受到网络罪犯攻击的威胁对所有企业来说都是真实存在的,无论大小。预计到 2024 年,数据泄露造成的商业损失将超过5万亿美元。严重的数据泄露不仅会影响组织的财务状况,还会对企业声誉造成长期甚至永久性损害。
数据泄露的最常见原因之一是服务器安全性薄弱。随着攻击者设计出越来越复杂的方法来攻击您的服务器,强大的服务器安全最佳实践对于保护您的业务和敏感数据非常重要。在本指南中,我们将讨论服务器安全的概念、服务器安全最佳实践的重要性,以及如何设置完全安全的服务器。
什么是服务器安全?
服务器安全是指用于保护服务器上的敏感数据、资源和资产的所有流程和工具。服务器经常成为网络犯罪分子的目标,因为它们往往保存着敏感且有价值的信息。网络犯罪分子总是在寻找利用服务器安全漏洞来获取经济利益和其他原因的机会。
在大多数 IT 基础设施中,服务器是整个基础设施的核心。服务器允许所有用户远程访问相同的资源、功能和信息。当服务器在攻击期间受到损害时,整个网络和/或系统很可能也会受到损害。
因此,维护服务器安全显然很重要。然而,即使是非常小的缺陷,如弱密码、错过/失败的软件更新以及其他相对简单的人为错误,也可能导致服务器受损并给组织带来重大损失。
这就是为什么要确保服务器安全的有效性,我们必须考虑不同的层次——从识别和管理网络中的潜在问题,到保护服务器的操作系统,保护服务器上托管的任何软件和应用程序,以及最细粒度的级别,保护托管在服务器上的敏感和受监管数据。
常见的服务器安全漏洞
网络犯罪分子如何攻击您的服务器?以下是黑客和网络罪犯经常利用的一些常见错误和漏洞:
弱密码
为了猜测弱密码,黑客可以使用恶意机器人来执行暴力攻击或 撞库攻击。如果攻击者获得管理员凭据,他们就可以访问您的服务器并造成数据泄露。攻击者还可能在暗网上出售您的凭据信息。
确保您使用的密码足够强,长度至少为 10 个字符,使用小写和大写、符号、数字和空格的组合,并且仅对该帐户唯一。考虑使用 密码管理器服务, 以确保您始终使用不会忘记的强密码。
补丁管理
重要的是使用补丁管理服务来确保代码中的任何更改在安装前都经过适当测试并且来自受信任的来源。
软件和操作系统更新失败或错过
没有软件或操作系统是 100% 完美的,负责任的制造商将通过安全修复和补丁解决其软件中的安全漏洞。所以,这些更新是有原因的。但是,当软件制造商发布补丁说明时,他们也同时向公众(包括网络犯罪分子)宣布了此漏洞。这就是为什么您应该 始终 在补丁可用后立即更新您的操作系统和软件。网络犯罪分子不断地利用软件中的漏洞,因此运行过时的软件版本会显着增加数据泄露的风险。
网络端口配置错误
服务器配置不当,尤其是网络端口配置不当,很容易被网络罪犯利用。根据服务器安全最佳实践配置和优化服务器非常重要。
未使用的帐户
黑客经常使用旧的和被遗忘的帐户(例如,在成功的暴力攻击之后)获得对服务器的访问权限。确保定期清理旧的和过时的帐户。
人身安全性差
并非所有对服务器安全的外部威胁本质上都是数字威胁。例如,当小偷获得对您服务器的物理访问权限时,它也会受到损害。安全性差的加密狗密钥也可能对服务器的安全性非常危险。
基本服务器安全准则
正如介绍中提到的,我们应该分层对待服务器安全。以下是保护 Web 服务器的基本步骤,我们可以将其用作下一层的基础:
- 确保定期更新服务器的 OS(操作系统)和服务器上托管的所有应用程序/软件
- 配置服务器的操作系统以满足服务器安全最佳实践:仅启用 必要的应用程序和服务,并禁用所有不必要的应用程序和服务。
- 设置所有帐户密码(更改所有默认密码)并使用足够强的密码。正确删除默认帐户。
- 定期监控与您的服务器相关的安全相关公告(即关注您的服务器制造商的博客)
- 根据托管在服务器上的数据,采用SSL(Secure Socket Layer)和TLS(Transport Layer Security)进行加密和认证。
- 根据制造商/供应商的最佳实践配置服务器。这可能包括在指定的主机提供商上安装服务器软件,对敏感/机密文件进行必要的访问控制,等等。
- 创建日志文件以供将来调查和恢复之用。相应地分配特定的日志文件名,并确保您的日志文件不会填满硬盘驱动器。配置日志文件以捕获所有潜在的风险活动(登录失败、请求突然激增、未经授权的用户访问等)
- 记录您对服务器中托管的系统和应用程序所做的所有更改,并在启动之前测试所有建议的更改。
服务器安全检查表
现在我们已经讨论了良好的服务器安全应该是什么样子的基础知识,让我们分享我们的服务器安全清单以确保您涵盖所有内容:
第 1 步:识别并记录您的服务器详细信息
第一步也是最关键的一步是识别并记下服务器的所有重要细节,例如它的 MAC 地址、标识号、型号名称等。这很重要,这样您才能获得正确的手册,检查与第三方软件的兼容性等。
第 2 步:确保人身保护
如前所述,物理漏洞还可能导致严重的数据泄露和对服务器的其他威胁。确保您的服务器在物理上得到妥善保护,以防止未经授权的访问。例如,限制对服务器所在房间的访问,并只允许尽可能少的人进入该区域。确保此房间的钥匙始终安全存放。
第 3 步:设置事件日志
通过配置事件日志为访问服务器的每个人启用可追溯性和责任制。定期监控这些日志并注意任何可疑活动,包括但不限于可疑帐户登录、系统配置更改和权限更改。理想情况下,您的事件日志应该备份在单独的服务器上。
第 4 步:定期更新操作系统和软件
设置每周(如果可能,每天)更新操作系统和服务器上托管的任何软件或应用程序的计划。您应该在更新可用时立即实施更新。
第 5 步:删除不需要的软件
定期删除旧的和未使用的软件、应用程序和操作系统组件。禁用任何不必要的服务。被遗忘的未使用的应用程序可能只是黑客入侵您的服务器的另一个途径。
第 6 步:监控硬件性能
硬件漏洞也可能是致命的。确保定期维护您的硬件并执行例行检查以识别可能需要更换的损坏组件。
第 7 步:保持真实性和完整性
根据需要实施身份验证协议,例如,对所有系统管理员强制使用密码管理器和双因素身份验证 (2FA)。删除不再使用的旧管理员帐户。
第 8 步:定期备份
使用 3-2-1 备份规则自动执行常规服务器备份(3 个备份,2 个与服务器位于同一站点但在不同的设备/介质上,1 个异地备份副本)。定期检查您的备份是否按预期运行。根据需要测试备份恢复映像。
如何保护您的服务器免受外部攻击:最佳实践
在本节中,我们将分享一些实用的服务器安全最佳实践,您可以遵循这些最佳实践来获得有效的保护:
1.只使用安全连接
建议使用 SSH (Secure Shell) 与您的服务器建立安全连接。SSH 实际上可以为您的服务器取代基于密码的身份验证,并且由于密码总是 容易 受到暴力攻击,因此 SSH 连接更适合保护您的服务器。
SSH 使用一对带有公钥和私钥的加密密钥。公钥可以与其他人共享(因此得名),但私钥必须由服务器管理员安全存储。SSH 将有效地加密所有交换的数据。
另一种保护连接的方法是使用代理服务器。由于使用代理服务器,您的用户隐藏在代理的掩码 IP 地址后面,因此攻击者更难将易受攻击的用户设备作为目标来获得访问权限。
2.安装机器人缓解解决方案
许多针对服务器的攻击都可以通过使用恶意机器人程序来实现,例如用于发起暴力破解、凭证填充和第 7 层 DoS 攻击等。因此,建议使用适当的机器人缓解解决方案来保护您的服务器。
机器人缓解软件可以使用三种不同的方法来检测和管理机器人活动:
- 基于规则:在这种方法中,机器人缓解解决方案应用规则来阻止来自已知机器人、特定 IP 地址或范围等的恶意流量。
- 基于挑战:该解决方案使用验证码等测试来挑战用户。如果它是一个合法的人类用户,这个挑战应该很容易解决,而理想的自动化程序(机器人)将无法解决它。
- 基于人工智能:在这种方法中,机器人程序管理解决方案分析大量信号,从操作系统版本到鼠标移动,以检测试图模仿人类用户行为的机器人程序。
由于当今恶意机器人的复杂性,建议使用能够进行基于行为的检测的机器人管理解决方案。 例如, DataDome是一种经济实惠的机器人程序管理解决方案,它使用人工智能和机器学习技术来分析个人用户行为和全球流量模式,并可以实时缓解恶意机器人程序活动。
3.强制使用VPN
建议使用 VPN 或实际专用网络来维护进出服务器的安全数据通信。在专用网络中,用户将使用私人的、无法追踪的 IP 地址,因此黑客更难识别用户并找到漏洞。此外,当通过 VPN 连接到服务器时,这会有效地加密进出服务器的数据,因此黑客无法在传输过程中窃取数据。
4.根据服务器安全最佳实践配置服务器操作系统
确保您的服务器操作系统配置正确:
- 更改默认管理员密码,包括服务器上托管的第三方应用程序
- 仅将用户身份验证/权限设置为用户执行其特定工作所需的最低限度
- 定期删除未使用和不需要的帐户
- 教育您的团队并分享有关服务器安全最佳实践的综合指南,尤其是关于密码的指南
- 禁用任何未使用/不必要的应用程序和服务
5.定期更新您的操作系统和软件
正如上面反复讨论的那样,保护服务器安全的一个非常重要的方面是确保您 始终 运行最新版本的操作系统和服务器上托管的所有应用程序。更新一可用就应该安装,尤其是当补丁说明提到“安全修复”或类似消息时。如果要保持连续性,您可以设置自动更新或设置定期执行更新的时间表。
结论
虽然网络犯罪分子在寻找破坏您的服务器的方法方面确实变得越来越老练,但通过实施上述服务器安全最佳实践,我们可以确保我们的服务器得到适当保护。分层处理服务器安全非常重要:服务器的物理安全、服务器的操作系统、安装在服务器中的第三方软件以及连接到服务器的网络。最后但并非最不重要的一点是,对用户进行正确的服务器安全最佳实践教育以避免人为错误也很重要。