Защита веб-сервера и сервера приложений

Защита веб-сервера и сервера приложений — это комплекс мер по устранению угроз, направленных на эти серверы, с целью защиты веб-трафика, локальной корпоративной сети и информации, хранящейся в ней.

Веб-сервер представляет собой сервер, обслуживающий HTTP-запросы. Его главная задача заключается в отображении статического контента сайта. Дополнительно он автоматизирует работу веб-страниц, авторизует и аутентифицирует пользователей, ведет журнал пользовательских запросов, поддерживает защищенные HTTPS-соединения. Такой веб-сервер называют ещё статическим. Он может работать отдельно без сервера приложений.

Когда статический веб-сервер работает совместно с сервером приложений и базой данных, он направляет запросы динамического контента на сервер приложений. В этом случае его называют динамическим.

Сервер приложений представляет собой фреймворк (программную платформу), который работает не только с HTTP и HTTPS, но и с другими протоколами. Он обеспечивает взаимодействие пользователей с динамическим и статическим контентом.

Веб-серверу и серверу приложений необходима защита от проникновения в программное обеспечение, перехвата трафика и несанкционированного доступа к важной информации.

Виды угроз

Перед осуществлением мероприятий по информационной защите веб-сервера, необходимо провести аудит (анализ) систем работы сервера. Он помогает определить вид угрозы и методы обеспечения безопасности.

Основными видами угроз являются:

  • хакерская атака на операционную систему и модификация файлов, обеспечивающих работу программного обеспечения;
  • несанкционированный доступ к трафику и его перехват;
  • DDoS-атаки на сервер;
  • ошибки в работе серверного оборудования в результате поломки или его выхода из строя;
  • человеческий фактор, такой как ошибки в обслуживании веб-сервера;
  • умышленная порча веб-сервера и допущение ошибок в его эксплуатации.

Способы защиты веб-сервера и сервера приложений

Целью защиты веб-сервера и сервера приложений является исключение несанкционированного доступа к ним. Для этого проводится разграничение прав доступа к информации на серверах. Для обеспечения защиты трафика применяются методы шифрования информации и ее передача по защищённым каналам связи.

Web application firewall

Для обеспечения безопасности в работе сервера приложений используется межсетевой экран приложений (Web application firewall или сокращенно WAF). Это комплекс мониторов и фильтров, работающих на прикладном уровне. WAF надстраивается над сервером приложений для анализа в режиме реального времени входящего и исходящего трафика и принятия решений отклонить или предоставить доступ.

Создание SSH-ключей

Пара из открытого и закрытого SSH-ключей — это специальные коды, созданные при помощи криптографии. Они позволяют идентифицировать доверенного пользователя и по эффективности превосходят генерацию логинов и паролей.

В этой технологии полностью исключается человеческий фактор, а также умышленный подбор пароля при помощи вычислительных технологий. Теоретически можно расшифровать комбинацию ключей, но это слишком трудоемкий и долгий процесс, который возможно осуществить в исключительных случаях.

Настроить SSH-ключи может системный администратор на любой операционной системе, включая Unix-системы с открытым исходным кодом.

Установка межсетевого экрана

Межсетевой экран еще называют сетевым экраном, файрволом или брандмауэром. Это программно-аппаратное или программное решение, которое защищает веб-сервер от несанкционированного доступа через открытые порты и трафик. Доступ регулируется настройками сетевого экрана согласно корпоративной политике безопасности.

Межсетевой экран обязателен для любой системы информационной безопасности, независимо от результатов предварительного аудита и дополнительных методов защиты.

VPN и Private Networking

VPN и Private Networking — это технологии создания виртуальной частной сети и частной сети с безопасным соединением между серверами и пользователями.

VPN и Private Networking настраиваются под потребности компании. О существовании частной сети знают только ее пользователи. Это позволяет минимизировать внешние угрозы.

VPN

Защита от DDoS-атак

Стандартные способы защиты веб-сервера не могут оградить его от DDoS-атак.

Для безопасности веб-сервера от DDoS-атак необходимы межсетевой экран, утилиты iptables и ipset, а также скрипты для блокировки ботов.

PKI- и SSL/TLS-шифрование

Это построение инфраструктуры открытых ключей (PKI) для создания сертификатов идентификации пользователя и передачи зашифрованной информации через криптографический протокол SSL/TLS.

SSL-шифрование

Для этого создается центр сертификации и управления сертификатами для проверки прав доступа.

Построение изолированной среды

Это создание изолированной среды работы приложений и программ при помощи их отделения друг от друга и распределения на собственные серверы. Степень изоляции зависит от системных требований каждого программного продукта и уровня его значимости в работе всей ИТ-инфраструктуры.

Таким образом программное обеспечение изолируется от угроз и влияния на работу всей системы несанкционированного доступа к одному процессу.

Антивирусные программы

Независимо от того, на какой операционной системе работает веб-сервер, не рекомендуется пренебрегать установкой антивирусных программ. В случае заражения каких-либо файлов, антивирусная программа не позволит вирусу захватить всю систему.

Обеспечение доступности данных

Помимо защиты веб-сервера и сервера приложений от внешних угроз, применяются меры и от угроз внутренних: ошибки сотрудников, выход из строя оборудования или ПО. Комплекс решений направлен на защиту данных и обеспечение отказоустойчивости технических средств.

Все описанные способы обеспечения защиты веб-сервера могут быть реализованы вместе или отдельно.

Партнёры-разработчики решений по защите веб-сервера

Сегодня для обеспечения защиты веб-сервера и сервера приложений собственные решения разрабатывают многие ИТ-компании:

  • «Лаборатория Касперского»;
  • «Код Безопасности»;
  • «Рутокен»;
  • «КриптоПро»;
  • «АЛТЭКС-СОФТ»;
  • Dr.Web («Доктор Веб»);
  • Positive Technologies;
  • InfoWatch;
  • Fortinet;
  • Huawei;
  • Microsoft Corporation;
  • IBM;
  • Websense Enterprise;
  • Thycotic.

Получить консультацию специалиста