ЛЕСНИ МЕРКИ ЗА СИГУРНОСТ В ОБЛАКА

Сигурността е основен фактор в управлението на всеки един проект в областта на информационните технологии. Новите предизвикателства пред технологичните компании изискват да подготвим инфраструктурата си на всички нива – от крайните устройства на потребителите ни чрез антивирусен софтуер до основната платформа на бизнеса – онлайн магазина чрез набор от решения за сигурност. Не трябва да разчитаме на късмета и убеждението, че сме твърде малка цел, за да представляваме интерес за хакерите. В днешно време кибератаките са вече автоматизирани и целят по-голям брой компрометирани системи без значение от размера. А това означава, че все повече малки проекти ще бъдат засегнати, защото не са повишавали нивото си на защита в продължение на години. Едно от предимствата на облачните услуги в това отношение е, че част от сигурността на услугата е делегирана на клауд-доставчика. Той осигурява DDOS защита, следи за съмнителни активности в мрежата около сървърите и осигурява защита на физическо ниво чрез ограничаване и контролиране на достъпа до центъра му за данни. Ако приемете, че с това се неутрализират 90% от рисковете за услугата и повече сигурност не Ви е нужна, не е  необходимо да правите нищо повече. В случай, че желаете да намалите още риска, ще трябва и Вие да вземете предпазни мерки за частта от услугата, която контролирате.

За съжаление сигурността винаги е за сметка на  определени удобства, от които потребителят се лишава. Сложността на паролите означава повече усилия да се запомнят или да се организира съхранението им. Криптографските ключове означават повече технически умения и време за конфигурация. Двуфакторното удостоверяване означава допълнителни действия, които е необходимо да се извършат, за да се достъпи системата. И трите изброени примера изискват от потребителите да се лишат от лекотата на влизането само с кликането на един бутон в дадено приложение в замяна на по-висока сигурност. Балансът между сигурност и удобство обаче все повече натежава на страната на сигурността. Постепенно с времето, хората започват да привикват към допълнителните мерки. А и когато броят на потребителите на системата е малък, усилията по укрепването ѝ не са толкова големи. Така че е време да оставите оправданията настрана и да проверите  какво можете да направите, за да се повишите сигурността на Вашия клауд-сървър.

  • Подсигурете достъпа до клиентската зона. Клиентската зона е системата, която се предоставя от доставчика на клауд услугата на клиента. Там клиентът може да следи потреблението си, да наблюдава показателите на сървъра и дори да го достъпва през конзола. Тези функции са достатъчни, за да бъдат сътворени куп пакости, ако някой се добере до Вашата клиентска зона. Затова е желателно да я подсигурите. Първото, което е необходимо да направите освен достатъчно сложната парола, е да активирате двуфакторното удостоверяване за клиентската си зона. Благодарение на него, дори някой да проникне в акаунта Ви, той няма да може да смени паролата Ви в системата ако няма достъп и до имейл кутията Ви. 
  • В случай, че е приложимо, ограничете достъпа до клиентската зона само за определени IP адреси – например този от офиса Ви и този от вкъщи. Тази опция е достъпна през графичния интерфейс в самата клиентската зона.
  • Поддържайте информацията и контактите си в клиентската зона актуални. Чрез тях, ние като доставчик можем да Ви идентифицираме като собственик на даден сървър. Така дори да загубите контрол на акаунта си поради някаква причина, ще можете да се удостоверите като собственик на базата на въведената информация.
  • Настройте защитната  стена (firewall) – можете да го направите както на самия сървър, така и от клиентската си зона, чрез графичен интерфейс. Добрата практика изисква да ограничите по подразбиране всички портове и да разрешите изрично само тези, които са необходими. За уеб-сървър например оставете отворени 80 и 443. Не забравяйте да оставите отворен и порта си за административен достъп, защото иначе ще се заключите извън сървъра.
  • Подсигурете крайните устройства – поддържайте устройствата, от който достъпвате сървъра си – компютри или смартфони, с актуализиран софтуер и с налична антивирусна система.
  • Подсигурете SSH достъпа си – използвайте различен от стандартния 22-ри порт, SSH ключове вместо пароли, времеви лимити на връзката, ограничен брой опити за логване, списъци с потребителите, които имат право на SSH достъп, както и актуален списък на IP адресите, които ще достъпват сървъра по този протокол. Обърнете специално внимание на SSH, тъй като това е основният обект на атака и първото, което хакерите ще опитат да компрометират.
  • Подсигурете RDS – в случай, че ползвате RDP свързаност, използвайте сложни пароли, Windows Firewall конфигурация със зададени определени IP адреси, ограничете броя опити за логване, сменете стандартния порт на услугата, актуализирайте редовно системата срещу уязвимости със съответните обновления от Microsoft, инсталирайте RDP Gateway сървър за по лесен контрол, активирайте auditing функциите на Windows, за да следите подозрителните активности около сървъра Ви.

Изброените възможности нямат претенцията да са изчерпателни, а само да дадат насоки на търсенията Ви как да укрепите услугите си. Необходимостта от укрепването им отразява тенденцията на засилени атаки срещу организациите и крайните потребители в Интернет. С всяка следваща година киберпрестъпността и многобройни обикновени любители измислят нови схеми и пробват нови методи и вектори на атаки, за да пробият най-уязвимите от милиардите активни услуги в мрежата. За да не се превърнете в случайна жертва на тези атаки е необходимо най-вече да имате късмет – дори големите не са защитени от пробив. За да помогнете на късмета си обаче, е достатъчно да започнете с малко – с едно обикновено двуфакторно удостоверяване вече ще сте с едни гърди пред редица други потребители, които не са активирали дори това. Ако на следващ етап ограничите IP адресите, които могат да достъпват административно услугата Ви, ще сте предотвратили вероятно 95% от опасността някой да придобие контрол над сървъра. А по нататък опциите са многобройни и зависят от това каква стратегия приложите. По отношение на сигурността на клауд-услугата Ви, изхождайте от принципа, че превенцията трябва да е в основата на Вашите действия. А превенцията означава да обмислите и евентуално да предприемете мерки дори, когато на пръв поглед е все още рано.

Павел Недялков

Павел Недялков

Павел е Мениджър Бизнес Развитие в Делта.БГ. Има 15 годишен опит в телекомуникациите и е работил в редица международни технологични компании. Когато не подготвя оферти, пише статии, чете за нови технологии или кръстосва планинските пътеки.