ODPOVĚDNOST PRO ZÁKAZNÍKY ŘÍZENÝCH PROVOZŮ
Abychom zajistili, že Rackspace bude mít v případě potřeby přístup k vašemu serveru, žádáme vás, abyste neměnili následující konfigurace, protože zvažujete osvědčené bezpečnostní postupy:
-
Při připojování k vašemu serveru se podpora Rackspace přihlásí jako uživatel rack pomocí Připojení ke vzdálené ploše na veřejnou IP adresu přes port 3389.
-
Přestavba stávajících serverů nebo sestavení nového serveru ze snímku vyžaduje, aby byla povolena přihlášení správce a port 445 nebyl blokován v bráně Microsoft® Windows®.
Pokud musíte tyto hodnoty změnit, kontaktujte administrátora v Rackspace, aby provedl změny způsobem, který neovlivní naši schopnost poskytnout vám Fanatický zážitek ®.
Tento článek poskytuje některé obecné doporučené postupy zabezpečení, které je třeba vzít v úvahu při nastavování serveru Microsoft Windows, který komunikuje s veřejným Internetem. Ačkoli se tyto osvědčené postupy vztahují obecně na jakýkoli server, tento článek se konkrétně zabývá servery Rackspace Public Cloud se systémem Windows.
Použít místní pravidla brány firewall
Ve výchozím nastavení nemají servery veřejného cloudu Rackspace zařízení brány firewall. Pro servery, které komunikují s veřejným internetem bez zařízení brány firewall, je brána firewall systému Windows jedinou ochranou mezi prostředky vašeho serveru a vašimi soukromými daty a kýmkoli s přístupem k internetovému připojení.
Zakažte co nejvíce pravidel na bráně firewall. Deaktivace pravidel znamená, že je otevřeno méně portů a naslouchá přes veřejné rozhraní, což omezuje vystavení serveru každému, kdo se k němu pokouší získat přístup.
U portů, které musí být otevřené, omezte přístup k serveru přidáním IP adres na seznam povolených v těchto konkrétních pravidlech. Přidejte IP adresu z místního domácího nebo kancelářského počítače na seznam povolených, i když váš poskytovatel internetových služeb (ISP) poskytuje dynamické veřejné IP adresy, které se v průběhu času mění. Podle potřeby můžete změnit pravidla brány firewall z ovládacího panelu cloudu tak, že se vzdáleně přihlásíte k serveru přes konzolu a přidáte novou IP adresu.
Omezením přístupu k serveru prostřednictvím seznamu povolených IP adres můžete zajistit, že uživatelé, kteří potřebují přístup k serveru, jej budou mít, ale ti, kteří jej nemají, budou z těchto otevřených portů blokováni. Nejtypičtější porty, které je třeba otevřít v bráně firewall systému Windows pro webhosting na cloudovém serveru, jsou následující:
| Port | Služba |
|---|---|
| 80 HTTP | Weby IIS nebo webová aplikace |
| 443 HTTPS | Zabezpečte weby nebo webové aplikace IIS pomocí protokolu SSL |
Doporučujeme uzamknout následující porty prostřednictvím seznamu povolených IP adres na veřejném rozhraní, abyste omezili útoky hrubou silou nebo pokusy o zneužití proti běžně pojmenovaným účtům nebo službám na serveru:
| Port | Popis |
|---|---|
| 3389 | Připojení ke vzdálené ploše pro vzdálené přihlášení k serveru |
| 21 FTP | Pro bezpečný přenos dat mezi místními zeměpisnými polohami a cloudovým serverem |
| 990 FTPS (Windows) | Pro bezpečný přenos dat mezi místními zeměpisnými polohami a cloudovým serverem s certifikátem SSL |
| 5000–5050 FTP | Pasivní porty pro FTP komunikaci |
| 1433 SQL | Výchozí port používaný pro komunikaci SQL |
| 53 DNS | Výchozí port používaný pro požadavky DNS |
Zvažte, co sdílíte
Zvažte, jaká data jsou dostupná ostatním prostřednictvím sdílení souborů. Nedoporučujeme povolovat sdílení souborů Windows, protože porty otevřené na bráně firewall (porty 445 a 139) vystavují server nechtěným pokusům o připojení.
Někteří zákazníci používají své servery k hostování softwaru back-office, jako je QuickBooks®, PeachTree, Microsoft Office® (Outlook® pro relace vzdálené plochy) nebo jiná softwarová řešení třetích stran. Někdy chtějí zákazníci nakonfigurovat namapované síťové jednotky, aby jim umožnili snadno přesouvat data z místních počítačů na cloudový server pomocí písmene jednotky na místním počítači. Tento postup však nedoporučujeme. Váš server je zabezpečen pouze tak, jako nejslabší heslo.
Kromě toho buďte opatrní ohledně softwaru, který uživatelům umožňujete stahovat a instalovat na váš server. Každý nainstalovaný softwarový balík zvyšuje vystavení vašeho serveru útokům.
Zásady hesel
Bez ohledu na to, zda jste cloudovému serveru zřídili hardwarovou bránu firewall, nebo ne, jak bylo uvedeno výše, váš server je tak bezpečný, jako nejslabší heslo, které k němu má přístup. Postupujte podle těchto tipů pro hesla:
-
Používejte silná hesla o délce alespoň 12 až 14 znaků, která obsahují velká a malá písmena, čísla a speciální znaky (například !, #, $ a %). Přidělování jednoduchých hesel je extrémně nebezpečné, zejména pro cloudový server, který je dostupný přes veřejný internet.
-
Nastavte datum vypršení platnosti hesla každého uživatele. Ačkoli je nepohodlné si pravidelně pamatovat nové heslo, tato praxe může zvýšit zabezpečení vašich dat.
Protože naše procesy automatizace po sestavení závisí na výchozím uživatelském účtu správce, nedoporučujeme toto uživatelské jméno měnit na vašich cloudových serverech se systémem Windows.
Buďte opatrní, kdo má přístup k serveru prostřednictvím účtu správce. Pokud více uživatelů potřebuje přístup správce k serveru, vytvořte více účtů s přístupem správce. Je snazší sledovat uživatele v souborech protokolu hledáním konkrétního uživatelského účtu, než se pokoušet dešifrovat více záznamů souboru protokolu pod účtem správce.
Více instancí Event Id 4625 v protokolu zabezpečení nebo Event Id 1012 v SystemLog může znamenat, že se někdo pokouší nabourat do vašeho serveru, protože tyto události souvisejí s neúspěšnými pokusy o přihlášení.
Pro uživatele, kteří se přihlašují přes Připojení ke vzdálené ploše (RDC), zajistěte, aby se odhlásili ze serveru, aby se uvolnily všechny použité prostředky, místo toho, aby jednoduše zavírali okna RDC, takže relace zůstane na serveru otevřená.
Active Directory
Obvykle nedoporučujeme spouštět službu Active Directory na cloudovém serveru, protože jedinou ochranou před vniknutím je brána firewall systému Windows a služba Active Directory zavádí problémy do prostředí cloudového serveru. Active Directory se obecně lépe používá v prostředí dedikovaných serverů, kde jsou servery umístěny za fyzickými firewally a připojeny přes VPN tunelování přes toto firewallové zařízení.
Rackspace podporuje virtuální privátní síť (VPN), pouze pokud je přes hardwarový firewall v řešení zvaném RackConnect. Je snazší implementovat toto nastavení fyzického firewallu před vytvořením serverů, protože v době, kdy byl napsán tento článek, je proces, který spojuje firewall a servery, během procesu sestavování automatizován. Fyzické brány firewall nejsou poskytovány tak rychle jako cloudové servery a je nutné je vyžádat prostřednictvím našich hybridních týmů. Další informace o fyzických bránách firewall a RackConnect najdete na https://www.rackspace.com/cloud-connectivity/rackconnect/.
Pokud službu Active Directory nainstalujete na cloudový server, doporučujeme spustit dva řadiče domény pro případ, že by jeden selhal (imaging pro řadiče domény momentálně není k dispozici). Doporučujeme také uzamknout DNS, abyste zabránili útokům na zesílení DNS.
Instance SQL Server
U serverů, na kterých běží Microsoft SQL Server®, zablokujte SQL port 1433, aby naslouchal pouze přes interní rozhraní, nejlépe naslouchal pouze připojením ze seznamu známých IP adres jiných serverů, které potřebují přístup k SQL Serveru na serveru. Můžete povolit SQL portu 1433 naslouchat přes veřejné rozhraní, ale toto pravidlo musíte omezit pouze na IP adresy počítačů, kde se vývojáři připojují k databázím na serveru.
Pokud tato připojení k serveru neomezíte, port 1433 bude odhalen a externí hackeři budou pokusit se o útok hrubou silou na server přes tento port. Tyto typy útoků způsobují vysoký provoz v síti, zpomalují výkon serveru a dokonce způsobují výpadky, pokud dojde k uzamčení důležitého účtu. Omezením přístupu k tomuto portu tyto problémy zmírníte dříve, než začnou.
U serverů s edicemi SQL Server Standard nebo SQL Server Web doporučujeme nakonfigurovat plány údržby tak, aby se data z živých databázových souborů ukládala do plochých souborů, které můžete zálohovat ze serveru, a aby se zálohy vyčistily, aby nezaplnily váš pevný disk.
Aktualizace systému Windows
Ujistěte se, že jsou povoleny aktualizace systému Windows, a dbejte na stav svého serveru – ujistěte se, že je váš operační systém (OS) Windows opraven. Opravné úterý, které se v Severní Americe vyskytuje každé druhé úterý v měsíci, je dnem, kdy společnost Microsoft pravidelně vydává opravy zabezpečení. Zákazníci se musí rozhodnout, jak nejlépe implementovat patchingstrategii, která udrží jejich servery aktuální. Ve výchozím nastavení cloudové servery Rackspace kontrolují aktualizace každý den mezi 2:00 a 4:00.
Zálohy serveru
Nastavte nějaký typ plánu obnovy po havárii. Jednou z možností, kterou nabízíme, je vytvářet obrázky cloudserveru každou noc a zapisovat je do vašich kontejnerů Cloud Files s výchozí retencí sedm dní. Pořídíte snímek serveru a uložíte obrázek do Cloud Files pro použití při vytváření nových instancí serveru nebo přestavbě stávajícího serveru z tohoto obrázku.
Nabízíme také zálohování na úrovni souborů prostřednictvím cloudových záloh. Nedoporučujeme zálohovat celý C: disk, protože živé soubory, které jsou uzamčeny, způsobují, že se úloha zálohování dokončí s chybami. Systémové soubory Windows jsou navíc obsaženy v námi poskytnutých základních obrázcích nebo v jakýchkoli vlastních obrázcích pořízených ze serverů, takže tato data nemusíte zálohovat každý den. Doporučujeme zálohovat C :\inetpub (IIS) adresář a jakákoli další uživatelská data, která je třeba zálohovat. Pokud jste navíc nakonfigurovali plány údržby serveru SQL Server tak, aby ukládaly živá data do plochých souborů pro zálohování, doporučujeme, abyste do zálohy zahrnuli také tyto adresáře.
Zkontrolujte úlohy zálohování a ujistěte se, že byly úspěšně dokončeny a že zálohy jsou platné. Vytvořte novou instanci serveru z bitové kopie, abyste zajistili, že je bitová kopie platná, a obnovte soubor z Cloud Backups, abyste ověřili, že zálohovaná data byla obnovena.
Poznámka :Ne všechny servery mohou využívat Cloud Images. Konkrétně nemůžete obrazové servery, které používají Boot ze svazku konfigurace. Kromě toho, přestože obraz serveru může být užitečný, obrazy by nikdy neměly být považovány za jediný zdroj zálohy, protože proces obrazu neověřuje integritu souboru. Rackspace důrazně doporučuje zálohování na úrovni souborů pro vaše nejdůležitější data. Proto byste měli zvážit nejlepší řešení obnovy po havárii pro vaši firmu. Rozdíly mezi obrazy serveru a zálohováním do cloudu si můžete prohlédnout v tomto článku:Cloudové zálohování Rackspace vs. zálohování obrázků cloudového serveru
Kód
Poslední útočnou plochou vystavenou internetu je kód. Vy a vaši vývojáři musíte zajistit, aby váš kód vynucoval řádnou autentizaci a autorizaci. Neměli byste například povolit spouštění webové aplikace s oprávněními na úrovni správce. Autorizace souborů by měla být pečlivě definována a všechny vstupy v aplikaci by měly mít co nejlepší ověření, aby se zabránilo hackerům ve zneužití webové aplikace a získání kontroly nad serverem.
Následující weby poskytují informace o zlepšení zabezpečení ASP.NET:
- https://www.asp.net/web-forms/pluralsight
- https://www.iis.net/configreference/system.webserver/security/requestfiltering
- https://blogs.iis.net/wadeh/archive/2008/12/18/filtering-for-sql-injection-on-iis-7-and-later.aspx
Závěr
V závislosti na případu použití mohou mít zákazníci další specifičtější potřeby, které je třeba řešit při využití naší služby cloudových serverů ke splnění jejich potřeb hostování. Tato obecná doporučení jsou však dobrým začátkem při zvažování zabezpečení při vytváření serverů Windows, cloudu nebo jinak.