7 راهكار مهم ايجاد امنيت در سرور
امنيت سرور يكي از مسائل مهم در Øوزه Ùناوري اطلاعات بوده Ùˆ شامل مجموعه اي از مباØØ« امنيت شبكه، امنيت سيستم عامل، امنيت وب سرويس ها Ùˆ كانÙÙŠÚ¯ امنيتي آنها مي باشد.
در Øال Øاضر امنيت در سرور لينوكس Ùˆ امنيت سرور ويندوز بيشتر مورد بØØ« Ùˆ استÙاده است. اين دو سيستم عامل داراي ساختار Ùˆ Ù†Øوه كاركرد كاملا متÙاوتي بوده Ùˆ تنها در برخي موارد وجه اشتراك دارند. در سرور لينوكس، معمولا سرور با سيستم عامل minimal تØويل داده مي شود كه البته با نياز كاربر براي سرويس دهي در وب كاملاً مناسب است.
معمولاً سيستم عامل centos بيشترين كاربرد Ùˆ استÙاده را در سرورهاي ميزباني لينوكس دارد كه كنترل پنل هاي Ù…Øبوب Ùˆ قدرتمند سي پنل Ùˆ دايركت ادمين هم اين توزيع از لينوكس را پشتيباني مي كنند. ارتباط با سرورهاي لينوكس توسط نرم اÙزار putty Ùˆ سرورهاي ويندوز با Remote Desktop Connection انجام مي شود.
خدمات امنيتي در سازمان ها Ùˆ ارگان ها بايد همگام با تغييرات در عصر جديد به روز رساني شود. خدمات امنيت اطلاعات مجموعهاي است از سرويس هاي امنيتي كه گستره بزرگي از نيازهاي اطلاعاتي Ùˆ امنيتي سرور هاي شركتها Ùˆ سازمانها را در بر ميگيرد. انتشار نرم اÙزارهاي جاسوسي Ùˆ مخرب توسط عوامل داخلي Ùˆ خارجي يا نشت اطلاعات Øياتي توسط اين عوامل مي تواند نمونه اي از اين تهديدات باشد.
Øال راهكارهاي ايجاد امنيت در سرورشامل:
1Ù€ تست Ù†Ùوذ پذيري:
تست Ù†Ùوذ (penetration test) يك روش سيستماتيك Ùˆ برنامه ريزي شده است كه آسيب پذيري ها Ùˆ ØÙره هاي امنيتي سرور، شبكه Ùˆ منابع Ùˆ برنامه هاي متصل به آن را Ú†Ùƒ مي كند. اين سرويس كه در دسته اول قرار ميگيرد Øملات هكرها بر روي اهدا٠مورد نظر را شبيه سازي كرده Ùˆ پس از تشخيص ØÙرههاي امنيتي راهكارهاي مناسب براي امن نمودن آنها ارائه ميكند. تست Ø´ÙاÙ،تست جعبه سياه،تست جعبه خاكستري از انواع تست هاي Ù†Ùوذ مي باشند.
بر اساس ميزان Øساسيت سيستم ها Ùˆ مراتب امنيت آنها، بايد تست صورت گيرد. در صورت نياز به داشتن امنيت بالا، بايد تست Ø´Ùا٠انجام شود Ùˆ اگر سيستم Ùˆ امنيت آن از اهميت كمتري برخوردار است، تست جعبه خاكستري Ùˆ جعبه سياه ÙƒÙايت مي كند. در واقع تست Ù†Ùوذ بايد به صورت برنامه ريزي شده Ùˆ با هماهنگي قبلي با صاØب آن سيستم انجام شود Ùˆ نمي تواند يك اقدام هماهنگ نشده باشد چرا كه ممكن است Øين انجام تست، برخي تجهيزات شبكه يا سيستم شبكه دچار مشكل شود.
در تست جعبه سياه، تست كننده هيچ گونه اطلاعات قبلي در مورد سيستم ندارد Ùˆ به تست مي پردازد. اما در تست Ø´ÙاÙØŒ تست كننده مشخصات كامل Ùˆ اطلاعات جامعي از سيستم دارد Ùˆ بر اساس آن Øمله شبيه سازي شده را انجام مي دهد Ùˆ در تست جعبه خاكستري تست كننده تنها به برخي اطلاعات دسترسي دارد Ùˆ اطلاعات جامعي ندارد.
2ـ راه اندازي SIM:
يكي از راهكارهاي كليدي براي ØÙظ امنيت يك سازمان، استÙاده از Ù…Øصولاتي هستند كه SIM يا Security Information Management نام دارند. اين سيستم نرم اÙزاري است كه تمامي لاگهاي سيستم هاي مختل٠را جمع آوري كرده Ùˆ در صورت تشخيص يك رÙتار غير منتظره Ùˆ يا اصطلاØا يك Bad Behavior در لاگهاي سيستم عكس العمل نشان ميدهد.
3ـ راه اندازي IDS/IPS:
IDS/IPS سيستمهاي تشخيص Ùˆ جلوگيري از Ù†Ùوذ تراÙيك موجود در شبكه را با جزئيات بيشتري نسبت به Ùايروال تØليل ميكنند. ابزارهاي IDS Ùˆ IPS تراÙيك را بررسي Ùˆ هر بستهي اطلاعات را با پايگاه دادهاي از مشخصات Øملات شناخته شده مقايسه ميكنند.
بيشتر IPSها در هسته خود يك IDS دارند. تÙاوت كليدي بين اين تكنولوژيها بدين صورت است كه ابزارهاي IDS با تشخيص تراÙيك آسيبرسان مسئولين شبكه را از وقوع يك Øمله مطلع ميسازند؛ اما ابزارهاي IPS يك گام جلوتر رÙته Ùˆ به صورت خودكار تراÙيك آسيب رسان را مسدود ميكنند.
4ـ نصب و راه اندازي FIREWALL:
Ùايروال هاي نرم اÙزاري بر روي سيستم عامل ها نصب شده Ùˆ تراÙيك ورودي Ùˆ خروجي به شبكه يا سيستم عامل را كنترل مي كنند. اينگونه Ùايروال هاي بيشتر مصار٠خانگي، سازمان ها Ùˆ شركت هاي كوچك Ùˆ متوسط را به خود اختصاص داده اند. Ùايروال هاي نرم اÙزاري براي دسترسي هاي غير مجاز، تروجان ها Ùˆ كدهاي مخرب، كرم هاي كامپيوتري Ùˆ موارد ديگر مي توانند از سيستم ها Ù…ØاÙظت كنند.
Ùايروال هاي سخت اÙزاري معمولا بصورت زير ساخت هايي توسط شركت هاي توليد كننده بر روي بورد هاي سخت اÙزاري نصب Ùˆ راه اندازي شده اند Ùˆ معمولا در قالب يك روتر در شبكه Ùعاليت مي كنند، يك روتر نيز مي تواند در يك شبكه به عنوان يك Ùايروال سخت اÙزاري Ùعاليت كند.
5Ù€ مديريت ØÙره هاي امنيتي:
نرم اÙزارهاي مديريت سبب به روز رساني Ùˆ رÙع ØÙره هاي امنيتي كه موجب صرÙÙ‡ جويي در زمان Ùˆ هزينه Ùˆ پهناي باند شبكه هاي كوچك Ùˆ بزرگ شده Ùˆ در كمترين زمان ممكن به ارائه گزارش امنيتي سيستم هاي داخل شبكه Ùˆ به روزرساني آنها مي پردازند.
6Ù€ جلوگيري از Øملات سيملينك:
جلوگيري از Øملات سيملينك از اساسي ترين موارد مديريت Ùˆ امنيت سرور است. با بكار گيري اين روش، امنيت هر كاربري در سرور مشمول خود آن اكانت مي شود Ùˆ ضع٠آن اثر منÙÙŠ بر روي اكانت هاي ديگر نخواهد داشت. اما سيملينك چيست؟
سيملينك امكاني است كه توسط آن مي توان ارجاعي از يك Ùايل يا دايركتوري را در مسير ديگري ايجاد كرد. براي مثال Ùايل test.php در مسير home/test قرار دارد. اگر بخواهيم Ùايل test.php در مسير ديگري براي مثال home/sample نيز قابل مشاهده، اجرا Ùˆ Øتي ويرايش باشد مي توان از symlink استÙاده كرد. اين امكان در بسياري از سيستم عامل ها پشتيباني مي شود اما نام Ùˆ عملكرد آنها با هم متÙاوت است.
7Ù€ امنيت در Ø³Ø·Ø Ø³Ø®Øª اÙزار:
جالب است بدانيد كه امنيت در Ø³Ø·Ø Ø³Ø®Øª اÙزار، بسيار قابل اعتماد تر از امنيت نرم اÙزاري است. تراشه هاي رمز گذاري شده، سامانه هاي تشخيص بيومتريك Ùˆ…بسيار دقيق تر از Fire Wall ها، سيستم هاي ضد ويروس Ùˆ سيستم هاي اØراز هويت عمل مي كنند.
ماژول امنيتي سختاÙزاري (Hardware Security Module) نوعي از پردازنده رمزي امن است كه مديريت كليدهاي ديجيتال Ùˆ شتاب پردازندههاي رمزنگاري را از Ù„Øاظ خريدهاي ديجيتال/ثانويه به منظور تأمين قوي اعتبار براي دسترسي به كليدهاي Øياتي براي برنامههاي كاربردي سرور را هد٠قرار دادهاست. آنها دستگاههاي Ùيزيكي هستند كه به طور مرسوم در قالب يك كارت پلاگين يا دستگاههاي امنيتي TCP/IP خارجي آمده است كه ميتواند مستقيماً به سرور يا كامپيوتر هد٠كلي متصل شده باشد.
ـ اهدا٠HSM:
- نسل امن پردازنده
- ذخيره سازي امن پردازنده
- استÙاده از مواد Øساس Ùˆ دادههاي رمز نگاري
- تخليه سرور نرماÙزار كامل براي رمزنگاري نامتقارن Ùˆ متقارن
HSMها Øمايت منطقي Ùˆ Ùيزيكي اين موارد را براي جلوگيري از استÙاده غير مجاز Ùˆ دشمنان بالقوه Ùراهم ميكنند. بسياري از سيستمهاي HSM وسيلهاي براي پشتيبان گيري مطمئن از كليدهايي استÙاده ميكنند كه در شكل پيچيده توسط سيستم عامل كامپيوتر Ùˆ يا در شكل خارجي با استÙاده از كارت هوشمند Ùˆ يا مشخصه امنيتي به كار برده ميشود.
بسياري از سيستم هاي HSM نيز شتاب دهنده رمزنگاري سخت اÙزاري دارند. آنها معمولا نميتوانند از راه Øلهايي كه Ùقط به صورت نرماÙزاري براي انجام عمليات با كليد متقارن هستند تداخل عملكرد داشته باشند.
برخي از HSMها ويژگي منابع تغذيه دوگانه با قابليت تداوم كار به صورت پيوسته را دارند. تعداد كمي از HSMهاي موجود در بازار داراي قابليت Ùˆ توانايي اجراي ماژولهاي اجرايي توسعه ياÙته ويژه در بين Ù…Øوطه امن HSMها را دارند.
Ù€ استÙاده اصلي از HSM ها:
HSMها ميتوانند در هر برنامهاي كه از كليدهاي ديجيتال استÙاده ميشود به كار رود. به طور معمول كليد بايد با ارزش باشد به معني اينكه، اگر به خطر بيÙتد تأثير منÙÙŠ قابل توجه اي به صاØب كليد نخواهد داشت.
منبع : https://mrshabake.com/server-security-solutions/
برچسب: ،