Technology is ubiquitous in our society today, allowing individuals with a wide range of experience from novice home users to advanced data center professionals access to valuable personal and business data with a single mouse click or thumb tap. On a daily basis, vast amounts of critical data are being accessed, modified, and transported between corporate servers. Since data security is critical when it comes to preventing identity theft, avoiding ransomware attacks, keeping trade secrets secret, and, as demonstrated by the recent Equifax debacle, maintaining your company’s reputation in the market, it has never been more important for CIOs and IT decision makers to have a strong focus on how to keep their servers secure. This does not only apply to data encryption and access controls, but also the numerous pathways in which a server allows access to its data as well. An Internet security threat report (ISTR) released by Symantec in April 2017 states “business email compromise (BEC) scams, which rely on little more than carefully composed spear-phishing emails, continue to cause major losses; more than $3 billion has been stolen in the past three years” (Source: Symantec).
In this piece, we’ll cover some security best practices that will help secure your data center infrastructure and keep your sensitive data secure.
防火牆
一個強大而全面配置的防火牆是 IT 安全的基石。 防火牆是伺服器基礎架構中的軟體、硬體或軟體與硬體系統,它限制並阻擋未經授權的網路存取。 作為未經身份驗證的網路入侵的第一道防線,它阻擋對網路所有埠的存取,除了那些被批准使用的埠,大大降低了伺服器被非法存取入侵或損壞的機會。 高級防火牆具有詳細的審計功能,允許監控通過它的流量類型和數量,以便管理員可以審查這些數據,以幫助識別其安全結構中的缺陷。 有大量的防火牆選項可用於本地和外部網路應用程式,提供軟體和硬體解決方案,因此,一如既往,最好先確定您的系統和安全要求,然後再尋找解決方案。
密碼策略
為所有存取網路的使用者實施強大的密碼策略對於限制企業 IT 基礎設施的入侵至關重要。 不強制隨機且複雜密碼策略的組織很容易使其使用者密碼遭到洩露。 現今開發的惡意軟體程式利用演算法不斷探測網站和 IP 位址,嘗試隨機密碼,希望能夠入侵並執行漏洞利用。 使用大小寫字母、符號和數字的隨機組合將使密碼難以破解。 此外,讓使用者定期更新密碼有助於縮短惡意使用者在獲得使用者憑證後能夠造成損害的時間窗口。
更進一步來說,透過超越僅使用使用者名稱和密碼進行驗證,可以讓伺服器更難被入侵。對於透過 SSH 存取的伺服器,公開金鑰驗證是必不可少的。此外,在可能的情況下,組織應考慮實施雙因素驗證 (2FA),以降低憑證遭洩露所帶來的風險。
定期檔案與服務掃描
保護您關鍵任務數據的另一個重要任務是對伺服器上的檔案和服務進行分析。服務掃描,也稱為服務稽核,是一個識別系統中正在運行的服務、這些服務活躍的網路連接埠以及任何已批准的協定的過程。由於伺服器在運行時使用許多服務,因此了解哪些服務是日常使用和存取所必需的非常重要。然後,隨著時間的推移持續掃描,可以建立基準,管理員可以判斷不熟悉的服務是否為惡意程式的一部分,並應將其移除,或透過停止不必要的服務來減慢伺服器處理速度,從而簡化伺服器性能。這作為網路防火牆之後的重要第二道防線,有助於預防或減輕惡意使用者或程式成功突破防火牆所造成的損害。
檔案掃描或稽核是一個將系統檔案的現狀與伺服器在已知工作且配置正確的運作狀態時先前的掃描配置進行比較的過程。這提供了與服務掃描類似的好處,因為它允許管理員識別系統中是否發生了未經授權的變更。使用入侵偵測系統 (IDS) 是一種監控伺服器活動並提供未經授權存取或操作通知的軟體程式,對於伺服器安全來說是理想的選擇,因為自動檔案稽核通常是 IDS 附帶的功能。
軟體更新與修補程式
如同現今大多數需要更新的硬體和軟體解決方案一樣,伺服器的更新和修補程式絕不能忽視。重要的是,要為您的伺服器應用最新的更新套件和安全修補程式。透過維持定期更新排程,並建立修補程式處理程序,在伺服器發佈安全相關更新時立即應用,您可以確保您的基礎設施受到保護,免受最近發現的任何已知安全漏洞的侵害。如果更新和修補程式未應用,伺服器將更容易受到攻擊。軟體更新通常很容易執行,因為它們通常透過程式或公用程式自動化,但可能需要短暫的停機時間才能完成。部署冗餘伺服器可以幫助您的使用者對單一伺服器的任何停機時間無感,並允許您實施修補程式和安全更新,而不會導致操作中斷。
教育使用者
如上述 Symantec 報告所示,社交工程攻擊可能是最具破壞性的一些攻擊。如果授權使用者因社交工程攻擊而受害,管理員試圖實施的所有加密和防火牆強化都將白費。教育使用者在處理電子郵件、URL、可疑簡訊和社交媒體訊息以及密碼管理方面的最佳實踐,對於維護網路安全至關重要。定期培訓和時事通訊,重點介紹常見的社交工程攻擊,可以幫助使用者更加警惕,減少被操縱的可能性,進而損害您的業務。
資料備份
由於關鍵任務數據和應用程式儲存在伺服器上,即使只有一台伺服器無法存取,也可能癱瘓一家企業,甚至可能永久性地。Rand Group 發布的一篇文章顯示,98% 的組織報告一小時的停機時間造成的損失超過 100,000 美元(來源:Rand Group)。由於伺服器已成為各種規模企業不可或缺的資源,因此備份所有與日常營運和業務連續性相關的數據至關重要。擁有備份數據庫伺服器可最大限度地減少在發生不可預見事件時的收入損失。執行數據備份應作為 IT 團隊日常運營的一部分,因為它是一個可以在非高峰時段執行的自動化任務。有各種伺服器和數據庫備份選項可供選擇,包括現場解決方案和基於雲端的工具。維護任何備份數據完整性和安全性的核心是具有高可靠性、性能和容錯能力的伺服器。Premio 提供多種客製化解決方案,其中Premio Flachestream 固態硬碟伺服器尤其適合數據庫及其備份。
以上建議不僅適用於新的安裝或解決方案。當今任何企業的現有架構都必須謹慎維護最嚴格的安全實踐,否則將成為下一個網路攻擊的受害者。在網路犯罪和資料外洩可能導致企業倒閉的現代 IT 世界中,保護伺服器及其包含的資料必須被視為保護各種規模組織的首要任務。