pouze serverhosting, společnost je také dlouholetým dodavatelem konektivity pro významné české ISP.
