Перед началом использования приложений, веб-сервисов и баз данных на только что купленном и настроенном сервере, сисадмин должен обеспечить надежную защиту данных на нем. Поэтому всякое профессиональное администрирование серверов перед их полноценным запуском в работу включает в себя принятие 7 ключевых мер безопасности.

SSH-ключи

SSH – это два криптографических ключа, которые могут применяться для проверки подлинности юзера. Часто их используют как удобную и более безопасную альтернативу аутентификации паролем.

Такими ключами можно зашифровать любой вид аутентификации и полностью избавиться от необходимости запоминания и введения множества паролей, что многократно упростит жизнь администратору и усложнит злоумышленникам. К тому же, криптографические ключи располагают значительно большим количеством битов, в отличие от обычного пароля, а потому их взлом превращается в практически нерешаемую задачу. Кроме того, реализация этого способа шифрования достаточно легка для любого опытного сисадмина.

Фаервол

Контролирует доступ к сети, фильтрует сетевой трафик, ограничивает доступ или производит блокировку к сетевым портам. Применение тщательно настроенного фаервола позволяет обеспечить высокую степень защиты данных, поскольку он заблокирует доступ к серверу для всего, что не попало в список исключения программы. Особенно он важен для тех компонентов сервера, которые могут быть уязвимы к хакерским атакам.

Поиск необходимого фаервола и его тонкая настройка под конкретные нужды сервера отнимает у системного администратора не более получаса.

VPN

VPN необходима для создания хорошо защищенного соединения между сервером (серверами) и удаленными компьютерами. Если правильно настроить VPN, то она обладает таким же уровнем приватности и безопасности, что и защищенная локальная сеть. Также она весьма гибка, что позволяет настроить программу под любые службы и приложения, если требуется, чтобы их трафик осуществлялся по более безопасному виртуальному соединению.

Реализация этого способа соединения настолько проста, что ее сможет выполнить даже первокурсник любого компьютерного ВУЗа.

Шифрование PKI и SSL/TLS

Это несколько систем, необходимых для создания сертификатов безопасности и управления этими сертификатами. Она используются с целью идентификации юзеров и шифрования данных.

Применение этих систем на сервере позволяет в пределах сети создавать зашифрованный трафик и идентифицировать пользователей, что позволяет избежать «атаки посредника», которой некоторые хакеры пользуются для подмены сообщений или перехвата сетевого трафика.

Внедрение подобных систем – это нетривиальная задача, которая потребует больших временных затрат на начальном этапе и будет отнимать время системного администратора в дальнейшем. Но для крупных компаний, стремящихся обезопасить свои данные, данный шаг является необходимым на определенных этапах развития.

Базовый аудит безопасности

Базовый аудит безопасности – это процедура, которые позволяет проанализировать текущий уровень безопасности серверов и выявить места, наиболее уязвимые для атак. Результаты этой процедуры позволят правильно настроить операционную систему, брандмауэр веб-сервисы и приложения на сервере, что сделает их более безопасными.

Базовый аудит безопасности – это довольно легкая процедура, описание которой можно найти на любом профильном форуме и даже в обучающих пособиях для системных администраторов.

Аудит файлов и система для обнаружения вторжений

Такой аудит анализирует текущее состояние файловой системы и сравнивает их с результатами предыдущего анализа, обнаруживая и отмечая все изменения. Это весьма полезная процедура, которая позволяет убедиться в том, что файлы на сервере не подвергались несанкционированным изменениям.

Система обнаружения вторжений – это специальное ПО или отдельные его элементы, которые могут использовать аудит файлов, как самый эффективный способ обнаружения несанкционированных изменений в файловой системе, что может являться признаком взлома.

Настройка такого аудита и внедрение его на сервер – это трудоемкий и сложный процесс, особенно на начальном этапе. Также он требует много ручной работы в будущем, но зато многократно повышает защищенность сервера.

Изолированная среда выполнения

Эта мера подразумевает создание выделенного пространства под запуск любого приложения на сервере, по сути, создавая отдельный сервер, под определенные компоненты системы. Таким образом, любые угрозы, исходящие из приложений, разделенных и выполненных в своей собственной изолированной среде, не будут угрожать всей системе в целом.

Сложность реализации этой меры безопасности зависит от типа выбранной оболочки и навыков системного администратора.