您的服务器是您的业务。这是21世纪的事实。您的服务器可以成就或破坏您的业务。维护良好的服务器可以推动您的业务向前发展并带来收入。管理不善的服务器可能意味着丢失业务、数据或客户信息,这对公司来说即使不是完全致命的,也可能是严重的。由于它们扮演的关键角色,存储在您的服务器上的机密组织数据和信息非常有价值。有一句流行的说法,“数据是新的石油”。或黄金,随你选择。如果您不确定如何保护您的服务器,或者您不确定是否已经涵盖了所有基础知识,本文将提供一些可用于保护您的服务器的安全提示。
服务器安全的 12 个技巧
保持软件和操作系统更新
在服务器安全方面,掌握与软件和操作系统相关的安全修复程序至关重要。由于未打补丁的软件,系统黑客和妥协经常发生。通常,软件供应商会向客户推送更新通知,您不应拖延。服务器软件在发布之前已经过广泛测试,但您可能希望测试与您自己的环境的兼容性问题。补丁管理工具可以提供帮助,漏洞扫描工具和其他寻找安全漏洞的工具也可以提供帮助。
尽可能自动化和使用人工智能
犯错是人为的,大多数主要服务器中断都是由人为错误造成的。人们超负荷工作,可能会错过一些东西。为了执行功能一,尽可能允许自动化。例如,大多数系统都支持补丁的自动下载和安装,并且越来越多的 AI 产品可以监控、保护和升级您的系统。
使用虚拟专用网络
专用网络基于 Internet 协议地址空间。一个虚拟专用网络被认为是私人,因为没有互联网协议地址的数据包通过公共网络进行传输。虚拟专用网络将允许您在位于不同地方的不同计算机设备之间建立连接。它可以让您以安全的方式在您的服务器上执行操作。您可以与同一帐户上的其他服务器交换信息,而不会受到外部威胁。为了确保您的服务器安全,您应该设置一个虚拟专用网络。
考虑零信任网络
防火墙和虚拟专用网络的弱点之一是它们不能阻止内部移动。一旦黑客突破了您的围墙,他们几乎可以在整个网络中自由移动。这就是零信任网络的用武之地。顾名思义,零信任网络不允许受信任的用户或设备访问任何内容,除非另有证明。这被称为“最低权限”方法,它需要对所有内容进行严格的访问控制。
加密一切
任何数据都不应在未加密的情况下在您的服务器上移动。安全套接字层证书是保护两个系统之间通过 Internet 进行通信的安全协议。嗯,这同样适用于您的内部系统。对于 SSL 证书,只有预期的接收者才能拥有解密信息的密钥。连接到远程服务器时,使用 SSH(Secure Shell)对交换中传输的所有数据进行加密。使用 SSH 密钥使用 RSA 2048 位加密,而不是使用更容易破解的密码对 SSH 服务器进行身份验证。要在服务器之间传输文件,请使用文件传输协议安全 (FTPS)。它加密数据文件和您的身份验证信息。最后,需要来自防火墙外部的连接才能使用虚拟专用网络。虚拟专用网络使用自己的具有私有 IP 的私有网络在服务器之间建立隔离的通信通道。
不要只使用标准防火墙
防火墙是确保您的服务器安全的必备条件,但防火墙不仅仅是本地防火墙。还有一些托管安全服务提供商 (MSSP) 为您的网络提供托管防火墙服务。根据服务协议的范围,MSSP 可以执行防火墙安装、应用程序控制和 Web 内容过滤,因为它们有助于确定要阻止的应用程序和 Web 内容 (URLS)。他们还将帮助管理修补和更新。有100 个 MSSP可供选择。
更改默认值
大多数系统中的默认帐户是 root 帐户,这是黑客的目标。所以摆脱它。名为 admin 的帐户也是如此。不要在您的网络上使用明显的帐户名称。您可以通过减少所谓的攻击向量来提高服务器安全性,攻击向量是运行所需的最低限度服务的过程。Windows 和 Linux 的服务器版本带有大量服务,如果不需要,您应该关闭这些服务。Wi-Fi 接入端口默认广播其身份,因此如果您在范围内,您的端点设备将看到它。进入访问端口并关闭广播,因此任何想要使用它的人都必须知道访问点的实际名称。并且不要使用制造商的默认名称。
创建多服务器或虚拟环境
隔离是您可以拥有的最佳服务器保护类型之一,因为如果一台服务器受到威胁,黑客就会被锁定在该服务器上。例如,标准做法是将数据库服务器与 Web 应用程序服务器分开。完全分离需要拥有不与其他服务器共享任何组件的专用金属服务器。这意味着更多的硬件,可以加起来。相反,虚拟化可以用作隔离环境。在数据中心拥有隔离的执行环境允许所谓的职责分离 (SoD)。SoD 遵循“最低权限”原则,这实质上意味着用户不应拥有比完成日常任务所需的更多权限。为了保护和保护系统和数据,必须建立一个用户层次结构,每个用户都有自己的用户 ID 和尽可能少的权限。如果您负担不起或不需要使用专用服务器组件进行完全隔离,您还可以选择隔离执行环境,也称为虚拟机和容器。此外,来自 Intel 和 AMD的最新服务器处理器具有专门的 VM 加密,以便将 VM 与其他 VM 隔离。因此,如果一个 VM 遭到破坏,黑客将无法访问其他 VM。
密码正确
密码总是一个安全问题,因为人们对它们太草率了。他们在任何地方都使用相同的密码,或者使用简单、容易猜到的密码,如“password”、“abcde”或“123456”。您也可能根本没有任何密码。要求密码包含大小写字母、数字和符号的混合。强制定期更改密码,使用一次后禁用旧密码。
关闭隐藏的开放端口
攻击可能来自您甚至没有意识到是开放的开放端口。因此,不要假设您知道每个端口;这是不可能的。不是绝对必要的端口应该关闭。Windows Server 和 Linux 共享一个名为 netstat 的通用命令,该命令可用于确定哪些端口正在侦听,同时还可以揭示当前可能可用的连接的详细信息。
- 所有端口的信息——“netstat -s”
- 列出所有 TCP 端口——“netstat -at”
- 列出所有 UDP 端口——“netstat -au”
- 所有打开的监听端口——“netstat -l”
经常正确地进行备份
2009 年,一个充满飞行模拟文件的服务器遭到黑客攻击,其内容被破坏。该站点分布在两台服务器上,并相互用作备份;服务器A备份到服务器B,服务器B备份到服务器A。结果一切都丢失了。不要像那个网站。您不仅需要定期进行计划备份,而且还应该将它们备份到您网络之外的异地位置。异地备份是必要的,尤其是对于勒索软件攻击,您只需擦除受感染的驱动器并恢复它即可。还可以考虑灾难恢复即服务 (DRaaS),这是众多即服务产品之一,它通过云计算模型提供备份。它由许多本地供应商和云服务提供商提供。无论您有自动备份作业还是手动执行,请务必测试备份。这应该包括健全性检查,管理员甚至最终用户都可以在其中验证数据恢复是否一致。
执行定期和频繁的安全审计
如果没有定期审核,就不可能知道问题可能存在于何处或如何解决这些问题以确保您的服务器得到充分保护。检查您的日志是否有可疑或异常活动。检查软件、操作系统和硬件固件更新。检查系统性能。黑客通常会导致系统活动激增,异常驱动器或 CPU 或网络流量可能是迹象。服务器不是一劳永逸的,必须经常检查。
