2022-10-05 分類: 網(wǎng)站建設(shè)
如果不確定如何保護(hù)服務(wù)器安全,或者不確定是否已涵蓋所有基礎(chǔ)知識(shí),那么可以了解下面提供一些可用于保護(hù)服務(wù)器的安全提示。
服務(wù)器安全運(yùn)行的12個(gè)提示
(1)保持軟件和操作系統(tǒng)更新
在服務(wù)器安全方面,掌握軟件和與操作系統(tǒng)相關(guān)的安全性修補(bǔ)程序至關(guān)重要。未安裝修補(bǔ)程序的軟件,經(jīng)常會(huì)發(fā)生黑客攻擊和入侵系統(tǒng)的情況。通常情況下,軟件供應(yīng)商會(huì)將補(bǔ)丁或軟件更新的通知發(fā)送給客戶,因此不應(yīng)拖延。盡管企業(yè)可能需要測(cè)試與自己的系統(tǒng)環(huán)境之間的兼容性問(wèn)題,但服務(wù)器軟件在發(fā)布之前已經(jīng)進(jìn)行了廣泛的測(cè)試。補(bǔ)丁程序管理工具、漏洞掃描工具和其他尋找安全漏洞的工具都可以提供幫助。
(2)盡可能地實(shí)現(xiàn)自動(dòng)化和使用人工智能
人類難免犯錯(cuò),大多數(shù)重大的服務(wù)器故障都是人為錯(cuò)誤造成的。而且工作人員可能在超負(fù)荷工作,在安全方面會(huì)有一些疏漏。要執(zhí)行某些功能,需要盡可能實(shí)現(xiàn)自動(dòng)化。例如,大多數(shù)系統(tǒng)都支持補(bǔ)丁程序的自動(dòng)下載和安裝,并且越來(lái)越多的人工智能產(chǎn)品可以監(jiān)視、保護(hù)和升級(jí)企業(yè)的系統(tǒng)。
(3)使用虛擬專用網(wǎng)絡(luò)
專用網(wǎng)絡(luò)基于全球互聯(lián)網(wǎng)協(xié)議地址空間。虛擬專用網(wǎng)絡(luò)是私有的專有網(wǎng)絡(luò),因?yàn)槠浠ヂ?lián)網(wǎng)協(xié)議數(shù)據(jù)包無(wú)需通過(guò)公共網(wǎng)絡(luò)進(jìn)行傳輸。
虛擬專用網(wǎng)絡(luò)將允許企業(yè)在不同位置的不同計(jì)算機(jī)設(shè)備之間創(chuàng)建連接。它使企業(yè)可以安全地在服務(wù)器上執(zhí)行操作。
企業(yè)可以與同一帳戶上的其他服務(wù)器交換信息,而不會(huì)受到外界的攻擊和損害。為確保服務(wù)器安全,企業(yè)應(yīng)該設(shè)置虛擬專用網(wǎng)絡(luò)。
(4)考慮零信任網(wǎng)絡(luò)
防火墻和虛擬專用網(wǎng)絡(luò)的弱點(diǎn)之一是它們不能阻止內(nèi)部移動(dòng)。一旦黑客入侵企業(yè)的網(wǎng)絡(luò),幾乎可以在整個(gè)網(wǎng)絡(luò)中自由移動(dòng)。這就是零信任網(wǎng)絡(luò)的出現(xiàn)的原因,零信任網(wǎng)絡(luò)不允許用戶或設(shè)備訪問(wèn)任何內(nèi)容,除非得到許可或證明。這就是所謂的“最低特權(quán)”方法,它要求對(duì)所有內(nèi)容進(jìn)行嚴(yán)格的訪問(wèn)控制。
(5)加密所有內(nèi)容
任何數(shù)據(jù)都不應(yīng)在未加密的服務(wù)器上移動(dòng)。安全套接層協(xié)議(SSL)是一種安全協(xié)議,用于保護(hù)互聯(lián)網(wǎng)上兩個(gè)系統(tǒng)之間的通信。企業(yè)的內(nèi)部系統(tǒng)也是如此。使用安全套接層協(xié)議(SSL)證書(shū),只有預(yù)期的接收者才具有解密信息的密鑰。
在連接到遠(yuǎn)程服務(wù)器時(shí),使用SSH(安全外殼)對(duì)交換中傳輸?shù)乃袛?shù)據(jù)進(jìn)行加密。使用SSH密鑰進(jìn)行RSA 2048位加密,對(duì)SSH服務(wù)器進(jìn)行身份驗(yàn)證。
要在服務(wù)器之間傳輸文件,就需要使用安全文件傳輸協(xié)議(FTPS)。它可以加密數(shù)據(jù)文件和身份驗(yàn)證信息。
最后,要求來(lái)自防火墻外部的連接使用虛擬專用網(wǎng)。虛擬專用網(wǎng)絡(luò)使用自己的私有網(wǎng)絡(luò)和私有IP在服務(wù)器之間建立隔離的通信通道。
(6)不要只使用標(biāo)準(zhǔn)防火墻
防火墻是確保服務(wù)器安全的必不可少的工具,但是防火墻不僅僅是企業(yè)內(nèi)部部署的防火墻,也有托管安全服務(wù)提供商(MSSP)為企業(yè)的網(wǎng)絡(luò)提供托管防火墻服務(wù)。根據(jù)服務(wù)協(xié)議的范圍,托管安全服務(wù)提供商(MSSP)可以執(zhí)行防火墻安裝、應(yīng)用程序控制和Web內(nèi)容過(guò)濾,因?yàn)樗鼈冇兄诖_定要阻止的應(yīng)用程序和Web內(nèi)容(URLS)。他們還將幫助管理補(bǔ)丁和更新。實(shí)際上有大量的托管安全服務(wù)提供商(MSSP可供選擇。
(7)更改默認(rèn)值
在大多數(shù)系統(tǒng)中,默認(rèn)帳戶是root帳戶,這是黑客所針對(duì)的目標(biāo)。所以需要進(jìn)行更改。對(duì)于名為admin的帳戶也是如此。不要在網(wǎng)絡(luò)上使用令人關(guān)注的帳戶名。
企業(yè)可以通過(guò)減少所謂的攻擊向量來(lái)提高服務(wù)器安全性,這是運(yùn)行所需的最低限度服務(wù)的過(guò)程。Windows和Linux的服務(wù)器版本附帶許多服務(wù),如果不需要這些服務(wù),則應(yīng)將其關(guān)閉。
Wi-Fi接入端口默認(rèn)會(huì)廣播其身份,如果在其范圍內(nèi),則端點(diǎn)設(shè)備將會(huì)看到它。進(jìn)入訪問(wèn)端口并關(guān)閉廣播,因此任何想要使用它的人都必須知道訪問(wèn)點(diǎn)的真實(shí)名稱。此外,企業(yè)的設(shè)備不要使用制造商的默認(rèn)名稱。
(8)創(chuàng)建多服務(wù)器或虛擬環(huán)境
隔離是企業(yè)可以擁有的好服務(wù)器保護(hù)類型之一,因?yàn)槿绻慌_(tái)服務(wù)器受到威脅,黑客的攻擊行為就會(huì)被鎖定在該服務(wù)器上。例如,標(biāo)準(zhǔn)做法是將數(shù)據(jù)庫(kù)服務(wù)器與Web應(yīng)用程序服務(wù)器分開(kāi)。
完全隔離將需要擁有專用的裸機(jī)服務(wù)器,這些裸機(jī)服務(wù)器不與其他服務(wù)器共享任何組件,這意味著企業(yè)需要增加更多的硬件。與其相反,實(shí)現(xiàn)虛擬化可以作為隔離環(huán)境。
在數(shù)據(jù)中心中具有隔離的執(zhí)行環(huán)境可以實(shí)現(xiàn)所謂的職責(zé)分離(SoD)。職責(zé)分離(SoD)遵循“最小特權(quán)”的原則運(yùn)行,這實(shí)際上意味著用戶不應(yīng)擁有超出其日常任務(wù)所需特權(quán)的特權(quán)。為了保護(hù)系統(tǒng)和數(shù)據(jù),必須建立用戶層次結(jié)構(gòu),每個(gè)用戶都具有自己的用戶ID和盡可能少的權(quán)限。
如果企業(yè)負(fù)擔(dān)不起或不需要使用專用服務(wù)器組件進(jìn)行完全隔離,則還可以選擇隔離執(zhí)行環(huán)境,也稱之為虛擬機(jī)和容器。
此外,Intel公司和AMD公司的最新服務(wù)器處理器具有專門的虛擬機(jī)加密功能,以便將虛擬機(jī)與其他虛擬機(jī)隔離開(kāi)。因此,如果一個(gè)虛擬機(jī)受到威脅,則黑客無(wú)法訪問(wèn)其他虛擬機(jī)。
(9)正確輸入密碼
密碼始終是一個(gè)安全問(wèn)題,因?yàn)楹芏嗳藢?duì)密碼管理有些草率。他們?cè)诙鄠€(gè)帳戶使用相同的密碼,或者使用容易讓人猜到的簡(jiǎn)單密碼,如“password”、“abcde”或“123456”。甚至可能根本沒(méi)有設(shè)置任何密碼。
在設(shè)置密碼時(shí)需要包含大小寫字母、數(shù)字和符號(hào)的混合。并定期更改密碼,另外在使用一次后禁止使用原有的密碼。
(10)關(guān)閉隱藏的開(kāi)放端口
網(wǎng)絡(luò)攻擊可能來(lái)自人們甚至沒(méi)有意識(shí)到開(kāi)放的端口。因此,不要以為知道每個(gè)端口的情況,這是不可能的事。那些并不是絕對(duì)必要的端口都應(yīng)關(guān)閉。Windows Server和Linux共享一個(gè)稱為netstat的通用命令,該命令可用于確定正在偵聽(tīng)哪些端口,同時(shí)還顯示當(dāng)前可能可用的連接的詳細(xì)信息。
列出所有端口的信息-“netstat -s”
列出所有TCP端口-“netstat -at”
列出所有UDP端口-“netstat -au”
所有打開(kāi)的偵聽(tīng)端口-“netstat -l”
(11)經(jīng)常執(zhí)行正確的備份
2009年,一臺(tái)裝有飛行模擬文件的服務(wù)器被黑客入侵,其內(nèi)容遭到破壞。其內(nèi)容存儲(chǔ)在兩臺(tái)服務(wù)器上,并互相備份。服務(wù)器A的內(nèi)容備份到服務(wù)器B,而服務(wù)器B的內(nèi)容也備份到服務(wù)器A。但最終這些文件都丟失了。
企業(yè)不僅需要進(jìn)行定時(shí)備份,而且還應(yīng)該在網(wǎng)絡(luò)之外的異地位置進(jìn)行備份。異地備份是必要的,尤其是對(duì)于勒索軟件攻擊來(lái)說(shuō),企業(yè)可以在其中清理受感染的驅(qū)動(dòng)器。
企業(yè)還要考慮將災(zāi)難恢復(fù)即服務(wù)(DRaaS)作為即服務(wù)產(chǎn)品之一,該產(chǎn)品可通過(guò)云計(jì)算模型提供備份。它由許多內(nèi)部部署供應(yīng)商以及云計(jì)算服務(wù)提供商提供。
無(wú)論是自動(dòng)備份作業(yè)還是人工執(zhí)行,需要確保測(cè)試備份。這應(yīng)該包括對(duì)管理員甚至最終用戶驗(yàn)證數(shù)據(jù)恢復(fù)是否一致的健全檢查。
(12)進(jìn)行定期和頻繁的安全審核
如果不進(jìn)行定期審核,就無(wú)法知道可能存在的問(wèn)題或如何解決這些問(wèn)題,以確保企業(yè)的服務(wù)器得到完全保護(hù)。檢查日志中是否有可疑或異?;顒?dòng),并檢查軟件、操作系統(tǒng)和硬件固件更新,以及檢查系統(tǒng)性能。通常情況下,黑客攻擊會(huì)導(dǎo)致系統(tǒng)活動(dòng)激增,硬盤驅(qū)動(dòng)器或CPU或網(wǎng)絡(luò)流量出現(xiàn)異??赡苁呛诳凸粜盘?hào)。由于服務(wù)器的部署并不是一勞永逸的,必須經(jīng)常對(duì)其進(jìn)行檢查。
文章名稱:服務(wù)器的安全優(yōu)秀實(shí)踐
當(dāng)前鏈接:http://www.rwnh.cn/news32/201832.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站策劃、虛擬主機(jī)、建站公司、網(wǎng)站改版、網(wǎng)站設(shè)計(jì)、網(wǎng)頁(yè)設(shè)計(jì)公司
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容