イントラネットサーバーのセキュリティを向上させるための5つの推奨事項

サーバー版の情報システムは、従業員間のコラボレーションに最適なプラットフォームを提供しますが、セキュリティリスクなど、一定の悪影響をもたらします。このコンテンツについて、作者は5つの提案をします。

企業情報構築の過程において、サーバーは不可欠な要素です。 ERPシステムとOAシステムの両方がサーバーサポートを必要とします。情報技術の普及に伴い、情報管理システムのスタンドアロン版は徐々に排除され、管理システムのサーバー版に置き換えられるでしょう。ただし、サーバーバージョンの情報システムは、従業員間のコラボレーションに適したプラットフォームを提供しますが、セキュリティリスクなどの特定の悪影響もあります。このコンテンツについて、作者は5つの提案をします。

提案1：複数のアプリケーション間の干渉を回避するために仮想化テクノロジを使用する

企業内には複数の情報アプリケーションが存在する可能性があります。 OAシステム、経費払い戻しシステムなど。ただし、管理の容易さとコスト削減のために、複数のアプリケーションを単一のサーバーにデプロイする傾向があります。ただし、この場合、特定のセキュリティリスクが生じる可能性があります。 OA OAシステムがウイルス、トロイの木馬などの攻撃を受けた場合、同じサーバーでの経費払い戻しなど、他の情報管理システムに影響を与える可能性があります。安全性とコストのバランスの問題です。

ここでは、仮想化テクノロジを使用して複数のアプリケーション間の干渉を回避できることをお勧めします。たとえば、仮想CPUテクノロジを使用できます。サーバーCPU上のいくつかの独立したスペースを分割し、それらを複数の情報システムに別々に使用します。現時点では、OAシステムがウイルスに攻撃されても、CPUの負荷が過大になっているため、同じサーバー上の他の情報管理システムには影響しません。これは主に、仮想化テクノロジがアプリケーションに利用可能なリソースを制限するためです。各アプリケーションは、特定の範囲内でのみサーバーのリソースを使用できます。このようにして、同じサーバー上の各アプリケーションに比較的独立した環境を提供し、それらが互いに干渉しないようにすることができます。

推奨事項2：NTFSファイルシステムによるファイルレベルのセキュリティの提供

企業内で使用されている内部サーバーは、マイクロソフトのオペレーティングシステムです。 Windowsオペレーティングシステムでサポートされているファイル形式はFAT32とNTFSです。誰もがNTFSファイルシステムを使用することをお勧めします。 NTFSファイルシステムはFAT32ファイルシステムに比べてセキュリティが強化されているからです。たとえば、NTFSファイルシステムはディスククォータのメカニズムを提供します。この機能を使用すると、サーバー上の個々のアプリケーションのディスククォータを制限して、アプリケーションが大量のディスク領域を占有して他のアプリケーションの動作に影響を与えるのを防ぐことができます。

別の例としてNTFSファイルシステムがあります。これは、どのディスクパーティションに対しても個別にアクセス権を設定することができます。この場合、ユーザーは機密情報とサーバー情報が異なるディスクに分割されるのを防ぐことができます。今ファイルサーバーがある場合、管理者はNTFSファイルシステムを介してさまざまなユーザーに対してさまざまな権限を設定できます。たとえば、他の部署のユーザーは、自分の部署のファイルを表示したり、それらのファイルを閲覧したりすることはできず、それらを変更または削除することはできません。これにより、企業文書のセキュリティを最大限に高めます。

オペレーティングシステムファイルとアプリケーションデータファイルに別々の権限制限を加えることもできます。たとえば、一部のエンタープライズOAシステムにはOAシステム管理者、オペレーティングシステムにはシステム管理者がいます。さまざまなIT技術者が一緒に働いています。この場合は、それらに異なる権限を設定する必要があります。誤って他のシステムの構成に影響を与えないようにするためです。このとき、NTFSシステムは各システムの独立性も保証できます。

推奨事項3：未使用のサービスとポートを無効にする

デフォルトでは、サーバーオペレーティングシステムの展開後、多数のポートが開かれます。 21ポート、80ポートなど。ただし、実際の作業ではこれらのポートはまったく使用されていません。これらのポートが開いていると、まるで家のドアが閉まっていないかのようになり、比較的大きなセキュリティ上のリスクが発生します。このためにサーバーのセキュリティを向上させるには、不要なポートとサーバーを閉じる必要があります。

WindowsオペレーティングシステムであろうとLinuxオペレーティングシステムであろうと、実際には不要な多くのサービスとポートがあります。 Windowsオペレーティングシステムにファイルサーバーを配置したい場合は、ポート21は役に立ちません。セキュリティ担当者はこれらの不要なポートに注意を払う必要があります。システムがデフォルトで開くポートがセキュリティリスクになるとは思わないでください。これは非常に重大な誤解です。役に立たないと思われるポートは、攻撃者に多くの機密情報を提供する可能性があります。選択されているオペレーティングシステムの種類、展開されているアプリケーションなど。簡単な例を挙げてください。攻撃者が、サーバのポート69が開いていることを知っている場合、このサーバはLinuxなどの同様のオペレーティングシステムを使用している可能性があると判断できます。これは主にこのポートがデフォルトでTFTPサービスによって使用されるためです。このサービスは、Windowsオペレーティングシステムではデフォルトでは有効になっていません。Linuxはこのサービスをインストールして起動します。オペレーティングシステムに関する情報を知ることは、サーバーを攻撃するときの攻撃の最初のステップです。さて、この目立たないポート情報のために、攻撃者にはオペレーティングシステムに関する情報が提供されています。

似たような場合がたくさんあります。テレントサービスなどのような、しばしばする必要はありません。管理者がサーバーを運用環境に移行する前に、管理者はシステムが開くポートとサービスを評価する必要があります。使用する必要がないポートとサービスをオフにするのが最善です。使用する必要があるまで待ちます。

提案4：データのバックアップをうまくとる

予期せぬ出来事がある。サーバーのセキュリティシステムが最高になるように設計されていても、抜け穴があるでしょう。著者は、サーバーのセキュリティを向上させ、関連データをバックアップするのに良い仕事をすることが非常に重要であると考えています。このトリックは比較的古風ですが、非常に実用的です。サーバーが盗まれたとしても、ハードディスクが物理的に損傷を受けた場合など、バックアップ作業が慎重に行われている限り、すべてを繰り返すことができます。

データをバックアップするとき、3つの提案があります。

まず、データのバックアップは3つの内容で構成されています。最初のコンテンツは、構成情報、システムポリシーなど、オペレーティングシステムレベルの情報です。 2番目のコンテンツは、データベースの最適化などのアプリケーション構成情報です。 3番目のコンテンツはアプリケーションのデータファイルです。これら3つのコンテンツのうち3つのみが、毎日バックアップする必要があるコンテンツです。他の2つのコンテンツは、変更後すぐにバックアップが必要です。毎日バックアップする必要はありません。

次に、条件があれば、オフサイトバックアップを実行する必要があります。データをローカルのハードドライブにバックアップした場合、データが物理的に損傷したり盗まれたりした場合、データを回復することはできません。この目的のために、サーバー上のデータについては、条件が許せばオフサイトバックアップが必要です。一般に、データは最初にローカルハードディスクにバックアップされます。その後、データをサーバー以外の場所にコピーします。これはサーバーに二重の保険をかけるのと同じです。

3つ目は、異なるアプリケーションを別々にバックアップすることです。たとえば、1台のサーバーにメールサーバー、データベースサーバーなどがあります。バックアップ時には、2つのシステムのデータを同時にバックアップしますか。それとも、異なるアプリケーション用に別々にバックアップしますか。ここでは後者をお勧めします。例えば、メールが紛失してデータベースサーバのデータが破損していなければ、この時点でメールシステムのデータのみを復元すればよく、データベースサーバのデータを復元する必要はない。これを達成するのも比較的簡単です。たとえば、アプリケーションに付属のバックアップ機能を使用してバックアップすることができます。または、これは仮想化テクノロジを使用して、複数のアプリケーションからのデータを固定範囲に格納します。その後、バックアップとリカバリを別々に実行します。

勧告5：内部のユーザーによる損傷に注意してください。

内部のサーバーセキュリティを設計する際には、ほとんどの企業が盲点を持っています。彼らは外部のセキュリティにあまりにも注意を払い、企業内のユーザーの脅威を無視しています。実際、著者の経験によると、多くのセキュリティ上の脅威は、企業内の意図しないユーザーによって引き起こされています。簡単な例を挙げてください。ユーザは、家庭のホストコンピュータまたはホテルのコンピュータからＵＳＢフラッシュドライブなどの装置を介してファイルをファイルサーバにコピーする。そしてこのファイルはウイルスを運ぶ可能性があります。この時点で、ファイルはエンタープライズからファイルサーバーに直接コピーされるので、ファイアウォールは検出されません。他のユーザーがこのファイルを開くと、ウイルスが企業のイントラネットに拡散する可能性があります。

そのため、内部サーバーセキュリティを設計するときは、サーバーに対する内部ユーザーのセキュリティ上の脅威に注意を払う必要があります。適切な場合は、これらのモバイルデバイスを無効にすることができます。または、新しく追加したファイルにアンチウイルスファイルを追加する操作を強制します。ウイルスやトロイの木馬が利用するのを許可しないでください。
zh-CN"],null,[1],zh-TW"]]]