DISCLAIMER PER I CLIENTI DELLE OPERAZIONI GESTITE
Per garantire che Rackspace abbia accesso al tuo server quando necessario, ti chiediamo di non modificare le seguenti configurazioni mentre consideri le migliori pratiche di sicurezza:
-
Quando si connette al server, Rackspace Support effettua l'accesso come utente rack utilizzando Connessione desktop remoto all'indirizzo IP pubblico sulla porta 3389.
-
La ricostruzione di server esistenti o la creazione di un nuovo server da uno snapshot richiede che gli accessi di amministratore siano abilitati e che la porta 445 non sia bloccata nel firewall Microsoft® Windows®.
Se devi modificare questi valori, contatta un amministratore di Rackspace per apportare le modifiche in un modo che non influisca sulla nostra capacità di fornirti un'Esperienza fanatica ®.
In questo articolo vengono fornite alcune procedure consigliate di sicurezza generali da considerare quando si configura un server Microsoft Windows che interagisce con la rete Internet pubblica. Sebbene queste bestpractice si applichino a qualsiasi server in generale, questo articolo tratta in modo specifico i server RackspacePublic Cloud che eseguono Windows.
Utilizza le regole del firewall locale
Per impostazione predefinita, i server Rackspace Public Cloud non dispongono di un dispositivo firewall. Per i server che interagiscono con la rete Internet pubblica senza dispositivo firewall, il firewall di Windows è l'unica protezione tra le risorse del tuo server e i tuoi dati privati e chiunque abbia accesso a una connessione Internet.
Disattiva quante più regole possibili sul firewall. Disabilitare le regole significa che un minor numero di porte sono aperte e in ascolto sull'interfaccia pubblica, il che limita l'esposizione del server a chiunque tenti di accedervi.
Per quelle porte che devono essere aperte, limitare l'accesso al server inserendo nella whitelist gli indirizzi IP in quelle regole specifiche. Aggiungi l'indirizzo IP del tuo computer di casa o dell'ufficio alla whitelist, anche se il tuo provider di servizi Internet (ISP) fornisce indirizzi IP pubblici dinamici che cambiano nel tempo. Puoi apportare modifiche alle regole del firewall secondo necessità dal pannello di controllo del cloud accedendo al server in remoto tramite la console e aggiungendo un nuovo indirizzo IP.
Limitando l'accesso al server tramite la whitelist dell'indirizzo IP, puoi assicurarti che gli utenti che hanno bisogno di accedere al server lo abbiano, ma quelli che non lo fanno siano bloccati da quegli openport. Le porte più tipiche che devono essere aperte nel firewall di Windows per l'hosting web su un server cloud sono le seguenti:
| Porto | Servizio |
|---|---|
| 80 HTTP | Siti IIS o applicazione web |
| 443 HTTPS | Siti o applicazioni Web IIS protetti con SSL |
Ti consigliamo di bloccare le seguenti porte tramite l'inserimento nella whitelist di indirizzi IP sull'interfaccia pubblica per limitare gli attacchi di forza bruta o i tentativi di sfruttamento contro account o servizi comunemente denominati sul server:
| Porto | Descrizione |
|---|---|
| 3389 | Connettività desktop remoto, per accedere in remoto al server |
| 21 FTP | Per il trasferimento sicuro dei dati tra posizioni geografiche locali e il server cloud |
| 990 FTPS (Windows) | Per il trasferimento sicuro dei dati tra posizioni geografiche locali e il server cloud che incorpora un certificato SSL |
| 5000-5050 FTP | Porte passive per comunicazione FTP |
| 1433 SQL | Porta predefinita utilizzata per la comunicazione SQL |
| 53 DNS | Porta predefinita utilizzata per le richieste DNS |
Considera ciò che condividi
Considera quali dati sono disponibili per gli altri tramite la condivisione di file. Non è consigliabile abilitare la condivisione file di Windows perché le porte aperte sul firewall (porte 445 e 139) espongono il server a tentativi di connessione indesiderati.
Alcuni clienti utilizzano i propri server per ospitare software di back-office come QuickBooks®, PeachTree, Microsoft Office® (Outlook® per sessioni di desktop remoto) o altre soluzioni software di terze parti. A volte i clienti desiderano configurare le unità di rete mappate per consentire loro di spostare facilmente i dati dai computer locali al server cloud tramite una lettera di unità sul computer locale. Tuttavia, non consigliamo questa pratica. Il tuo server è sicuro solo quanto la password più debole.
Inoltre, fai attenzione al software che consenti ai tuoi utenti di scaricare e installare sul tuo server. Ogni pacchetto software installato aumenta l'esposizione del tuo server agli attacchi.
Norme per le password
Indipendentemente dal fatto che tu abbia fornito o meno un server cloud con un firewall hardware, come affermato in precedenza, il tuo server è sicuro solo quanto la password più debole che ha accesso ad esso. Segui questi suggerimenti per le password:
-
Utilizzare password complesse di almeno 12-14 caratteri che includono lettere maiuscole e minuscole, numeri e caratteri speciali (come !, #, $ e %). L'assegnazione di password semplici è estremamente pericolosa, soprattutto per un server cloud disponibile su Internet pubblico.
-
Imposta una data di scadenza per la password di ogni utente. Sebbene sia scomodo dover ricordare periodicamente una nuova password, questa pratica può rendere i tuoi dati più sicuri.
Poiché i nostri processi di automazione post-compilazione dipendono dall'account utente predefinito dell'amministratore, non è consigliabile modificare questo nome utente sui server cloud che eseguono Windows.
Fai attenzione a chi ha accesso al server tramite l'account amministratore. Se più utenti necessitano dell'accesso come amministratore al server, creare più account con accesso come amministratore. È più facile tenere traccia degli utenti nei file di registro cercando un account utente specifico piuttosto che tentare di decifrare più voci di file di registro nell'account amministratore.
Più istanze di Event Id 4625 nel registro di sicurezza o Event Id 1012 nel SystemLog può significare che qualcuno sta tentando di hackerare il tuo server perché questi eventi sono correlati a tentativi di accesso non riusciti.
Per gli utenti che accedono tramite Connessione desktop remoto (RDC), assicurati che si disconnettono dal server per liberare tutte le risorse utilizzate invece di chiudere semplicemente le loro finestre RDC, lasciando aperta la sessione sul server.
Active Directory
In genere sconsigliamo di eseguire Active Directory su un server cloud perché l'unica protezione dalle intrusioni è il firewall di Windows e Active Directory introduce problemi in un ambiente di server cloud. Active Directory è generalmente utilizzato meglio in un ambiente server dedicato in cui i server sono posizionati dietro firewall fisici e collegati tramite tunneling VPN attraverso quell'appliance firewall.
Rackspace supporta una rete privata virtuale (VPN) solo se è tramite un firewall hardware in una soluzione denominata RackConnect. È più semplice implementare questa configurazione del firewall fisico prima di creare i server perché, al momento della stesura di questo articolo, il processo che connette il firewall e i server è automatizzato durante il processo di compilazione. I firewall fisici non vengono forniti con la stessa rapidità dei server cloud e devono essere richiesti tramite i nostri team ibridi. Per ulteriori informazioni sui firewall fisici e RackConnect, vedere https://www.rackspace.com/cloud-connectivity/rackconnect/.
Se installi Active Directory su un server cloud, ti consigliamo di eseguire due controller di dominio in caso di errore di uno (l'imaging non è attualmente disponibile per i controller di dominio). Ti consigliamo inoltre di bloccare il DNS per prevenire gli attacchi di amplificazione del DNS.
Istanze di SQL Server
Per i server che eseguono Microsoft SQL Server®, bloccare la porta SQL 1433 per l'ascolto solo sull'interfaccia interna, preferibilmente solo per le connessioni da un elenco di indirizzi IP noti di altri server che devono accedere a SQL Server sul server. Puoi consentire alla porta SQL 1433 di rimanere in ascolto sull'interfaccia pubblica, ma devi limitare questa regola solo agli indirizzi IP dei computer su cui gli sviluppatori si stanno connettendo ai database sul server.
Se non limiti queste connessioni al server, la porta 1433 viene esposta e gli hacker esterni lo tentare un attacco di forza bruta al server su questa porta. Questi tipi di attacchi causano un traffico di rete elevato, rallentano le prestazioni del server e portano persino downsite se un account importante viene bloccato. Limitando l'accesso a questa porta, riduci questi problemi prima che inizino.
Per i server che eseguono edizioni SQL Server Standard o SQL Server Web, consigliamo di configurare i piani di manutenzione per scaricare i dati dai file di database attivi in file flat di cui è possibile eseguire il backup dal server e per ripulire i backup in modo che non riempiano il disco rigido.
Aggiornamenti di Windows
Assicurati che gli aggiornamenti di Windows siano abilitati e sii consapevole dello stato del tuo server, assicurati che il tuo sistema operativo (OS) Windows sia aggiornato. Patch Tuesday, che si verifica il secondo martedì di ogni mese in Nord America, è il giorno in cui Microsoft rilascia regolarmente le patch di sicurezza. I clienti devono decidere come implementare al meglio una strategia di patching che mantenga aggiornati i loro server. Per impostazione predefinita, i server Rackspace Cloud controllano gli aggiornamenti tra le 2:00 e le 4:00 ogni giorno.
Backup del server
Imposta un tipo di piano di ripristino di emergenza. Un'opzione che offriamo è quella di creare immagini cloudserver di notte e scriverle nei contenitori di file cloud con una conservazione predefinita di sette giorni. Scatti uno snapshot del server e memorizzi l'immagine in Cloud Files per utilizzarla nella creazione di nuove istanze del server o nella ricostruzione del server esistente da quell'immagine.
Offriamo anche il backup a livello di file tramite backup su cloud. Non consigliamo di eseguire il backup dell'intera C: drive perché i file attivi bloccati causano il completamento del processo di backup con errori. Inoltre, i file di sistema di Windows sono contenuti nelle immagini di base da noi fornite o in qualsiasi immagine personalizzata scattata dai server, quindi non è necessario eseguire il backup di tali dati su base giornaliera. Si consiglia di eseguire il backup di C :\inetpub (IIS) e qualsiasi altro dato utente di cui è necessario eseguire il backup. Inoltre, se hai configurato i piani di manutenzione di SQL Server per eseguire il dump dei dati in tempo reale in file flat per i backup, ti consigliamo di includere anche tali directory nel backup.
Controllare i processi di backup per assicurarsi che vengano completati correttamente e che i backup siano validi. Crea una nuova istanza del server da un'immagine per assicurarti che l'immagine sia valida e ripristina un file da Cloud Backups per verificare che i dati di cui è stato eseguito il backup siano stati ripristinati.
Nota :Non tutti i server possono trarre vantaggio da Cloud Images. In particolare, non puoi creare immagini di server che utilizzano Avvio dal volume configurazioni. Inoltre, mentre un'immagine del server può essere utile, le immagini non dovrebbero mai essere considerate l'unica fonte di backup perché il processo dell'immagine non verifica l'integrità del file. Rackspace consiglia vivamente di eseguire backup a livello di file per i dati più importanti. Pertanto, dovresti considerare la migliore soluzione per il ripristino di emergenza per la tua azienda. Puoi esaminare le differenze tra le immagini del server e il backup nel cloud in questo articolo:Backup nel cloud di Rackspace e backup delle immagini del server nel cloud
Codice
L'ultima superficie di attacco esposta a Internet è il codice. Tu e i tuoi sviluppatori dovete assicurarvi che il codice applichi l'autenticazione e l'autorizzazione appropriate. Ad esempio, non dovresti consentire l'esecuzione di un'applicazione Web con privilegi a livello di amministratore. L'autorizzazione dei file dovrebbe essere definita con attenzione e tutti gli input sull'applicazione dovrebbero avere la migliore convalida possibile per impedire agli hacker di sfruttare l'applicazione Web e ottenere il controllo del server.
I seguenti siti forniscono informazioni sul miglioramento della sicurezza di ASP.NET:
- https://www.asp.net/web-forms/pluralsight
- https://www.iis.net/configreference/system.webserver/security/requestfiltering
- https://blogs.iis.net/wadeh/archive/2008/12/18/filtering-for-sql-injection-on-iis-7-and-later.aspx
Conclusione
A seconda del caso d'uso, i clienti potrebbero avere altre esigenze più specifiche da affrontare quando sfruttano il nostro servizio di server cloud per soddisfare le loro esigenze di hosting. Tuttavia, questi consigli generali sono un buon inizio quando si considera la sicurezza durante la creazione di server Windows, cloud o altro.