Уровни защиты веб-серверов
Защиту сети можно разделить на шесть уровней сложности. Первый - самый элементарный и обязательный. Здесь главный инструмент защиты - firewall. Firewall должен лимитировать использование сервисов, которые предоставляются пользователям. Также firewall должен следить за всеми соединениями, как с одной, так и с другой стороны. Кстати, многие версии firewall успешно отразили Code Red. Не стоит применять здесь программы непонятного происхождения, отдавайте предпочтение лицензионному ПО. Ведь это самый передовой бастион защиты ваших данных. Многие риски можно устранить уже на этом этапе.
Второй уровень безопасности подразумевает конфигурацию операционной системы, под чьим управлением работает веб-сервер. Каждая операционная система позволяет создавать контрольные листы безопасности (security checklist). Эти установки должны быть согласованы с операционными системами вендоров, которые сотрудничают с компанией. О том, как это делается под отдельные операционные системы, можно прочитать здесь: Center for Internet Security - www.cisecurity.org; Microsoft - www.microsoft.com/technet/itsolutions/security/tools/tools.asp; Apache - http://httpd.apache.org/docs/misc/security_tips.html; Sun - www.sun.com/security/blueprints/. Важно также, чтобы новое приложение своевременно вносилось в security cheklist, а не отключало его. Это должно быть правилом. И никакой аврал на работе не должен приводить к отключению данного уровня безопасности.
Третий уровень ориентирован уже на сеть. Необходимо оснастить датчиками атаки сетевого оборудования и программного обеспечения провайдера, обеспечивающего хостинг. Главное, чтобы поступивший об опасности сигнал был правильно обработан и нейтрализован.
Четвертый уровень безопасности - установка программного обеспечения на уровне хостинга. Это значительно более сложная задача. Во-первых, здесь можно столкнуться с возражениями самой хостинг-компании. А во-вторых, такое программное обеспечение намного сложнее простых датчиков. По этой причине и уровень безопасности более высокий.
Уровень 5 имеет два подуровня - А и В. Уровень 5А - это установка специального программного обеспечения, выполняющего роль прослойки между операционной системой веб-сервера и всеми приложениями. Такой буфер позволяет предотвратить атаку хакеров на уязвимые приложения, которые берут под контроль всю операционную систему во время своего выполнения. Это не самый дешевый вариант, потому что, как и на предыдущем уровне, необходимо обеспечить поддержку программного обеспечения, которым оперируют веб-серверы.
Уровень 5B представляет собой установку ориентированных на конкретные приложения firewall или прокси-серверов. Они ориентированы на HТTP-протокол и позволяют предотвратить атаки прежде, чем потенциальные злоумышленники сумеют добраться до запуска приложений, установленных на веб-сервере. Однако, прокси-сервер - это существенное ограничение в работе. Конфигурация и настройка прокси - тоже своего рода искусство.
Шестой уровень - своеобразная вершина безопасности. Здесь допускается использование только доверительных операционных систем и работающих под их управлением приложений. Иными словами, все функционирующие приложения и операционные системы должны быть либо максимально адаптированы, либо разработаны специально для специфических нужд компании. Это самый дорогой, но и самый эффективный способ защиты. К тому же требующий специальной подготовки от администратора сети, а зачастую и от пользователей, что также влечет дополнительные расходы. Да и обновление какого-либо приложения потребует предварительной интеграции в доверительную систему.
