如果不確定如何保護服務器安全,或者不確定是否已涵蓋所有基礎知識,那么可以了解下面提供一些可用于保護服務器的安全提示。
服務器安全運行的12個提示
(1)保持軟件和操作系統更新
在服務器安全方面,掌握軟件和與操作系統相關的安全性修補程序至關重要。未安裝修補程序的軟件,經常會發生黑客攻擊和入侵系統的情況。通常情況下,軟件供應商會將補丁或軟件更新的通知發送給客戶,因此不應拖延。盡管企業可能需要測試與自己的系統環境之間的兼容性問題,但服務器軟件在發布之前已經進行了廣泛的測試。補丁程序管理工具、漏洞掃描工具和其他尋找安全漏洞的工具都可以提供幫助。
(2)盡可能地實現自動化和使用人工智能
人類難免犯錯,大多數重大的服務器故障都是人為錯誤造成的。而且工作人員可能在超負荷工作,在安全方面會有一些疏漏。要執行某些功能,需要盡可能實現自動化。例如,大多數系統都支持補丁程序的自動下載和安裝,并且越來越多的人工智能產品可以監視、保護和升級企業的系統。
(3)使用虛擬專用網絡(VPN)
專用網絡基于全球互聯網協議地址空間。虛擬專用網絡(VPN)是私有的專有網絡,因為其互聯網協議數據包無需通過公共網絡進行傳輸。
虛擬專用網絡(VPN)將允許企業在不同位置的不同計算機設備之間創建連接。它使企業可以安全地在服務器上執行操作。
企業可以與同一帳戶上的其他服務器交換信息,而不會受到外界的攻擊和損害。為確保服務器安全,企業應該設置虛擬專用網絡。
(4)考慮零信任網絡
防火墻和VPN的弱點之一是它們不能阻止內部移動。一旦黑客入侵企業的網絡,幾乎可以在整個網絡中自由移動。這就是零信任網絡的出現的原因,零信任網絡不允許用戶或設備訪問任何內容,除非得到許可或證明。這就是所謂的“最低特權”方法,它要求對所有內容進行嚴格的訪問控制。
(5)加密所有內容
任何數據都不應在未加密的服務器上移動。安全套接層協議(SSL)是一種安全協議,用于保護互聯網上兩個系統之間的通信。企業的內部系統也是如此。使用安全套接層協議(SSL)證書,只有預期的接收者才具有解密信息的密鑰。
在連接到遠程服務器時,使用SSH(安全外殼)對交換中傳輸的所有數據進行加密。使用SSH密鑰進行RSA 2048位加密,對SSH服務器進行身份驗證。
要在服務器之間傳輸文件,就需要使用安全文件傳輸協議(FTPS)。它可以加密數據文件和身份驗證信息。
最后,要求來自防火墻外部的連接使用虛擬專用網(VPN)。虛擬專用網絡(VPN)使用自己的私有網絡和私有IP在服務器之間建立隔離的通信通道。
(6)不要只使用標準防火墻
防火墻是確保服務器安全的必不可少的工具,但是防火墻不僅僅是企業內部部署的防火墻,也有托管安全服務提供商(MSSP)為企業的網絡提供托管防火墻服務。根據服務協議的范圍,托管安全服務提供商(MSSP)可以執行防火墻安裝、應用程序控制和Web內容過濾,因為它們有助于確定要阻止的應用程序和Web內容(URLS)。他們還將幫助管理補丁和更新。實際上有大量的托管安全服務提供商(MSSP可供選擇。
(7)更改默認值
在大多數系統中,默認帳戶是root帳戶,這是黑客所針對的目標。所以需要進行更改。對于名為admin的帳戶也是如此。不要在網絡上使用令人關注的帳戶名。
企業可以通過減少所謂的攻擊向量來提高服務器安全性,這是運行所需的最低限度服務的過程。Windows和Linux的服務器版本附帶許多服務,如果不需要這些服務,則應將其關閉。
Wi-Fi接入端口默認會廣播其身份,如果在其范圍內,則端點設備將會看到它。進入訪問端口并關閉廣播,因此任何想要使用它的人都必須知道訪問點的真實名稱。此外,企業的設備不要使用制造商的默認名稱。
(8)創建多服務器或虛擬環境
隔離是企業可以擁有的最佳服務器保護類型之一,因為如果一臺服務器受到威脅,黑客的攻擊行為就會被鎖定在該服務器上。例如,標準做法是將數據庫服務器與Web應用程序服務器分開。
完全隔離將需要擁有專用的裸機服務器,這些裸機服務器不與其他服務器共享任何組件,這意味著企業需要增加更多的硬件。與其相反,實現虛擬化可以作為隔離環境。
在數據中心中具有隔離的執行環境可以實現所謂的職責分離(SoD)。職責分離(SoD)遵循“最小特權”的原則運行,這實際上意味著用戶不應擁有超出其日常任務所需特權的特權。為了保護系統和數據,必須建立用戶層次結構,每個用戶都具有自己的用戶ID和盡可能少的權限。
如果企業負擔不起或不需要使用專用服務器組件進行完全隔離,則還可以選擇隔離執行環境,也稱之為虛擬機和容器。
此外,Intel公司和AMD公司的最新服務器處理器具有專門的虛擬機加密功能,以便將虛擬機與其他虛擬機隔離開。因此,如果一個虛擬機受到威脅,則黑客無法訪問其他虛擬機。
(9)正確輸入密碼
密碼始終是一個安全問題,因為很多人對密碼管理有些草率。他們在多個帳戶使用相同的密碼,或者使用容易讓人猜到的簡單密碼,如“password”、“abcde”或“123456”。甚至可能根本沒有設置任何密碼。
在設置密碼時需要包含大小寫字母、數字和符號的混合。并定期更改密碼,另外在使用一次后禁止使用原有的密碼。
(10)關閉隱藏的開放端口
網絡攻擊可能來自人們甚至沒有意識到開放的端口。因此,不要以為知道每個端口的情況,這是不可能的事。那些并不是絕對必要的端口都應關閉。Windows Server和Linux共享一個稱為netstat的通用命令,該命令可用于確定正在偵聽哪些端口,同時還顯示當前可能可用的連接的詳細信息。
•列出所有端口的信息-“netstat -s”
•列出所有TCP端口-“netstat -at”
•列出所有UDP端口-“netstat -au”
•所有打開的偵聽端口-“netstat -l”
(11)經常執行正確的備份
2009年,一臺裝有飛行模擬文件的服務器被黑客入侵,其內容遭到破壞。其內容存儲在兩臺服務器上,并互相備份。服務器A的內容備份到服務器B,而服務器B的內容也備份到服務器A。但最終這些文件都丟失了。
企業不僅需要進行定時備份,而且還應該在網絡之外的異地位置進行備份。異地備份是必要的,尤其是對于勒索軟件攻擊來說,企業可以在其中清理受感染的驅動器。
企業還要考慮將災難恢復即服務(DRaaS)作為即服務產品之一,該產品可通過云計算模型提供備份。它由許多內部部署供應商以及云計算服務提供商提供。
無論是自動備份作業還是人工執行,需要確保測試備份。這應該包括對管理員甚至最終用戶驗證數據恢復是否一致的健全檢查。
(12)進行定期和頻繁的安全審核
如果不進行定期審核,就無法知道可能存在的問題或如何解決這些問題,以確保企業的服務器得到完全保護。檢查日志中是否有可疑或異常活動,并檢查軟件、操作系統和硬件固件更新,以及檢查系統性能。通常情況下,黑客攻擊會導致系統活動激增,硬盤驅動器或CPU或網絡流量出現異常可能是黑客攻擊信號。由于服務器的部署并不是一勞永逸的,必須經常對其進行檢查。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號