Bezpieczne danych serwowanie

Budowa bezpiecznego serwera internetowego jest nie lada wyzwaniem. Często bowiem to właśnie serwer WWW jest pierwszym obiektem ataków włamywaczy i traktowany jest jako swoisty probierz zabezpieczenia całej sieci korporacyjnej. Dlatego tak istotne jest, by serwer internetowy, stanowiący wizytówkę firmy zarówno dla jej klientów, partnerów, jak i włamywaczy, był odporny na ataki.

Budowa bezpiecznego serwera internetowego jest nie lada wyzwaniem. Często bowiem to właśnie serwer WWW jest pierwszym obiektem ataków włamywaczy i traktowany jest jako swoisty probierz zabezpieczenia całej sieci korporacyjnej. Dlatego tak istotne jest, by serwer internetowy, stanowiący wizytówkę firmy zarówno dla jej klientów, partnerów, jak i włamywaczy, był odporny na ataki.

Najmniejszy nawet przestój serwisu udostępniającego stronę korporacyjną może być postrzegany jako przejaw braku profesjonalizmu udostępniającej go firmy - bez względu na to, czy spowodowany jest on włamaniem, czy też po prostu zerwaniem łączności firmy z Internetem. Dla użytkownika zainteresowanego informacjami publikowanymi na tej stronie jest to często jeszcze jeden powód, by skorzystać z innej, konkurencyjnej strony internetowej i usług innej firmy. Bez względu więc na powody konieczne jest stałe dbanie o bezpieczeństwo i dostępność usług internetowych, zwłaszcza jeśli strona internetowa ma charakter komercyjny i aktywnie wspomaga prowadzoną przez firmę działalność gospodarczą.

Najważniejsze jest planowanie

Podobnie jak w przypadku całościowej polityki bezpieczeństwa, tak i przy planowaniu zabezpieczeń strony internetowej konieczne jest wcześniejsze rozpoznanie zagrożeń oraz opracowanie dokładnego planu zabezpieczenia tego wycinka infrastruktury informatycznej.

Jeśli firma zdecydowała się wykorzystywać rozwiązanie firewall, to docelowo serwer internetowy powinien pracować w strefie zdemilitaryzowanej (DMZ), znajdującej się pomiędzy Internetem a siecią lokalną. Firewall powinien być jednocześnie skonfigurowany w taki sposób, by do serwera docierały z Internetu wyłącznie te zapytania, które kierowane są do portów odpowiadających usługom internetowym, które światu zewnętrznemu chce udostępnić firma. Włamywacze często wykorzystują do włamania na serwer WWW luki w systemie operacyjnym, na którym on pracuje. Dlatego wskazane jest umożliwienie komunikacji wyłącznie po portach 80 (HTTP), 21 - jeśli firma udostępnia usługę FTP, 443 - gdy serwer potrafi również realizować bezpieczne transmisje z wykorzystaniem protokołu SSL i inne dodatkowe, jeśli tylko są one niezbędne ze względu na specyfikę dostępu do usług serwera (np. 25 do przesyłania poczty SMTP). Takie ograniczenie komunikacji znacznie utrudni pracę włamywaczowi. Jeśli firma nie dysponuje firewallem, to powinna ustawić filtrowanie transmisji na routerze łączącym ją z Internetem. Taką operację można przeprowadzić indywidualnie dla każdego numeru IP.

Jeśli serwer internetowy ma się komunikować z bazą danych, z której pobierać będzie informacje udostępniane użytkownikom Internetu, to pod żadnym pozorem nie powinna ona pracować na samym serwerze internetowym. Jeśli jest to baza produkcyjna, zasilana informacjami przez pracowników firmy, a jednocześnie serwer internetowy pobiera z niej i udostępnia tylko niektóre dane, to serwer bazodanowy nie powinien pracować nawet w strefie zdemilitaryzowanej. Powinien być zainstalowany w sieci lokalnej i być całkowicie niedostępny użytkownikom internetowym. Firewalla chroniącego styk DMZ-u i sieci lokalnej należy wtedy skonfigurować w taki sposób, by jedyną maszyną, która będzie się mogła komunikować przez ten firewall z serwerem bazodanowym, był serwer internetowy pracujący w strefie zdemilitaryzowanej (komunikacja ograniczona do jednego numeru IP). Taka konfiguracja uniemożliwi intruzom dokonywanie prób włamania bezpośrednio na serwer bazodanowy. Jeśli nawet przełamią oni zabezpieczenia pierwszego firewalla i uzyskają dostęp do serwera internetowego, to i tak od bazy danych oddzielać będzie ich dodatkowo kolejny firewall.

Bezpieczeństwo

Podstawowym błędem popełnianym najczęściej przez administratorów serwerów internetowych jest ich instalacja w standardowej konfiguracji. Taki serwer ma zazwyczaj wiele luk bezpieczeństwa, które znakomicie znane są włamywaczom. Dlatego istotne jest, by zaraz po instalacji zastosować się również do wskazówek producentów oprogramowania serwerów internetowych, którzy udostępniają zazwyczaj dokumentację opisującą, na jakie zagrożenia narażona jest standardowa konfiguracja. Doradzają również, w jaki sposób można uszczelnić bezpieczeństwo serwera, co najczęściej polega na usunięciu wszelkich dodatkowych, a często zbędnych komponentów instalowanych wraz z oprogramowaniem serwera (np. moduł umożliwiający jego zdalną administrację za pośrednictwem przeglądarki internetowej), usunięciu obsługi skryptów oraz ich interpreterów, które nie są potrzebne do pracy danej strony WWW itp.

Nie należy również zapominać, że bezpieczeństwo strony internetowej nie jest związane wyłącznie z zagrożeniami zewnętrznymi. Praca serwera WWW może być zakłócona przez nieprawidłowo napisaną aplikację internetową, która będzie wykorzystywać nadmiernie zasoby systemowe (czas procesora i pamięć operacyjną), powodując przeciążenie maszyny i w efekcie wstrzymanie bądź znaczne spowolnienie obsługi zapytań użytkowników przeglądarek. Dlatego w środowiskach wymagających wysokiej dostępności serwerów internetowych zalecane jest wdrożenie dwóch serwerów WWW: produkcyjnego i testowego. Pierwszy powinien pracować w sieci zdemilitaryzowanej i pełnić funkcję wyłącznie serwera publicznego, udostępnianego w Internecie. Nie powinien on jednak pozwalać na modyfikowanie zawartości strony internetowej przez pracowników zespołu odpowiedzialnego za jej rozwój. Funkcjonalność taką powinien oferować drugi serwer, testowy, pracujący w sieci lokalnej. Na nim to programiści powinni testować tworzone przez siebie aplikacje internetowe i dopiero po stwierdzeniu poprawności ich działania i usunięciu wszelkich błędów zawartość serwera testowego powinna być replikowana na serwer produkcyjny. Taka replikacja każdorazowo powinna być zatwierdzona przez osobę odpowiadającą za funkcjonowanie głównego serwera internetowego. Serwer testowy może być już słabo zabezpieczony i może oferować wszelkie udogodnienia niezbędne programistom i administratorom, łącznie z rozbudowanym systemem raportowania przebiegu pracy aplikacji i serwera.

Zwiększanie dostępności

Dostępność strony WWW nie zależy wyłącznie od tego, czy próby włamania kończą się powodzeniem oraz czy aplikacje na nim pracujące zachowują się poprawnie. Każdy serwer musi okresowo zostać wyłączony - chociażby z konieczności instalacji na nim nowego zestawu poprawek błędów wykrytych w oprogramowaniu serwera WWW lub systemie operacyjnym, konieczności instalacji dodatkowej pamięci, dysków twardych itp.

Operacje takie powodują automatyczne wyłączenie serwisu WWW, który w niektórych firmach powinien być dostępny non stop. Rozwiązaniem w takim przypadku jest instalacja dwóch lub większej liczby serwerów internetowych, które zawierają identyczne repliki zawartości stron WWW i wzajemnie współdzielą się obsługą zapytań przysyłanych z Internetu. Aby zrealizować taką funkcjonalność, serwery wcale nie muszą pracować w tradycyjnym klastrze. Wystarczy, że oferują funkcję równoważenia (load balancing) obciążenia zapytaniami TCP/IP lub też pomiędzy routerem a nimi pracuje dedykowane urządzenie oferujące taką funkcjonalność. Idea jego pracy jest bardzo prosta.

Gdy obydwa serwery internetowe pracują poprawnie, zapytania są równomiernie rozdzielane pomiędzy nimi. Oznacza to, że taki wirtualny klaster internetowy zdolny jest obsługiwać dwa razy lub większą n-krotność zapytań niż pojedynczy serwer. Ponadto urządzenie bądź oprogramowanie odpowiedzialne za dystrybucję ruchu może rozdzielać zapytanie o jedną stronę WWW pomiędzy serwerami, wymuszając wysłanie z jednego z nich z danej strony tylko samej treści, a z innego - znajdujących się na niej rysunków. W efekcie użytkownik obsługiwany jest szybciej.

Prawdziwa korzyść wynikająca z zastosowania funkcji Load Balancing widoczna jest jednak dopiero wtedy, gdy konieczne jest wyłączenie jednego z serwerów lub gdy ulegnie on awarii. Drugi z nich automatycznie przejmuje na siebie obsługę wszystkich użytkowników. Dzięki temu internauta zauważa co najwyżej spowolnienie dostępu, ale z jego punktu widzenia serwer nadal jest dostępny. Taka funkcjonalność pozwala informatykom w dowolnym momencie wyłączyć jeden z serwerów, by przeprowadzić na nim niezbędne operacje administracyjne.

Czekaj na poprawki

Zabezpieczenie serwera internetowego nie jest operacją jednorazową. Należy je traktować jako proces długotrwały, trwający tak długo, jak długo konieczne będzie utrzymywanie takiego serwera w firmie. Odnajdywanie przez włamywaczy kolejnych luk w systemach zabezpieczeń jest tylko kwestią czasu i dlatego administrator serwera internetowego powinien na bieżąco monitorować wszelkie listy dyskusyjne traktujące o bezpieczeństwie wykorzystywanego przez niego oprogramowania internetowego oraz platformy systemowej, na której ono pracuje. Powinien również na bieżąco instalować wszystkie udostępniane przez producentów oprogramowania poprawki, uprzedzając możliwość wykorzystywania przez intruzów ogólnie znanych luk w systemie zabezpieczeń.

Nieodzownym elementem zapewnienia dostępności serwera jest także monitorowanie jego wydajności. Rosnąca popularność Internetu powoduje bowiem, że jest on coraz częściej wykorzystywany jako sposób kontaktu klientów i partnerów z firmą. Wraz ze wzrostem liczby użytkowników serwera rosną również wymagania dotyczące jego wydajności. Tylko stały monitoring gwarantuje, że serwer nie zostanie niespodziewanie przeciążony.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200