7 مورد از اقدامات امنیتی برای محافظت از سرورهای شما

هنگام راه اندازی زیرساخت های cloud ، به روزرسانی برنامه ها اغلب دغدغه اصلی شما خواهد بود. با این حال ، عملکرد صحیح برنامه های کاربردی شما بدون پرداختن به نیازهای امنیتی زیرساخت های تان می تواند عواقب مخربی را در پی داشته باشد ، بنابراین بهتر است که این مورد را به عنوان بخشی از راه اندازی اولیه زیرساخت خود در نظر بگیرید.
در این راهنما ، ما برخی از شیوه های اساسی امنیتی را برای پشتیبانی از شما در پیکربندی و تنظیم زیرساخت ها ، انجام خواهیم داد.
کلیدهای SSH
SSH یا همان پوسته ایمن، پروتکل رمزگذاری شده است که برای اداره و برقراری ارتباط با سرور مجازی ها استفاده می شود. هنگام کار با یک سرور مجازی ، احتمالاً بیشتر وقت خود را در یک بخش ترمینال متصل به سرور مجازی خود از طریق SSH می گذرانید. گزینه های امن تر برای ورود به سیستم مبتنی بر رمز عبور ، کلیدهای رمزنگاری SSH روشی مطمئن برای ورود به سرور مجازی شما فراهم می کنند و برای همه کاربران توصیه می شود.
با استفاده از کلیدهای SSH ، یک جفت کلید خصوصی و عمومی به منظور احراز هویت ایجاد می شود. کلید خصوصی توسط کاربر مخفی و ایمن نگه داشته می شود ، در حالی که می توان کلید عمومی را به اشتراک گذاشت.

برای پیکربندی احراز هویت کلید SSH ، باید کلید عمومی کاربر را روی یک سرور مجازی در یک دیرکتوری مخصوص قرار دهید. هنگامی که کاربر به سرور مجازی متصل میشود، سرور مجازی از شما می خواهد اثبات کنید که کلاینت دارای کلید خصوصی مرتبط است. کلاینت SSH برای تأیید اعتبار مالکیت، از کلید خصوصی استفاده می کند. سرور مجازی سپس به کلاینت اجازه می دهد بدون پسورد وصل شود. برای کسب اطلاعات بیشتر در مورد چگونگی عملکرد کلیدهای SSH ، مقاله ما درمورد درک فرآیند رمزگذاری و اتصال SSH را بررسی کنید.
کلیدهای SSH چگونه امنیت را تقویت می کنند؟
با SSH ، هر نوع تأیید هویت – از جمله تأیید گذرواژه – کاملاً رمزگذاری میشود. با این حال ، هنگامی که ورود به سیستم مبتنی بر رمز عبور مجاز است ، کاربران مخرب می توانند برای دستیابی به سرور مجازی ، خصوصاً با سرور مجازی هایی که دارای آدرس IP عمومی هستند ، بارها و بارها تلاش کنند. با داشتن قدرت محاسباتی مدرن ، می توان با خودکار کردن این فرآیند ها و امتحان رمزهای پی در پی پسورد درست را پیدا کرد.
تنظیم تأیید اعتبار کلیدی SSH به شما امکان می دهد تأیید هویت مبتنی بر گذرواژه را غیرفعال کنید. کلیدهای SSH به طور کلی تعداد بیشتری بیت های داده نسبت به رمز عبور دارند ، به این معنی که ترکیب های احتمالی بسیار بیشتری وجود دارد که یک حمله کننده مجبور به اجرای آن ها باشد. بسیاری از الگوریتم های کلید SSH توسط سخت افزار محاسباتی مدرن غیرقابل رکورد محسوب می شوند ، زیرا به مدت زمان زیادی برای اجرای همه حالت های قابل اجرا احتیاج دارند.
نحوه اجرای کلیدهای SSH
کلیدهای SSH روش پیشنهادی برای ورود از راه دور به هر سرور مجازی لینوکس است. یک جفت کلید SSH در دستگاه محلی شما ایجاد می شود و می توانید طی چند دقیقه کلید عمومی را به سرور مجازی های خود منتقل کنید.
برای کسب اطلاعات در مورد نحوه تنظیم کلیدها ، یکی از راهنماهای ما را در مورد SSH ، مانند نحوه تنظیم کلیدهای SSH در اوبونتو 20.04 را دنبال کنید. اگر هنوز هم احراز هویت مبتنی بر رمز عبور را میپسندید ، برای محدود کردن حدس های رمزعبور ، راهکاری مانند fail2ban را روی سرور مجازی های خود در نظر بگیرید.
فایروال ها
فایروال بخشی از نرم افزار است که کنترل می کند چه سرویس هایی در معرض شبکه قرار دارند. این به معنای سد کردن یا محدود کردن دسترسی به هر پورت به جز مواردی است که باید در دسترس عموم باشد.

در یک سرور مجازی معمولی ، خدمات متعددی به طور پیش فرض اجرا می شوند. اینها را می توان در گروههای زیر طبقه بندی کرد:
• خدمات عمومی که برای هر کسی از طریق اینترنت ، غالباً به صورت ناشناس ، قابل دسترسی است. نمونه آن سرور مجازی وب است که ممکن است به سایت شما دسترسی داشته باشد.
• خدمات خصوصی که فقط باید توسط گروه انتخابی از حسابهای مجاز یا از مکانهای خاص به آنها دسترسی پیدا کنید. یک مثال ممکن میتواند پنل کنترل بانک اطلاعاتی باشد.
• خدمات داخلی که فقط باید از درون خود سرور مجازی قابل دسترسی باشند ، بدون آنکه این سرویس را در معرض دید خارجی قرار دهند. به عنوان مثال ، ممکن است یک پایگاه داده باشد که فقط اتصالات محلی را می پذیرد.
فایروال ها می توانند اطمینان حاصل کنند که دسترسی به نرم افزار شما مطابق با مقوله های بالا با درجه های مختلف گرانولاریتی محدود شده است. خدمات عمومی می توانند برای همه باز و در دسترس قرار بگیرند و خدمات خصوصی براساس معیارهای مختلف از جمله انواع اتصال محدود شوند. خدمات داخلی می توانند برای دنیای خارج کاملاً غیرقابل دسترس شوند. برای پورت هایی که مورد استفاده قرار نمی گیرند ، دسترسی در اکثر پیکربندی ها کاملاً مسدود شده است.
فایروال ها چگونه امنیت را تقویت می کنند؟
فایروال ها بخش اساسی هر پیکربندی سرور مجازی هستند. حتی اگر خدمات شما خود دارای ویژگی های امنیتی باشند یا به رابط هایی که می خواهید روی آنها اجرا کنید محدود شده باشند ، یک فایروال به عنوان لایه محافظت بیشتر عمل می کند.
یک فایروال به درستی تنظیم شده ، دسترسی به همه چیز را به جز سرویس های خاصی که باید باز بمانند ، محدود می کند. قرار گرفتن در معرض تنها چند قطعه نرم افزار ، سطح حمله سرور مجازی شما را کاهش می دهد ، و مؤلفه هایی را که در معرض سوء استفاده قرار می گیرند ، محدود می کند.
نحوه اجرای فایروال ها
فایروال های بسیاری برای سیستم های لینوکس در دسترس هستند ، که برخی از آنها پیچیده تر از سایرین میباشند . به طور کلی ، راه اندازی فایروال فقط چند دقیقه طول می کشد و فقط در هنگام تنظیم اولیه سرور مجازی شما یا هنگام تغییر در آنچه در رایانه شما ارائه می شود ، باید این اتفاق بیفتد. در اینجا چند گزینه برای به روز رسانی و اجرا وجود دارد:
⦁ UFW ، یا فایروال غیر پیچیده ، به طور پیش فرض در برخی توزیع های لینوکس مانند اوبونتو نصب شده است. یک فایروال محبوب ، که می توانید در مورد آن در آموزش نحوه تنظیم فایروال با UFW در اوبونتو 18.04 بیشتر اطلاعات کسب کنید.
⦁ چگونه می توان فایروال را با استفاده از Iptables در Ubuntu 14.04 تنظیم کرد
⦁ نحوه نصب و پیکربندی فایروال سرور مجازی (CSF) در اوبونتو
شبکه های VPC
شبکه های Virtual Private Cloud (VPC) شبکه های خصوصی برای منابع زیرساختی شما هستند. شبکه های VPC ارتباط امن تری بین منابع برقرار می کنند زیرا رابط های شبکه از اینترنت عمومی و دیگر شبکه های VPC در Cloud غیرقابل دسترسی هستند.
چگونه شبکه های VPC امنیت را بالا میبرند
استفاده از شبکه های خصوصی به جای عمومی برای ارتباطات داخلی تقریباً همیشه ترجیح داده می شود ، زیرا شبکه های VPC به شما امکان می دهد گروه هایی از منابع را در شبکه های خصوصی خاص ایزوله کنید. شبکه های VPC فقط با استفاده از رابط های شبکه خصوصی خود از طریق شبکه داخلی به یکدیگر متصل می شوند ، این بدان معناست که ترافیک بین منابع شما از طریق اینترنت عمومی هدایت نمی شود که در آن ممکن است در معرض حمله یا رهگیری قرار گیرد. شبکه های VPC همچنین می توانند برای جداسازی محیط های اجرایی استفاده شوند.
علاوه بر این ، می توانید گیت های اینترنت را به عنوان تنها نقطه دسترسی بین منابع شبکه VPC و اینترنت عمومی خود تنظیم کنید و به شما امکان کنترل و دید بیشتری در ترافیک عمومی متصل به منابع خود می دهد.
نحوه اجرای شبکه های VPC
بیشتر ارائه دهندگان زیرساخت های cloud این امکان را به شما می دهند تا منابع خود را به یک شبکه VPC در داخل دیتاسنترهای خود اضافه کنید.
پیکربندی دستی شبکه خصوصی شما می تواند به پیکربندی پیشرفته سرور مجازی و دانش شبکه نیاز داشته باشد.
بازرسی سرویس
بخش عمده ای از امنیت شامل تجزیه و تحلیل سیستم های ما ، درک سطوح حمله موجود و قفل کردن مولفه ها به بهترین شکل ممکن است.
بازرسی سرویس (Service auditing) فرایندی است برای کشف سرویس هایی که روی سرور مجازی های زیرساخت شما اجرا می شوند. اغلب ، سیستم عامل پیش فرض برای اجرای برخی خدمات در هنگام بوت تنظیم می شود. نصب نرم افزار اضافی گاهی اوقات می تواند متعلقاتی را که به صورت خودکار شروع به کار می کنند به خود جلب کند.

بازرسی سرویس راهی است برای دانستن اینکه چه خدماتی روی سیستم شما اجرا می شود ، از کدام پورت ها برای ارتباط استفاده می کنند و پروتکل های پذیرفته شده چیست. این اطلاعات می تواند به شما در پیکربندی تنظیمات فایروال کمک کند.
بازرسی سرویس چگونه امنیت را تقویت می کند؟
سرور مجازی ها فرآیندهای بسیاری را برای اهداف داخلی و مدیریت کلاینت های خارجی شروع می کنند. هر یک از این موارد سطح حمله گسترده ای را برای کاربران مخرب نشان می دهد. هرچه سرویس های در حال اجرای بیشتری داشته باشید احتمال آسیب پذیری موجود در نرم افزار قابل دسترسی شما بالاتر است.
هنگامی که اطلاعات کافی درباره خدمات شبکه در حال اجرا در دستگاه خود داشتید ، می توانید شروع به تجزیه و تحلیل این سرویس ها کنید. برخی از سؤالاتی که برای هر یک از خود میپرسید عبارتند از:
• آیا این سرویس باید اجرا شود؟
• آیا این سرویس با رابط های شبکه ای اجرا می شود که نباید در آن اجرا شود ؟
⦁ آیا باید به یک IP اختصاص داده شود؟
• آيا قوانين فايروال من ایجاد شده اند تا ترافيك قانونی را به اين خدمات بدهد؟
• آیا قوانین فایروال من ترافیک غیرقانونی را مسدود می کند؟
• آیا من روشی برای دریافت هشدارهای امنیتی درباره آسیب پذیری برای هر یک از این خدمات دارم؟
هنگام پیکربندی هر سرور مجازی جدید در زیرساخت های شما این نوع بررسی سرویس یک روش استاندارد است. همچنین انجام بررسی های خدمات هر 6 ماه یکبار به شما کمک می کند تا هرگونه خدماتی که پیکربندی هایی آن ها ناخواسته تغییر کرده اند را پیدا کنید.
نحوه انجام ممیزی های سرویس
برای انجام یک ممیزی اولیه سرویس ، می توانید با استفاده از دستور netstat ببینید که کدام سرویس ها پورت را در هر رابط گوش می دهند. فرمان مثال که نام برنامه ، PID و آدرسهایی را که برای گوش دادن به ترافیک TCP و UDP استفاده می شود نشان می دهد به این شرح است:
⦁ $ sudo netstat -plunt
⦁
خروجی دریافت خواهید کرد که اینگونه میباشد:
Output
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 887/sshd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 919/nginx
tcp6 0 0 :::22 :::* LISTEN 887/sshd
tcp6 0 0 :::80 :::* LISTEN 919/nginx

ستونهای اصلی که مورد توجه شما هستند ستونهای نام Proto ، Local Address و PID / Program هستند. اگر آدرس 0.0.0.0 باشد ، خدمات در کلیه رابط های شبکه اتصالات را می پذیرند.
به روزرسانی های بدون نظارت
حفظ به روزرسانی در سرور مجازی می تواند ابزاری قدرتمند برای امنیت باشد. سرور مجازی های unpatched عامل اکثر ناسازگاری ها هستند ، اما به روزرسانی منظم می تواند از آسیب پذیری جلوگیری کند.
به روزرسانی های معمول به یک ادمین نیاز دارند تا به روز رسانی بسته های مختلف روی سرور مجازی را به صورت دستی بررسی و نصب کند. این کار می تواند وقت گیر باشد و ممکن است برخی از بروزرسانی های اصلی فراموش شوند یا از دست بروند. در مقابل ، به روزرسانی های بدون نظارت به سیستم اجازه می دهند تا اکثر بسته ها را به صورت خودکار بروزرسانی کنید.
چگونه به روزرسانی های بدون نظارت امنیت را تقویت می کنند؟
اجرای به روزرسانی های بدون نظارت سطح تلاش لازم برای ایمن نگه داشتن سرور مجازی شما و کوتاه کردن مدت زمانی که سرور مجازی شما در برابر یک اشکال شناخته شده آسیب پذیر است را کاهش می دهد. حتی با به روزرسانی های بسیار منظم ، اشکال زدایی در روزهای پنج شنبه یا جمعه به این معنی است که شما احتمالاً حداقل تا دوشنبه unpatched و آسیب پذیر خواهید بود.
در رابطه با بازرسی سرویس که قبلاً گفته شد ، انجام به روزرسانی خودکار می تواند قرار گرفتن در معرض حملات را به شدت کمتر کند و مدت زمان صرف شده برای حفظ امنیت سرور مجازی شما را کاهش دهد.
نحوه به روزرسانی های بدون نظارت
اکثر توزیعهای ر اکنون به روزرسانی های بدون نظارت را به عنوان گزینه ای میبینند. به عنوان مثال ، در اوبونتو یک ادمین می تواند این دستور را اجرا کند:
⦁ $ sudo apt install unattended-upgrades
⦁
برای اطلاعات بیشتر در مورد نحوه اجرای به روزرسانی های بدون نظارت ، راهنماهای مربوط به Ubuntu و Fedora را بررسی کنید.
توجه: این مکانیزم ها فقط نرم افزار به روزرسانی خودکار را از طریق مدیر بسته سیستم شما نصب می کنند. اطمینان حاصل کنید که هر نرم افزار اضافی که ممکن است در حال اجرا است (به عنوان مثال برنامه های وب) یا برای به روزرسانی های خودکار پیکربندی شده اند یا به صورت دستی و بطور مرتب چک می شوند.
غیرفعال کردن ایندکس های دیرکتوری
بیشتر سرور مجازی های وب به طور پیش فرض پیکربندی شده اند تا وقتی کاربر به دایرکتوری که فاقد فایل ایندکس است دسترسی پیدا میکند ، ایندکس های دیرکتوری را نمایش دهد. به عنوان مثال ، اگر می خواهید دایرکتوری به نام دانلودها در وب سرور مجازی خود و بدون پیکربندی اضافی ایجاد کنید ، همه فایل ها برای هر کسی که در دیرکتوری جستجو می کند قابل مشاهده است. برای بسیاری از موارد ، یک نگرانی امنیتی نیست ، اما بسیار محتمل است که چیزی محرمانه در معرض نمایش قرار گیرد. به عنوان مثال ، اگر می خواهید برای وب سایت خود دیرکتوری ایندکس را در سرور مجازی وب خود ایجاد کنید ، این دیرکتوری ممکن است حاوی فایل برای صفحه اصلی وب سایت شما و یک فایل پیکربندی شامل اعتبارات برای پایگاه داده backend وب سایت باشد. بدون غیرفعال کردن ایندکس های دیرکتوری ، هر دو فایل در پوشه برای هر کسی که دیرکتوری را سرچ می کند قابل مشاهده است.
چگونه غیرفعال کردن ایندکس دیرکتوری امنیت را افزایش می دهد؟
ایندکس های دیرکتوری اهداف قانونی دارند ، اما اغلب ناخواسته فایل ها را در معرض دید بازدید کنندگان قرار می دهند. غیرفعال کردن ایندکس های دیرکتوری به عنوان پیش فرض برای سرور مجازی وب شما خطر از دست دادن داده های تصادفی ، نشت یا بهره برداری را با ساختن فایل های دیرکتوری برای بازدیدکنندگان غیرفعال می کند. اگر بازدید کنندگان در دیرکتوری وجود داشته باشند ، بازهم می توانند به فایل ها دسترسی پیدا کنند ، اما غیرفعال کردن ایندکسینگ باعث می شود یافتن فایل ها به طور ناخواسته دشوارتر شوند.
چگونه ایندکس های دایرکتوری را غیرفعال کنیم
در اکثر موارد ، غیرفعال کردن ایندکس های دیرکتوری اضافه کردن یک خط به پیکربندی سرور مجازی وب شماست.
این آموزش حاوی دستورالعملهای عمیق در مورد چگونگی غیرفعال کردن ر های دیرکتوری برای چندین سرور مجازی وب محبوب است.
بکاپ گیری مکرر
اگرچه این ممکن است به عنوان یک نکته امنیتی به نظر نرسد ، بکاپ گیری می تواند در حفظ سیستم ها و داده های در معرض خطر و همچنین تجزیه و تحلیل چگونگی سازگاری سیستم برای شروع ، بسیار مهم باشد. به عنوان مثال ، اگر سرور مجازی شما با باج افزار به خطر بیفتد ، فقدان بکاپ ممکن است به این معنا باشد که تنها انتخاب شما پرداخت باج برای بازگرداندن اطلاعات شما است. اگر به طور مرتب از سیستم ها و داده های خود نسخه پشتیبان تهیه کنید ، میتوانید بدون تعامل با سیستم به خطر افتاده ، به داده های خود دسترسی پیدا کنید و آن ها را بازیابی کنید.
بکاپ های مکرر چگونه امنیت را افزایش میدهند؟
بکاپ گیری با حفظ نسخه های دست نخورده از داده ها قبل از وقوع حملات ، باعث کاهش خطر حذف تصادفی و کاهش خطر از بین رفتن اطلاعات می شود.
علاوه بر موارد باج افزار ، بکاپ گیری منظم می تواند به تجزیه و تحلیل قانونی حملات طولانی مدت کمک کند. اگر تاریخچه داده های خود را ندارید ، تشخیص زمان شروع حمله و اطلاعات به خطر افتاده دشوار یا غیرممکن است.
نحوه اجرای بکاپ های مکرر
بر خلاف سایر روش های این لیست ، اجرای بکاپ گیری می تواند از چیزی بی اهمیت تا فرآیندی بسیار دشوار متفاوت باشد. هنگام فعال کردن نسخه های پشتیبان ، باید از خود بپرسید: اگر سرور مجازی من فردا ناپدید شد ، چگونه می توانیم آن را به عقب برگردانم و راه اندازی کنم؟
در اینجا چند سؤال دیگر وجود دارد که باید هنگام تهیه یک برنامه بازیابی حوادث در نظر بگیرید:
• آیا همیشه باید آخرین نسخه پشتیبان تهیه شود؟ بسته به دفعات تغییر داده های شما ، ممکن است خطر را از پیش فرض به بکاپ قدیمی کاهش دهد
• روند واقعی برای بازیابی نسخه پشتیبان چیست؟ آیا نیاز به ایجاد یک سرور مجازی جدید یا بازگرداندن سرور مجازی موجود دارید؟
• چه مدت می توانید بدون این سرور مجازی در عمل باقی بمانید؟
• آیا به نسخه پشتیبان offsite احتیاج دارم؟
نتیجه
استراتژی های ذکر شده در بالا ، مروری بر برخی از پیشرفتهایی است که می توانید برای بهبود امنیت سیستم های خود داشته باشید. مهم است که بدانید ، اگرچه دیر انجام دادن بهتر از هرگز انجام ندادن است ، اما اثربخشی اقدامات امنیتی با تاخیر طولانی در اجرای آن ها کاهش می یابد. امنیت نمی تواند یک امر فرعی باشد و باید از ابتدا در کنار سرویس ها و برنامه هایی که ارائه می دهید اجرا شود.