Security hardening: základní principy pro zvýšení bezpečnosti (nejen) serveru
Jak zvýšit a především udržet bezpečnost sítě, serveru nebo operačního systému? Kromě pravidelných kontrol a kontinuálních aktualizací existuje několik základních postupů, jak s posilováním bezpečnosti systémů začít. Prvními kroky hardeningu vás provedeme.
Hardening systému je v češtině známý pod pojmem „kalení“ a představuje proces odstraňování a eliminace zranitelností a bezpečnostních mezer. Jeho cílem je minimalizovat tzv. útočné plochy (attack surface) systému.
Útočné plochy nejčastěji rozšiřují neaktualizované verze softwarů a firmwarů, nešifrovaný síťový provoz, chybné konfigurace portů, firewallů a switchů nebo jiných součástí infrastruktury. Jejich zmenšení jde dosáhnout například pomocí pravidelných aktualizací, ale i celkovým zeštíhlením systému. Tedy odinstalováním nepotřebného softwaru a vypnutím některých nadbytečných služeb.
Je váš operační systém dostatečně zabezpečený?
Nechte si provést jeho detailní analýzu. Bezpečnostní audit operačního systému zahrnuje softwarovou analýzu, manuální kontrolu zkušeného administrátora systémů a report rozšířený o konkrétní doporučení. Implementované změny máte navíc možnost zpětně konzultovat a nechat si ověřit jejich správnost.
Ke snižování bezpečnostních rizik a zranitelností se přistupuje zejména proto, aby se předešlo potenciálním kybernetickým útokům. Hardening vyžaduje nepřetržitou práci a pravidelnou kontrolu bezpečnostní úrovně. Vynaložené úsilí se však násobně vrací s počtem odražených útoků a zachráněných dat.
Proč se vůbec do hardeningu systému pustit?
Největší motivátor by mělo představovat zvýšení kybernetické ochrany. Počet DDoS útoků stále roste a jejich síla už běžně dosahuje i 100 Gbps. Systémy ale dále ohrožuje i malware, chyby v BIOS (Basic Input-Output System) a průniky do interních sítí.
Kalení serveru nebo operačního systému nese ještě další výhody, které souvisí zejména s výše zmíněnou redukcí nástrojů a softwaru. Méně komplikované systémy se potýkají s menším množstvím provozních problémů a nesprávných konfigurací. Kompaktnější zjednodušená prostředí je i snazší monitorovat a provádět jejich pravidelný bezpečnostní audit.
Jak na hardening serveru ve 4 krocích
1. Určete bezpečnostní úroveň, které chcete dosáhnout
U systémů a serverů, u nichž se bezpečnostní úroveň zatím systematicky neřešila, je potřeba nejprve stanovit tzv. „baseline“. Baseline označuje stav operačního systému, serveru nebo sítě, jehož chcete v rámci zvyšování bezpečnosti dosáhnout.
2. Ideální stav zjistěte pomocí benchmarkingu
V rámci benchmarkingu dochází ke srovnávání systému s oficiálními doporučeními, např. výrobců hardware, vydavatelů konkrétního software nebo institucemi pro kybernetickou bezpečnost. Obvykle jsou sady pravidel a doporučení k vyhledání v oficiální dokumentaci softwarů, např. Microsoft Windows. Existují ale i obecnější dokumenty, které vydávají instituce. Ty se zaměřují na celé oblasti, tedy zabezpečení serveru nebo sítě. Jako příklad lze uvést třeba benchmarky vydávané americkou společností CIS (Center for Internet Security). Na internetu jich ale existuje celá řada, také proto mají různou kvalitu a svým obsahem se mohou lišit.
3. Identifikujte problematické oblasti svého systému
Srovnání systému s benchmarkem přinese přehled o oblastech s největšími nedostatky. Na základě tohoto posouzení bude možné upravit konfiguraci systému. Vzorové benchmarky není potřeba naplnit zcela. Vždy záleží na předem stanovených cílech a nejrizikovějších oblastech zkoumaného systému.
4. Systém pravidelně kontrolujte a dodržujte stanovený baseline
Počáteční úpravou to teprve začíná. Systém je potřeba neustále, nebo alespoň pravidelně, monitorovat a čas od času provést zpětnou kontrolu. Revize odhalí případné odchylky od ideálního stavu (baseline), které lze včas opravit a posílit tak odolnost serveru či sítě.
Co když je systém příliš komplexní pro manuální kontrolu?
Provést manuální hardening menších infrastruktur není problém. U těch rozsáhlejších, které se skládají z několika různých komponent, se celý proces značně protáhne. Vyžaduje rovněž kapacity více lidí a přirozeně vzrůstá riziko lidských chyb. Pro takové případy se hodí využít dostupných nástrojů pro automatické skenování systému, řada z nich je dokonce open source. U volně dostupných verzí je lepší zvolit ty, které například není potřeba instalovat na server.
Výstupem softwarových analýz bývá report obsahující velké množství označených chyb. Ne všechny jsou přitom kritické. Respektive, situace většinou neumožňuje opravit všechny nedostatky najednou. Z nalezených zranitelností se proto musí pečlivě vybrat ty nejrizikovější, jež bude bezpečnostní tým opravovat prioritně.
Práci usnadňují bezpečnostní audity, například bezpečnostní audit operačního systému. Ten začíná jednoduchou softwarovou kontrolou vlastnictví složek a detekcí přítomných nástrojů, následně spouští příslušné pluginy a bezpečnostní testy. Druhým krokem je manuální analýza z pohledu systémového administrátora. V této fázi se v reportu označují nejpalčivější problémy. Výsledkem jsou jasně strukturované pokyny, které pak může bezpečnostní tým zapracovat. Bezpečnostní audity tak ušetří spoustu času i práci internímu týmu.
Základ bezpečného systému – na co určitě nezapomenout
Proces vylepšování zabezpečení je specifický pro síť nebo operační systém. Jeho základní struktura se ale dá určitým způsobem zobecnit. Jaká bezpečnostní opatření tedy rozhodně nevynechat?
- Omezení přístupu – zajistěte ověřování přístupu k infrastruktuře či systému po fyzické i virtuální stránce. Jednotlivcům založte účty různých úrovní přístupu, u nichž nastavíte jen určitá práva, která odpovídají jejich pracovní náplni. Administrátorská práva ponechte jen u nezbytně nutných případů.
- Filtrování a šifrování provozu – monitoring příchozího provozu a jeho hloubková filtrace pomocí firewallu, ideálně i AntiDDoS ochrany, by měly být základem každého systému. Firemní síť oddělte od té veřejné a dbejte na to, aby připojení do interních systémů bylo pro zaměstnance přístupné pouze přes VPN. Veškerý provoz doporučujeme šifrovat a uzavřít všechny nepotřebné porty. Pro přenos dat vyberte správný protokol; pár rad najdete v našem článku o FTP, SFTP, SMB a dalších protokolech.
- Pravidelné aktualizace – jednou z nejčastějších chyb a současně příležitostí pro útočníky jsou neaktuální aplikace. Mnohdy stačí pro zvýšení jejich zabezpečení implementovat bezpečnostní záplaty, jindy je potřeba provést update na novou verzi – sledujte doporučení vydavatelů konkrétních softwarů.
- Zálohování – poptávka po zálohách bývá už součástí téměř každého řešení, přesto je dobré je připomínat. Kromě běžných pravidelných záloh se hodí i tzv. geo-zálohování do druhé lokality pro případ, že by došlo k rozsáhlejším problémům v primární lokalitě.
- Monitoring systému – sledujte provoz v síti, věnujte pozornost anomáliím a podle toho přizpůsobujte svá bezpečnostní opatření. Čas od času si nechte systém zauditovat nebo provést penetrační testy.
Na hardening a jeho údržbu nemáte čas? Zkuste administraci
Hardening systému je nekonečná práce. Vyžaduje hodně úsilí a navzdory všem snahám se útočníkům přece jen může povést ochranu prolomit. Zvláště menší firmy, ale nejen ony, nemají na zajištění takového objemu bezpečnostních úkonů dostatek zdrojů, ať už finančních nebo těch lidských.
S úsporou času i práce vlastních lidí pomůže outsourcing správy serveru nebo rovnou celé infrastruktury. Úkolem tzv. „managed“ služeb je právě nepřetržitý fyzický i kybernetický monitoring systému, stejně jako hlídání aktualizací a jejich automatická implementace. Další výhodou je síťové připojení splňující přísné bezpečnostní standardy nebo hardwarová ochrana před DDoS útoky (v MasterDC například používáme Radware DefensePro).