Правила защиты публичных сервисов

29 / 05 / 2024 # правила

Если у вас есть публичный сервис, его рано или поздно сломают. И первые попытки начнутся через полчаса после публикации. Поэтому соблюдайте правила безопасности.

Если ваш публичный сервис — это не https/http (сайт, портал, веб-публикация базы 1С), дайте к нему доступ через VPN. Самая распространенная ошибка — опубликовать протокол удаленного рабочего стола (RDP) без защиты, а потом удивляться, что RDP-сервер загружен под 100% из-за обработки запросов ошибочной авторизации.

Если же ваш публичный сервис https/http, то:

Полностью откажитесь от http. Только https. Воспользуйтесь бесплатным Let’s Encrypt или коммерческими сертификатами — что угодно, только без http.
Вынесите публикацию на внешний хостинг или в демилитаризованную зону (DMZ), отделив от основной сети файрволом.
Чтобы отсечь ярых брутфорсеров, используйте Fail2Ban или любое другое ПО для защиты от атак.
Настройте мониторинг безопасности. Установите банилки и антивирусы. Разверните систему обнаружения вторжений (СОВ), которая будет громко орать, когда что-то идет не так.
Используйте длинные и сложные пароли. Для удобства можно придумывать мнемонические пароли, типа: ВЕЛосипедСОЖралФОКусника! (большие буквы и спецсимволы, пароль — в английской раскладке)
Откажитесь от стандартных логинов в духе admin, operator, user.
Используйте для аутентификации комбинацию закрытый ключ + пароль + сертификат или хотя бы закрытый ключ + сертификат. Они защитят ваши данные намного надежнее, чем просто пароль.

И напоследок горькая правда: вас все равно взломают, если очень захотят. Поэтому — бэкапы, бэкапы и ещё раз бэкапы.

Больше интересного в нашем телеграмм-канале https://t.me/+a8sjeXybRkIwNWQy