服務(wù)器的安全優(yōu)秀實踐

如果不確定如何保護服務(wù)器安全，或者不確定是否已涵蓋所有基礎(chǔ)知識，那么可以了解下面提供一些可用于保護服務(wù)器的安全提示。

服務(wù)器安全運行的12個提示

(1)保持軟件和操作系統(tǒng)更新

在服務(wù)器安全方面，掌握軟件和與操作系統(tǒng)相關(guān)的安全性修補程序至關(guān)重要。未安裝修補程序的軟件，經(jīng)常會發(fā)生黑客攻擊和入侵系統(tǒng)的情況。通常情況下，軟件供應(yīng)商會將補丁或軟件更新的通知發(fā)送給客戶，因此不應(yīng)拖延。盡管企業(yè)可能需要測試與自己的系統(tǒng)環(huán)境之間的兼容性問題，但服務(wù)器軟件在發(fā)布之前已經(jīng)進行了廣泛的測試。補丁程序管理工具、漏洞掃描工具和其他尋找安全漏洞的工具都可以提供幫助。

(2)盡可能地實現(xiàn)自動化和使用人工智能

人類難免犯錯，大多數(shù)重大的服務(wù)器故障都是人為錯誤造成的。而且工作人員可能在超負荷工作，在安全方面會有一些疏漏。要執(zhí)行某些功能，需要盡可能實現(xiàn)自動化。例如，大多數(shù)系統(tǒng)都支持補丁程序的自動下載和安裝，并且越來越多的人工智能產(chǎn)品可以監(jiān)視、保護和升級企業(yè)的系統(tǒng)。

(3)使用虛擬專用網(wǎng)絡(luò)

專用網(wǎng)絡(luò)基于全球互聯(lián)網(wǎng)協(xié)議地址空間。虛擬專用網(wǎng)絡(luò)是私有的專有網(wǎng)絡(luò)，因為其互聯(lián)網(wǎng)協(xié)議數(shù)據(jù)包無需通過公共網(wǎng)絡(luò)進行傳輸。

虛擬專用網(wǎng)絡(luò)將允許企業(yè)在不同位置的不同計算機設(shè)備之間創(chuàng)建連接。它使企業(yè)可以安全地在服務(wù)器上執(zhí)行操作。

企業(yè)可以與同一帳戶上的其他服務(wù)器交換信息，而不會受到外界的攻擊和損害。為確保服務(wù)器安全，企業(yè)應(yīng)該設(shè)置虛擬專用網(wǎng)絡(luò)。

(4)考慮零信任網(wǎng)絡(luò)

防火墻和虛擬專用網(wǎng)絡(luò)的弱點之一是它們不能阻止內(nèi)部移動。一旦黑客入侵企業(yè)的網(wǎng)絡(luò)，幾乎可以在整個網(wǎng)絡(luò)中自由移動。這就是零信任網(wǎng)絡(luò)的出現(xiàn)的原因，零信任網(wǎng)絡(luò)不允許用戶或設(shè)備訪問任何內(nèi)容，除非得到許可或證明。這就是所謂的“最低特權(quán)”方法，它要求對所有內(nèi)容進行嚴格的訪問控制。

(5)加密所有內(nèi)容

任何數(shù)據(jù)都不應(yīng)在未加密的服務(wù)器上移動。安全套接層協(xié)議(SSL)是一種安全協(xié)議，用于保護互聯(lián)網(wǎng)上兩個系統(tǒng)之間的通信。企業(yè)的內(nèi)部系統(tǒng)也是如此。使用安全套接層協(xié)議(SSL)證書，只有預期的接收者才具有解密信息的密鑰。

在連接到遠程服務(wù)器時，使用SSH(安全外殼)對交換中傳輸?shù)乃袛?shù)據(jù)進行加密。使用SSH密鑰進行RSA 2048位加密，對SSH服務(wù)器進行身份驗證。

要在服務(wù)器之間傳輸文件，就需要使用安全文件傳輸協(xié)議(FTPS)。它可以加密數(shù)據(jù)文件和身份驗證信息。

最后，要求來自防火墻外部的連接使用虛擬專用網(wǎng)。虛擬專用網(wǎng)絡(luò)使用自己的私有網(wǎng)絡(luò)和私有IP在服務(wù)器之間建立隔離的通信通道。

(6)不要只使用標準防火墻

防火墻是確保服務(wù)器安全的必不可少的工具，但是防火墻不僅僅是企業(yè)內(nèi)部部署的防火墻，也有托管安全服務(wù)提供商(MSSP)為企業(yè)的網(wǎng)絡(luò)提供托管防火墻服務(wù)。根據(jù)服務(wù)協(xié)議的范圍，托管安全服務(wù)提供商(MSSP)可以執(zhí)行防火墻安裝、應(yīng)用程序控制和Web內(nèi)容過濾，因為它們有助于確定要阻止的應(yīng)用程序和Web內(nèi)容(URLS)。他們還將幫助管理補丁和更新。實際上有大量的托管安全服務(wù)提供商(MSSP可供選擇。

(7)更改默認值

在大多數(shù)系統(tǒng)中，默認帳戶是root帳戶，這是黑客所針對的目標。所以需要進行更改。對于名為admin的帳戶也是如此。不要在網(wǎng)絡(luò)上使用令人關(guān)注的帳戶名。

企業(yè)可以通過減少所謂的攻擊向量來提高服務(wù)器安全性，這是運行所需的最低限度服務(wù)的過程。Windows和Linux的服務(wù)器版本附帶許多服務(wù)，如果不需要這些服務(wù)，則應(yīng)將其關(guān)閉。

Wi-Fi接入端口默認會廣播其身份，如果在其范圍內(nèi)，則端點設(shè)備將會看到它。進入訪問端口并關(guān)閉廣播，因此任何想要使用它的人都必須知道訪問點的真實名稱。此外，企業(yè)的設(shè)備不要使用制造商的默認名稱。

(8)創(chuàng)建多服務(wù)器或虛擬環(huán)境

隔離是企業(yè)可以擁有的好服務(wù)器保護類型之一，因為如果一臺服務(wù)器受到威脅，黑客的攻擊行為就會被鎖定在該服務(wù)器上。例如，標準做法是將數(shù)據(jù)庫服務(wù)器與Web應(yīng)用程序服務(wù)器分開。

完全隔離將需要擁有專用的裸機服務(wù)器，這些裸機服務(wù)器不與其他服務(wù)器共享任何組件，這意味著企業(yè)需要增加更多的硬件。與其相反，實現(xiàn)虛擬化可以作為隔離環(huán)境。

在數(shù)據(jù)中心中具有隔離的執(zhí)行環(huán)境可以實現(xiàn)所謂的職責分離(SoD)。職責分離(SoD)遵循“最小特權(quán)”的原則運行，這實際上意味著用戶不應(yīng)擁有超出其日常任務(wù)所需特權(quán)的特權(quán)。為了保護系統(tǒng)和數(shù)據(jù)，必須建立用戶層次結(jié)構(gòu)，每個用戶都具有自己的用戶ID和盡可能少的權(quán)限。

如果企業(yè)負擔不起或不需要使用專用服務(wù)器組件進行完全隔離，則還可以選擇隔離執(zhí)行環(huán)境，也稱之為虛擬機和容器。

此外，Intel公司和AMD公司的最新服務(wù)器處理器具有專門的虛擬機加密功能，以便將虛擬機與其他虛擬機隔離開。因此，如果一個虛擬機受到威脅，則黑客無法訪問其他虛擬機。

(9)正確輸入密碼

密碼始終是一個安全問題，因為很多人對密碼管理有些草率。他們在多個帳戶使用相同的密碼，或者使用容易讓人猜到的簡單密碼，如“password”、“abcde”或“123456”。甚至可能根本沒有設(shè)置任何密碼。

在設(shè)置密碼時需要包含大小寫字母、數(shù)字和符號的混合。并定期更改密碼，另外在使用一次后禁止使用原有的密碼。

(10)關(guān)閉隱藏的開放端口

網(wǎng)絡(luò)攻擊可能來自人們甚至沒有意識到開放的端口。因此，不要以為知道每個端口的情況，這是不可能的事。那些并不是絕對必要的端口都應(yīng)關(guān)閉。Windows Server和Linux共享一個稱為netstat的通用命令，該命令可用于確定正在偵聽哪些端口，同時還顯示當前可能可用的連接的詳細信息。

列出所有端口的信息-“netstat -s”

列出所有TCP端口-“netstat -at”

列出所有UDP端口-“netstat -au”

所有打開的偵聽端口-“netstat -l”

(11)經(jīng)常執(zhí)行正確的備份

2009年，一臺裝有飛行模擬文件的服務(wù)器被黑客入侵，其內(nèi)容遭到破壞。其內(nèi)容存儲在兩臺服務(wù)器上，并互相備份。服務(wù)器A的內(nèi)容備份到服務(wù)器B，而服務(wù)器B的內(nèi)容也備份到服務(wù)器A。但最終這些文件都丟失了。

企業(yè)不僅需要進行定時備份，而且還應(yīng)該在網(wǎng)絡(luò)之外的異地位置進行備份。異地備份是必要的，尤其是對于勒索軟件攻擊來說，企業(yè)可以在其中清理受感染的驅(qū)動器。

企業(yè)還要考慮將災難恢復即服務(wù)(DRaaS)作為即服務(wù)產(chǎn)品之一，該產(chǎn)品可通過云計算模型提供備份。它由許多內(nèi)部部署供應(yīng)商以及云計算服務(wù)提供商提供。

無論是自動備份作業(yè)還是人工執(zhí)行，需要確保測試備份。這應(yīng)該包括對管理員甚至最終用戶驗證數(shù)據(jù)恢復是否一致的健全檢查。

(12)進行定期和頻繁的安全審核

如果不進行定期審核，就無法知道可能存在的問題或如何解決這些問題，以確保企業(yè)的服務(wù)器得到完全保護。檢查日志中是否有可疑或異常活動，并檢查軟件、操作系統(tǒng)和硬件固件更新，以及檢查系統(tǒng)性能。通常情況下，黑客攻擊會導致系統(tǒng)活動激增，硬盤驅(qū)動器或CPU或網(wǎng)絡(luò)流量出現(xiàn)異?？赡苁呛诳凸粜盘?。由于服務(wù)器的部署并不是一勞永逸的，必須經(jīng)常對其進行檢查。

文章名稱：服務(wù)器的安全優(yōu)秀實踐
文章鏈接：http://muchs.cn/news/201832.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站策劃、微信公眾號、Google、網(wǎng)站營銷、全網(wǎng)營銷推廣、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)