Как защитить сервер от взлома: практические советы от провайдера

Всё больше компаний арендуют облачные серверы вместо того, чтобы покупать и настраивать собственные — физические. Виртуальное пространство обходится дешевле, его легко масштабировать или сократить, а за техническим состоянием следит провайдер. Чтобы данные компании были в безопасности, сервер нужно защищать от взлома — это делают и провайдер, и арендатор.

В статье рассказываем, какие риски грозят серверу, как их избежать и кто отвечает за сохранность данных.

Какие угрозы существуют для сервера

Компании хранят на внешних серверах огромные массивы данных, в том числе конфиденциальных. Такая информация привлекает злоумышленников, которые действуют в собственных интересах или по заказу недобросовестных конкурентов. Если киберпреступники взломают сервер, компания может потерять данные, лишиться прибыли и даже испортить свою репутацию. Чтобы похитить данные, хакеры используют следующие способы.

DDoS-атаки. С их помощью злоумышленники пытаются ограничить доступ пользователей к серверу за счет отправки большого количества запросов. Сервер не выдерживает такого объема трафика и «падает», в результате чего страдают системы, которые управляют бизнес-процессами предприятия. Например, в 2023 году из-за DDoS-атаки на российскую систему регистрации пассажиров люди не могли купить билеты и вовремя улететь. Чтобы устранить последствия атаки, нужно время, а это может привести к неустойкам и потере клиентов. 

Фишинговые атаки. Это одна из самых распространенных угроз. Ее суть в том, что злоумышленники пытаются получить конфиденциальные данные сотрудников, «притворяясь» настоящими банками, госорганами или компаниями-клиентами. Если работник откроет ссылку в письме или скачает вроде бы нужный документ, в систему попадет вирус, который может вывести сервер из строя или похитить данные.

Физическое воздействие. Компании-арендаторы пользуются технологиями виртуализации, но физически серверы всё равно существуют — они расположены в дата-центрах, или ЦОД. Если владелец ЦОД не обеспечивает должный уровень защиты, злоумышленники смогут взломать или повредить серверы прямо в месте их размещения. Забегая вперед, наш ЦОД защищен тремя контурами контроля и попасть туда просто так невозможно.

Чтобы украсть данные или заблокировать сервисы, злоумышленникам часто даже не нужно устраивать атаки — пользователи сами пускают хакеров на сервер. В этом «виноваты»:

• Проблемы с аутентификацией и авторизацией. По данным сервиса NordPass, 4,5 млн пользователей используют для входа в свои учетные записи пароль 123456, а еще 4 млн — admin. Аккаунты с такой защитой хакеры взламывают меньше чем за секунду в автоматическом режиме, с помощью роботов, которые сканируют подобные ошибки конфигураций. 

Еще одна опасность для сервера — слишком широкие настройки авторизации. Например, когда у рядового оператора базы данных есть права на внесение, редактирование и скачивание информации, хотя для работы ему нужно только вносить записи. Это повышает риск кражи данных с сервера сотрудниками компании.

• Уязвимости ПО. Компании размещают на виртуальных серверах не только данные, но и программное обеспечение. В любом ПО могут быть уязвимости, через которые злоумышленники получают доступ к системе. Например, при уязвимости удаленного выполнения кода хакеры могут установить вредоносное ПО, взять сервер компании под свой контроль и использовать его для майнинга криптовалюты. 
• Удаленная работа на личных устройствах. Сотрудники, которые работают дистанционно и используют для этого личные гаджеты, — это удобно, но небезопасно для данных компании. Не у всех смартфоны и компьютеры защищены от вирусов и спам-атак, а еще многие подключаются к общедоступному Wi-Fi. Именно поэтому есть риск, что хакеры получат доступ к ПК сотрудника, а через него — и к внешнему серверу.

Давайте разберемся, как предотвратить все эти угрозы.

Как защитить сервер на техническом уровне

В mClouds можно арендовать серверы, которые работают под ОС Windows и Linux последних версий. Вот основные рекомендации, как обезопасить виртуальное пространство.

Защитить канал управления сервером. Если сервер работает под ОС Windows, то подключение обычно происходит через штатную утилиту RDP-клиентом. По безопасной настройке удаленного доступа через RDP мы рассказывали в предыдущей статье в нашем блоге. Но самый простой способ будет сменить стандартный порт подключения 3389 на другой. Чтобы защитить сервер под *nix, используйте криптографические SSH-ключи. Так информация, которая пересылается с сервера на ПК системного администратора и обратно, будет зашифрована. 

Настроить аутентификацию и авторизацию, роли и привилегии. Создавайте надежные пароли, в которых не менее 12 символов и обязательно есть специальные знаки. В идеале для каждого сервиса должен быть свой пароль: если один взломают, другие будут в безопасности. Используйте двухфакторную аутентификацию — так у злоумышленников будет гораздо меньше шансов войти в вашу учетную запись.   

Включить шифрование данных. Для этого установите SSL- и TLS-сертификаты. Они обеспечивают защищенное соединение: данные передаются от пользователя на сервер по протоколу HTTPS . Даже если злоумышленники перехватят информацию, они не смогут ее распознать. 

Следить за обновлениями ОС и ПО. В них разработчики добавляют исправления уязвимостей, через которые хакеры могут получить доступ к данным. Чтобы обеспечить максимальную защиту сервера, включите автоматические обновления и отслеживайте, какие исправления и улучшения появились. 

Настроить межсетевые экраны. Файрвол, или брандмауэр, помогает контролировать входящий и исходящий трафик. Если хакеры попытаются проникнуть на сервер, межсетевой экран выявит нежелательные соединения и заблокирует подозрительные порты.  Как обеспечить эффективную защиту серверов на базе Windows Server мы делились в статье. 

Использовать VPN. Виртуальные частные сети помогают скрыть данные о местоположении сервера и защитить информацию, которая передается между сервером и клиентом, от хакерских атак.  Подключение к нашему облаку возможно через тоннели VPN, при этом сервера будут доступны только через VPN и не иметь вовсе доступа во внешнюю сеть, если вы это не настроите специально, в результате ваши сервисы будут максимально защищены от внешних атак.

Создавать резервные копии. Так вы сохраните данные в случае их повреждения или атаки на сервер, а потом быстро восстановите. Частота бэкапов зависит от масштаба компании, расположения и объема хранилища, критичности потери данных. Например, бизнесу с тысячами сотрудников и сотнями тысяч клиентов бэкапы нужны раз в 15–60 минут. При этом резервные копии желательно хранить отдельно от исходных данных, чтобы надежнее защитить информацию от случайного удаления и хакерских атак. 

Использовать антивирусное ПО. Вирусы, трояны и шпионские программы могут украсть данные, нарушить работу сервера или использовать его для атаки на другие системы. Антивирус обнаруживает и блокирует такие попытки. Также использование антивируса не только снижает вероятность внутреннего занесения, так и защищает сервер от внешнего сканирования на уязвимости, дополняя браундмаур сервера, так например вы не "поймаете" шифровальщик. 

Что сделать на организационном уровне

Вы можете досконально проработать техническую сторону защиты, но одно неверное действие сотрудника способно сломать всю систему. Именно поэтому важно провести работу и с персоналом. 

Разработать политику безопасности при работе в сети. Это поможет защитить конфиденциальную информацию и оградить сервер от атак злоумышленников. Политика безопасности особенно важна, если сотрудники работают на личных устройствах.

В документе можно указать, что компания может ограничить доступ к определенным данным, а сотрудники обязаны использовать только разрешенные устройства и приложения, установить антивирусное ПО, создать надежные пароли.

Настроить управление доступом. Настройте роли и привилегии так, чтобы пользователи имели минимально необходимый доступ. Это особенно важно для сотрудников, которые работают с базами данных и операционными системами. 

У каждого администратора должна быть своя учетная запись. А если работаете с *nix-системами, отключайте учетную запись root и используйте программу sudo. 

Обучить сотрудников безопасной работе. В первую очередь тех, кто имеет доступ к оборудованию, базам данных и конфиденциальной информации. Подготовьте материалы, которые помогут сотрудникам распознавать подозрительные действия и правильно на них реагировать. 

А рядовым пользователям объясните, как правильно создавать надежные пароли, по каким ссылкам не стоит переходить, к кому обращаться в экстренном случае и регулярно проверяйте знания.

Как понять, что сервер пытаются взломать

Если сервер всё-таки взломали, вы сразу об этом узнаете: не сможете войти в систему, потеряете доступ к файлам с данными, а злоумышленники будут вымогать деньги в обмен на похищенную информацию. Чтобы избежать таких ситуаций, нужно знать, на что обращать внимание, и подключить системы наблюдения и мониторинга.

О том, что сервер подвергается взлому, могут говорить такие действия: 

• Увеличился исходящий трафик, появились новые, незнакомые направления. Злоумышленники часто проникают в корпоративные сети, чтобы рассылать спам или фишинговые письма. Чтобы выявить нежелательную активность на ранней стадии, регулярно отслеживайте исходящий трафик.

• Изменилось поведение в учетных записях администратора или привилегированных пользователей. Хакеры пытаются получить доступ к этим записям, потому что они ближе всего к важной и ценной информации. Именно поэтому любая нестандартная активность вроде создания большого количества учетных записей или изменения уровня доступов пользователей — это повод усилить защиту этих учеток. 

• Вы заметили странное поведение при входе в систему. Чтобы взломать учетные записи пользователей, злоумышленники используют автоматические сервисы, пытаются зайти с разных IP-адресов, в нестандартное время или из незнакомых мест. Если системы мониторинга зафиксировали такую подозрительную активность, смените пароли, настройте двухфакторную или многофакторную аутентификацию.

• Вы заметили подозрительные запросы данных. Например, пользователь ищет или скачивает информацию, которая не нужна ему для работы. Так обычно действуют хакеры, когда пытаются похитить данные. Если обнаружили такие действия, проверьте пользователя и при необходимости отключите ему доступ, чтобы избежать утечки и взлома.

• Сервер стал «тормозить». Если ваши сервисы опубликованы в интернет и содержат уязвимости, их могут активно сканировать и пытаться подбирать пароли доступов атаками типа "брутфорс" или активный перебор паролей. Если у вас не активен браундмаур сервера или отключено антивирусное ПО с функционалом сетевой защиты, то сервер замедлится, так как тратит ресурсы на обработку входящей сетевой активности.  

Чтобы не пропустить подозрительные манипуляции, установите пороговые значения для нормальной активности и следите за их превышением. Делать это вручную сложно, поэтому рекомендуем использовать автоматизированные системы наблюдения. В ОС Windows есть штатная, а в Linux часто используют приложение Munin, также можно использовать и настраивать брандмауры в Linux, например iptables. 

Защита сервера: за что отвечают провайдер и клиент

Если клиент арендует сервер, это не значит, что вся ответственность за безопасность лежит на провайдере. Зоны ответственности различаются в зависимости от модели использования облачных сервисов — IaaS, PaaS или SaaS. Например, провайдер отвечает за такие параметры:

• физическая безопасность, доступность инфраструктуры и логи аудита — это зоны ответственности провайдера вне зависимости от модели использования внешних серверов;
• защита данных и шифрование — провайдер отвечает за это в PaaS- и SaaS-моделях;
• соблюдение стандартов и законодательства — провайдер отвечает за это при любой модели использования виртуальных серверов.
• доступность самого сервера, без учета работы его операционной системой

А вот за что отвечает клиент:

• за управление учетными записями, ролями и доступом пользователей — при использовании любой модели виртуальных серверов;
• сетевую безопасность и контроль сети — в PaaS- и SaaS-моделях;
• защиту данных — в IaaS- и PaaS-моделях.
• за работу операционной системы сервера и его настройку, так как обладает административным доступом

Что mClouds делает для безопасности серверов

Оборудование mClouds располагается в дата-центре NORD-4, который сертифицирован по программам Uptime Institute Tier III: Design и Uptime Institute Tier III: Constructed Facility. В ЦОД организовано круглосуточное видеонаблюдение и охрана, действует строгий пропускной режим — через систему контроля и управления доступом. Несколько этапов входного контроля персонала, без предварительного согласования фамилий и имен и последующей их верификации - доступ в ЦОД не получить. Кроме того, посетителей ЦОДа всегда сопровождают сотрудники самого ЦОД.  Такие меры защищают серверы от несанкционированного проникновения и механических повреждений.

Серверы mClouds по умолчанию защищены от DDoS-атак системой DDoS-Guard Protection с фильтрующими узлами, которые находятся в разных точках мира. Атаки типа DDoS участились в 2024 году и процент и частота их растет, но большинство наших клиентов не замечают их влияния на свою инфраструктуру, так как атаки предотвращаются автоматической системой фильтрации. А мы присылаем отчет клиенту, если такая атака имела место быть. 

Наша облачная инфраструктура аттестована в соответсвии с требованиям закона 152-ФЗ о защите персональных данных. Мы не только рекомендуем клиентам использовать антивирусное ПО на серверах для защиты от их взлома и утечки данных, но и сами используем их на всех своих публичных сервисах. Также наша инфраструктура проходит контроль с помощью аттестованного сканера уязвимости. Мы сканируем на уязвимости как свои сервисы, так и сервисы наших заказчиков, вовремя подказывая им, если были выявлены ошибки конфигураций, незащищенные порты или незакрытые уязвимости.

При работе с сервисом IaaS наши клиенты получают функционал расширенного брандмаура для всех свои серверов, могут настроить защиту от внешней сети интернет, закрывать или открывать необходимые порты не только на уровне конкретного сервера, но и на уровне всего виртуального дата-центра, а доступ можно настроить через VPN тоннель, предотвращая таким образом возможность любых сетевых активностей, кроме разрешенных. 

Клиентам, которые арендуют серверы в mClouds, мы предлагаем установить антивирусную защиту на базе Kaspersky Endpoint Security в расширенной редакции для бизнеса. Решение подходит для Windows- и Linux-серверов. Антивирус поможет защитить безопасность персональных и платежных данных, предотвратить утечку информации из корпоративных систем, при этом он практически не влияет на производительность серверов. Услуга доступна по подписке, а подключить ее можно в один клик в личном кабинете клиента.