Webサーバーを保護するための6つのステップ

Webサーバーのセキュリティを維持することは、情報セキュリティにおいて最も不快な仕事の1つです。悪意のある損害を防ぎながら、ネットワークリソースへの正当なアクセスを許可しながら、競合する役割のバランスを見つける必要があります。

認証システムの信頼性を高めるために、RSA SecurIDなどの二重認証を検討することもできますが、これは実用的ではないか、すべてのWebサイトユーザーにとって費用対効果が高いとは限りません。これらの相反する目標にもかかわらず、安全なWebサーバーを支援する6つのステップがまだあります。

内部アプリケーションと外部アプリケーションに別々のサーバーを使用する

組織に2種類の独立したWebアプリケーション、外部ユーザー用のサービスと内部ユーザー用のサービスがあるとします。異なるサーバーにデプロイされています。そうすることで、悪意のあるユーザーが外部のサーバーに侵入して機密の内部情報にアクセスするのを減らすことができます。展開ツールを使用できない場合は、少なくとも内部アプリケーションと外部アプリケーションが相互に関連しないように、技術的な制御（分離処理など）の使用を検討する必要があります。

別の開発サーバーを使用したアプリケーションのテストとデバッグ

別のWebサーバーでアプリケーションをテストすることは常識的に思えます - 確かに。残念なことに、多くの組織はこの基本的な規則に従わず、代わりに開発者がコードをデバッグしたり実稼働サーバー上で新しいソフトウェアを開発することさえ可能にします。これは安全性と信頼性の両方にとってひどいものです。本番サーバーでコードをテストすると、ユーザーが失敗する可能性があり、開発者がテストされていない脆弱なコードを送信するとセキュリティホールが発生します。最新のバージョン管理システム（MicrosoftのVisual SourceSafeなど）のほとんどは、コーディング/テスト/デバッグプロセスの自動化を容易にします。

Webサイトのアクティビティの確認、安全な保管ログ

すべてのセキュリティ専門家は、サーバーのアクティビティログを管理することの重要性を認識しています。ほとんどのWebサーバーは公開されているので、すべてのインターネットサービスを確認することが重要です。監査を使用すると、攻撃を検出して対処し、サーバーのパフォーマンスをトラブルシューティングできます。高度なセキュリティ環境では、ログが物理的に安全な場所に保管されていることを確認します。最も安全な（ただし最も便利ではない）トリックは、作成時にログを印刷することです。物理的なアクセスはありません。安全なホストへのログインやデジタル署名による暗号化などの電子バックアップを使用して、ログが盗まれたり変更されたりするのを防ぐことができます。

信頼できるセキュリティエンコーディングのための開発者トレーニング

ソフトウェア開発者は、ビジネスニーズを満たすアプリケーションを作成することに専心していますが、情報セキュリティを見落とすことも重要なビジネスニーズです。セキュリティの専門家として、あなたはWebサーバーのセキュリティに影響を与えるように開発者をトレーニングする責任があります。開発者にネットワークのセキュリティメカニズムについて知らせ、開発するソフトウェアがこれらのメカニズムに違反していないことを確認し、メモリリーク攻撃や処理の分離などの概念をトレーニングする必要があります。助けて。

オペレーティングシステムとWebサーバーへのパッチ適用

これは別の常識ですが、管理者が他のタスクに圧倒されている場合は見落とされがちです。 CERTやMicrosoftによって発行されたものなどのセキュリティ速報は、ソフトウェアベンダが特定のセキュリティ脆弱性に対するパッチをリリースする頻度を人々に思い出させます。 Microsoftのソフトウェアアップグレードサービス（SUS）やRedHatのアップグレードサービスのようないくつかのツールはこのタスクを自動化するのを助けます。要するに、いったん脆弱性が発表されれば、それを修正しなければ、遅かれ早かれ発見され使用されるでしょう。

アプリケーションソフトウェアによるスキャン

負担がある場合は、アプリケーションスキャナを使用して内部のエンコードを確認することを検討してください。 WatchfireのAppScanのようなツールは、本番環境に脆弱性がないことを確認するのに役立ちます。安全であることを忘れないでください。適切に設計されたWebサーバー構造は、適切なセキュリティポリシーに基づいている必要があります。これら6つの方法を実行すると、強固な基盤を構築するのに役立ちます。