Сучасні інформаційні технології/4. Інформаційна безпека

 

Єлізаров А.Б.  Щетінін О.С.

Національний Авіаційний Університет, Україна

Основні рівні захисту WEB-серверів

 

Безпека - це люди, процеси, програми. Це безперервний пошук вразливих місць вашої системи, налагоджена структура ліквідації загрози і контроль над виконуваними програмами. Інтернет міцно увійшов в наше життя і всі методики повинні удосконалюватися. З'являються нові підходи до безпеки, та ігнорування їх було б великою помилкою. Помилкою, усвідомлення якої може прийти занадто пізно.

Захист мережі можна розділити на шість рівнів складності. Перший - найбільш елементарний, і обов'язковий. Тут головний інструмент захисту - firewall. Firewall повинен лімітувати використання сервісів, що надаються користувачам. Також firewall повинен стежити за всіма з'єднаннями, як з одного, так і з іншого боку. Не варто застосовувати тут програми незрозумілого походження, віддавайте перевагу ліцензійним ПЗ. Адже це самий передовий бастіон захисту ваших даних. Багато вразливостей можна усунути вже на цьому етапі.

Другий рівень безпеки має на увазі конфігурацію операційної системи, під чиїм керуванням працює веб-сервер. Кожна операційна система дозволяє створювати контрольні листи безпеки (security checklist). Ці установки повинні бути узгоджені з операційними системами вендорів, які співпрацюють з компанією. Важливо також, щоб нові додатки своєчасно вносились до security cheklist, а не відключались через нього. Це повинно бути правилом.

Третій рівень орієнтований вже на мережу. Необхідно забезпечити датчиками атаки мережного обладнання та програмного забезпечення провайдера, що забезпечує хостинг. Головне, щоб сигнал, який надійшов про небезпеку, був правильно оброблений і нейтралізований.

Четвертий рівень безпеки - установка програмного забезпечення на рівні хостингу. Це значно складніше завдання. По-перше, тут можна зіткнутися з запереченнями самої хостинг-компанії. А по-друге, таке програмне забезпечення набагато складніше простих датчиків. З цієї причини й рівень безпеки більш високий.

Рівень 5 має два підрівня - А і Б.

Рівень 5А - це встановлення спеціального програмного забезпечення, що виконує роль прошарку між операційною системою веб-сервера і усіма додатками. Такий буфер дозволяє запобігти атаці хакерів на вразливі програми, які беруть під контроль усю операційну систему під час свого виконання. Це не найдешевший варіант, тому що, як і на попередньому рівні, необхідно забезпечити підтримку програмного забезпечення, яким оперують веб-сервери.
Рівень 5Б є установкою орієнтованих на конкретні програми firewall або проксі-серверів. Вони орієнтовані на HТTP-протокол і дозволяють запобігти атакам перш, ніж потенційні зловмисники зуміють дістатися до запуску додатків, встановлених на веб-сервері. Однак, проксі-сервер - це істотне обмеження в роботі.

Шостий рівень - своєрідна вершина безпеки. Тут допускається використання тільки довірчих операційних систем і додатків, що працюють під їхнім управлінням. Іншими словами, всі функціонуючі програми та операційні системи повинні бути або максимально адаптовані, або розроблені спеціально для специфічних потреб компанії. Це найдорожчий, але і самий ефективний спосіб захисту. До того ж потребує спеціальної підготовки від адміністратора мережі, а часто і від користувачів, що також спричиняє додаткові витрати. Та й оновлення будь-якої програми потребує попередньої інтеграції в довірчу систему.

Як і скрізь вирішальним фактором стає співвідношення ціна/якість. І тим не менше кожна компанія повинна мати як мінімум два перших рівня захисту. Будь-яка компанія, для якої псування інформації є критичною (і може серйозно вплинути на функціонування підприємства), повинна оснастити свої веб-сервери третім рівнем безпеки. Це стосується підприємств, які просто використовують у своїй роботі мережу Інтернет. Якщо ваші користувачі підключені до неї, то зловмисники можуть знайти лазівки, щоб проникнути у ваші віртуальні володіння і зіпсувати ваші дані. Всі компанії, що використовують віддалений доступ до мережі для запуску додатків на веб-сервері, зобов'язані мати рівні вище четвертого (4, 5A або 5Б). Один із прикладів - наявність важливої бази даних на сервері, доступ до якої здійснюється через віддалений доступ або мережу Інтернет. До цієї категорії можна віднести інтернет-магазини та електронні трейдингу. Якщо ви не можете повністю контролювати дію своїх веб-майстрів, то достатнім буде рівень 4. Класичний випадок, коли кілька адміністраторів відповідають за різні ділянки сайту. Часто такі адміністратори можуть працювати поза офісом або вдома. При цьому їх права на доступ дозволяють внести істотні корективи в дані. А це не завжди бажано. Якщо ж користувачі здатні контролювати налаштування мережевих додатків, то необхідний захист п'ятого рівня (як А, так і Б). Це справедливо для складних систем, коли комп'ютери, підключаються через мережу до сервера і мають права не тільки запускати програми, але і змінювати налаштування цих додатків. Шостий рівень - повна гарантія безпеки.

Втім з розвитком систем, хакери також розвивають свої навички, і якщо ви встановили найнадійнішу систему захисту, ніхто не може гарантувати що через пів року не з’являться більш надійні системи, а ваша буде застарілою. Тому, для надійності треба постійно модернізувати свою систему.