Eiti prie turinio 
Prieglobos saugumas pavyksta patikimai, jei aiškiai atskiriu perimetro, prieglobos ir taikomosios programos apsaugos sluoksnius ir tvarkingai juos sujungiu. Tai leidžia sustabdyti atakas ankstyvoje stadijoje, patikrinti kiekvieną prieigą ir iki minimumo sumažinti klaidų šaltinius. Nulinis pasitikėjimas mažas.
Centriniai taškai
Toliau pateikiami šie duomenys Apžvalga parodo, kurie sluoksniai sąveikauja tarpusavyje ir kurioms priemonėms teikiamas prioritetas.
- PerimetrasUgniasienės, IDS/IPS, DDoS apsauga, VPN/IP sąrašai
- ŠeimininkasUžtikrinimas, atsarginės kopijos, autorizavimo koncepcija, saugūs protokolai
- ParaiškaWAF, pataisymai, 2FA, vaidmenys
- Nulinis pasitikėjimasMikrosegmentavimas, IAM, stebėjimas
- OperacijaStebėsena, protokolai, atkūrimo bandymai
Perimetro saugumas: kontroliuojama tinklo riba
Svetainėje Perimetras Sumažinu atakos paviršių prieš užklausoms pasiekiant serverį. Pagrindinės sudedamosios dalys yra su paketais ir taikomosiomis programomis susiję Ugniasienės, IDS / IPS, kad atpažintų įtartinus modelius, taip pat geografiniai ir IP filtrai. Administratoriaus prieigai naudoju IP baltąjį sąrašą ir VPN, kad tik autorizuoti tinklai galėtų pasiekti jautrius prievadus. Interneto srautui riboju metodus, antraščių dydžius ir užklausų greitį, kad būtų užkirstas kelias piktnaudžiavimui. Jei norite įsigilinti, daugiau informacijos rasite mano vadove Naujos kartos ugniasienės praktiniai taisyklių ir registravimo kriterijai. Taip pirmoji tvora išlieka griežta ir be reikalo neblokuoja teisėto duomenų srauto.
DDoS apsauga ir srauto valdymas
Prieš DDoS Turiu pasiruošęs duomenų srauto pralaidumą, spartos ribas, SYN slapukus ir prisitaikančius filtrus. Anksti atpažįstu anomalijas, jei reikia, nukreipiu srautą ir įjungiu valymo pajėgumus. Taikomųjų programų lygmeniu riboju matomus kelius, talpinu statinį turinį į talpyklą ir paskirstau Eismo keliose zonose. Sveikatos patikrinimai nuolat tikrina prieinamumą, kad apkrovos balansavimo įrenginys galėtų atjungti sergančius egzempliorius. Mano žurnalai analizuojami realiuoju laiku, kad būtų galima iš karto išskirti tokius modelius kaip prisijungimo audros ar kelio nuskaitymas.
Prieglobos saugumas: saugi operacinė sistema
Serverio grūdinimas Grūdinimas pagrindas: nereikalingų paslaugų išjungimas, saugios numatytosios nuostatos, ribojantys branduolio parametrai, atnaujinti paketai. Pasikliauju minimaliais atvaizdais, pasirašytomis saugyklomis ir konfigūracijos valdymu, kad būseną būtų galima atkurti. Prieiga suteikiama naudojant SSH raktus, agentų persiuntimą ir ribojamuosius sudo profilius. Procesus uždarome su systemd, vardų erdvėmis ir, jei reikia, cgrupėmis, kad atskiros paslaugos veiktų ribotai. Išsamią veiksmų seką pateikiu savo vadove Serverio atsparumo didinimas naudojant "Linux, kuriame nustatomi praktiniai prioritetai Linux-globėjai.
Atsarginių kopijų kūrimo strategija ir atkūrimas
Patikimas Atsarginės kopijos yra mano draudimas nuo išpirkos reikalaujančių programų, operacinių klaidų ir aparatinės įrangos defektų. Vadovaujuosi principu 3-2-1: trys kopijos, dviejų tipų laikmenos, viena kopija neprisijungus arba nekeičiama. Užšifruoju atsargines kopijas, tikrinu jų vientisumą ir testuoju Atkurti-laikas reguliariai. Nustatau skirtingus laiko taškus: duomenų bazes dažniau nei statinį turtą. Žaidybinėse knygose dokumentuojami veiksmai, kad galėčiau greitai pradėti iš naujo, net ir esant spaudimui.
Prieigos kontrolė ir registravimas
Teisės suteikiamos griežtai pagal mažiausios privilegijos principą, paskyros įtraukiamos atskirai ir naudojamos 2FA visiems administratoriaus keliams. Apriboju API raktus konkrečiais tikslais, juos keičiu ir blokuoju nenaudojamus žetonus. SSH atveju naudoju ed25519 raktus ir deaktyvuoju prisijungimo slaptažodį. Centrinis Žurnalai su patikimais laiko ženklais padeda atkurti incidentus. Apie nukrypimus įspėjama automatiškai, kad galėčiau reaguoti per kelias minutes, o ne valandas.
Programos saugumas: žiniatinklio programos apsauga
Naudodamasis žiniatinklio programomis, prieš programą įdiegiu WAF, nuolat atnaujinu TVS, įskiepius ir temas ir nustatau griežtus administratoriaus prisijungimo apribojimus. SQLi, XSS, RCE ir katalogų apėjimo taisyklės blokuoja įprastą taktiką prieš kodui sureaguojant. WordPress atveju WAF su parašais ir normos kontrole, pavyzdžiui, aprašyta vadove WordPress WAF. Formoms, įkėlimams ir XML-RPC taikomi specialūs apribojimai. Papildoma Antraštė CSP, X-Frame-Options, X-Content-Type-Options ir HSTS gerokai padidina pagrindinę apsaugą.
Nulinis pasitikėjimas ir mikrosegmentavimas
Aš niekuo nepasitikiu Grynasis per se: kiekvienai užklausai reikia tapatybės, konteksto ir minimalaus leidimo. Mikrosegmentavimas atskiria paslaugas, kad įsilaužėlis negalėtų keliauti per visas sistemas. IAM užtikrina MFA, tikrina įrenginio būseną ir nustato terminuotus vaidmenis. Trumpalaikis Žetonai ir tiesioginė prieiga laiku sumažina administratoriaus užduočių riziką. Telemetrija nuolat vertina elgseną, todėl matomi šoniniai judesiai.
Transporto šifravimas ir saugūs protokolai
Įtvirtinu TLS 1.2/1.3, įjungiu HSTS ir pasirenku modernius šifrus su tiesioginio slaptumo funkcija. Sertifikatus atnaujinu automatiškai, tikrinu grandines ir atsargiai prisegu tik viešuosius raktus. Išjungiu senąsias sistemas, pvz., neapsaugotą FTP, ir naudoju SFTP arba SSH. Paštui naudokite MTA-STS, TLS-RPT ir oportunistinį šifravimą. Švarus Konfigūracija transportavimo lygmenyje apsaugo nuo daugelio "MitM" scenarijų iš karto.
Automatinis stebėjimas ir pavojaus signalai
Centralizuotoje sistemoje susieju išmatuotas vertes, žurnalus ir pėdsakus, kad galėčiau anksti pastebėti dėsningumus. Įspėjimai paleidžiami esant aiškioms ribinėms vertėms ir juose yra pirmųjų žingsnių vykdymo instrukcijos. Sintetiniai patikrinimai imituoja naudotojų kelius ir įvyksta anksčiau, nei klientai ką nors pastebi. Naudoju Prietaisų skydeliai SLO ir laiko iki aptikimo, kad galėčiau įvertinti pažangą. Optimizuoju pasikartojančius pavojaus signalų šaltinius, kol Triukšmas-mažėja tarifas.
Lyginamosios saugos funkcijos
Renkantis paslaugų teikėją padeda skaidrumas, todėl iš pirmo žvilgsnio lyginu pagrindines funkcijas. Svarbūs kriterijai yra ugniasienės, DDoS apsauga, atsarginių kopijų darymo dažnumas, kenkėjiškų programų skenavimas ir prieigos apsauga su 2FA/VPN/IAM. Ieškau aiškaus atkūrimo laiko ir audito įrodymų. Toliau pateikiame Lentelė Apibendrinu tipines funkcijas, kurių tikiuosi iš prieglobos parinkčių. Taip sutaupau laiko, kai Vertinimas.
| Teikėjas | Ugniasienė | DDoS apsauga | Kasdienės atsarginės kopijos | Kenkėjiškų programų skenavimas | Prieigos saugumas |
|---|---|---|---|---|---|
| Webhosting.com | Taip | Taip | Taip | Taip | 2FA, VPN, IAM |
| Teikėjas B | Taip | Pasirinktinai | Taip | Taip | 2FA |
| Teikėjas C | Taip | Taip | Pasirinktinai | Pasirinktinai | Standartinis |
Man labiau patinka Webhosting.com, nes funkcijos darniai sąveikauja visais lygmenimis, o atkūrimas išlieka planuojamas. Kiekvienas, kuris mato panašius standartus, padarys tvirtą Pasirinkimas.
Praktinė taktika: ką tikrinu kasdien, kas savaitę, kas mėnesį
Kasdien operatyviai taisau sistemas, tikrinu svarbius žurnalus ir tikrinu nepavykusių prisijungimų modelius. Testuoju kassavaitinį atkūrimą, diegiu etapais ir peržiūriu WAF ir ugniasienių taisykles. Kas mėnesį keičiu raktus, užrakinu senas paskyras ir tikrinu administratorių MFA. Taip pat tikrinu CSP / HSTS, lyginu konfigūracijos nukrypimus ir dokumentais patvirtinu pakeitimus. Tai nuosekliai Įprasta išlaiko situaciją ramią ir stiprina Atsparumas prieš incidentus.
Paslapčių ir raktų valdymas
Tokias paslaptis kaip API raktai, sertifikatų raktai ir duomenų bazių slaptažodžiai saugau griežtai už repozitoriumų ir bilietų sistemų ribų. Juos saugau Slaptoji parduotuvė su audito žurnalais, smulkiai apibrėžtomis taisyklėmis ir trumpais gyvavimo laikotarpiais. Vaidmenis susieju su paslaugų paskyromis, o ne su žmonėmis, rotacija yra automatizuota ir vyksta iš anksto. Duomenims naudoju Vokų šifravimasPagrindiniai raktai yra KMS, o duomenų raktai yra atskiri kiekvienam klientui arba duomenų rinkiniui. Programos skaito paslaptis paleidimo metu saugiais kanalais; konteineriuose jos atsiduria tik atmintyje arba kaip laikini failai su ribojamomis teisėmis. Taip sumažinu švaistymą ir greičiau aptinku piktnaudžiavimo prieigą.
CI/CD saugumas ir tiekimo grandinė
Saugau kūrimo ir diegimo vamzdynus kaip gamybos sistemas. Vykdytojai veikia atskirai ir gauna tik Mažiausia privilegija-tokenų ir trumpalaikių artefaktų leidimų. Prikabinu priklausomybes prie patikrintų versijų, sukuriu SBOM ir nuolat skenuoti vaizdus bei bibliotekas. Prieš paleidžiant versiją, paleidžiu SAST / DAST ir vienetinius bei integracinius testus, o bandomieji testai atitinka gamybinius. Atlieku diegimą Mėlyna/žalia arba kaip "kanarėlė" su greito atšaukimo galimybe. Pasirašyti artefaktai ir patikrintas kilmė užkerta kelią manipuliacijoms tiekimo grandinėje. Kritiniams žingsniams reikalinga duombazinė kontrolė; "break-glass" prieigos yra registruojamos ir ribojamos laike.
Konteinerių ir orkestratorių saugumas
Konteinerius kuriu minimaliai, be apvalkalo ir kompiliatoriaus, ir juos paleidžiu be šaknų su seccomp, AppArmor/SELinux ir tik skaitymui skirtomis failų sistemomis. Pasirašau atvaizdus ir patikrinu, ar jie atitinka gaires prieš ištraukiant. Orkestratoriuje užtikrinu Tinklo politika, išteklių apribojimus, tik atminties paslaptis ir ribojamąją priėmimo politiką. Administratoriaus sąsajas uždaromos už VPN ir IAM. Kad duomenys būtų stabilūs, juos atskiriu į atskirus tomus su momentinių kopijų ir atkūrimo procedūromis. Taip išlaikomas mažas sprogimo spindulys, net jei pažeidžiamas modulis.
Duomenų klasifikavimas ir šifravimas ramybės būsenoje
Klasifikuoju duomenis pagal jautrumą ir apibrėšiu jų saugojimą, prieigą ir Šifravimas. Duomenis šifruoju ramybės būsenoje tomo arba duomenų bazės lygmeniu, raktai yra atskiri ir kintantys. Duomenų kelias taip pat lieka užšifruotas viduje (pvz., TLS nuo DB iki programos), kad šoniniai judesiai negalėtų nieko matyti atviru tekstu. Žurnalams naudoju pseudonimiškumą, riboju saugojimą ir saugau neskelbtinus laukus. Trindamas duomenis remiuosi patikrinamais Ištrynimo procesai ir saugiai ištrinti duomenis iš keičiamųjų laikmenų. Tai leidžia derinti duomenų apsaugą su teismo ekspertizės galimybėmis nepažeidžiant atitikties reikalavimų.
Kelių klientų galimybė ir izoliavimas prieglobos sistemoje
Padalytoms aplinkoms aš išskiriu Klientai griežtai: atskiri "Unix" naudotojai, chroot/konteinerių apribojimai, atskiri PHP/FPM baseinai, specialios DB schemos ir raktai. Norėdamas išvengti triukšmingų kaimynų, riboju išteklius naudodamasis cgrupėmis ir kvotomis. Galiu keisti administratoriaus kelius ir WAF taisykles kiekvienam klientui, o tai padidina tikslumą. Kiekvieno kliento kūrimo ir diegimo keliai išlieka atskiri, artefaktai pasirašomi ir patikrinami. Tai reiškia, kad saugumo situacija išlieka stabili, net jei atskiras projektas tampa pastebimas.
Pažeidžiamumų valdymas ir saugumo testai
Aš paleidžiu rizika grindžiamas . Pataisų programa: pirmenybę teikiu kritinėms spragoms, kurios aktyviai eksploatuojamos, priežiūros langai yra trumpi ir nuspėjami. Nuolat atliekami kompiuterio, konteinerio ir priklausomybių patikrinimai; rezultatus susieju su inventoriumi ir poveikiu. Išnykusi programinė įranga pašalinama arba izoliuojama, kol bus prieinamas pakaitalas. Be automatinių testų, reguliariai planuoju Pentest-ciklai ir patikrinkite išvadas, ar jas galima pakartoti ir panaikinti. Taip sutrumpinamas taisymo laikas ir išvengiama regresijos.
Reagavimas į incidentus ir teismo ekspertizė
Skaičiuoju įvykio minutes: Apibrėžiu Veiklos knygos, vaidmenys, eskalavimo lygiai ir ryšių kanalai. Pirmiausia apribojimas (izoliavimas, žetonų atšaukimas), tada įrodymų išsaugojimas (momentinės nuotraukos, atminties išrašai, žurnalų eksportas), po to valymas ir pakartotinis paleidimas. Žurnalai nekeičiamai versijuojami, kad grandinės išliktų atsparios. Kas ketvirtį praktikuoju tokius scenarijus kaip išpirkos reikalaujančios programos, duomenų nutekėjimas ir DDoS, kad įsitikinčiau, jog turiu tinkamas priemones. Atliekami poataskaitiniai tyrimai, kurių metu aiškiai nustatomos priežastys ir Gynybos priemonės lemia ilgalaikį pagerėjimą.
Atitiktis, duomenų apsauga ir įrodymai
Dirbu pagal aiškias TOMs ir pateikite įrodymų: Turto inventorius, pataisymų istorija, atsarginių kopijų žurnalai, prieigos sąrašai, pakeitimų žurnalai. Duomenų vieta ir srautai dokumentuojami, užsakymų tvarkymas ir subrangovai yra skaidrūs. Į architektūrinius sprendimus įtraukiamas privatumas pagal dizainą: Duomenų minimizavimas, tikslo apribojimas ir saugūs numatytieji nustatymai. Reguliarūs auditai tikrina veiksmingumą, o ne popierizmą. Ištaisau nukrypimus, sudarydamas veiksmų planą ir nustatydamas terminą, kad brandos lygis akivaizdžiai padidėtų.
Verslo tęstinumas ir geografinis atsparumas
Prieinamumas I plan with RTO/RPO-tikslai ir tinkamos architektūros: daugialypė AZ, asinchroninė replikacija, DNS failover su trumpais TTL. Svarbiausios paslaugos veikia nereikalingai, būsena atskirta nuo skaičiavimų, kad galėčiau keisti mazgus neprarasdamas duomenų. Kas šešis mėnesius išbandau avarijos padarinių šalinimą nuo pradžios iki galo, įskaitant raktus, paslaptis ir Priklausomybės pvz., paštas ar mokėjimas. Spartinančioji atmintinė, eilės ir idempotencija apsaugo nuo neatitikimų perjungimo metu. Tai reiškia, kad operacijos išlieka stabilios, net jei sugenda zona ar duomenų centras.
Trumpai tariant: sluoksniai uždaro tarpus
Aiškiai struktūrizuotas sluoksnių modelis užkerta kelią daugeliui pavojų dar prieš jiems atsirandant, apriboja poveikį kompiuteriui ir filtruoja atakas programėlėje. Nustatau prioritetus: pirmiausia - perimetro taisyklės, atidžiai valdomos kompiuterio apsaugos priemonės, prižiūrimos WAF politikos ir tikrinamos atsarginės kopijos. Nulinis pasitikėjimas neleidžia judėti trumpai, IAM užtikrina švarią prieigą, stebėsena teikia signalus realiuoju laiku. Su keliais, gerai išmoktais Procesai Užtikrinu išmatuojamą prieinamumą ir duomenų vientisumą. Jei nuosekliai įgyvendinsite šiuos veiksmus, pastebimai sumažinsite trikdžių ir apsaugosite savo verslą. Interneto projektas tvarus.
