Seis pasos para asegurar su servidor web

Mantener la seguridad del servidor web es una de las tareas más desagradables de la seguridad de la información. Debe encontrar el equilibrio en los roles en conflicto, permitiendo el acceso legítimo a los recursos de la red y previniendo daños maliciosos.

Puede incluso considerar la autenticación dual, como RSA SecurID, para garantizar un alto nivel de confianza en el sistema de autenticación, pero esto puede no ser práctico o rentable para todos los usuarios del sitio web. A pesar de estos objetivos en conflicto, todavía hay seis pasos que ayudarán a proteger los servidores web.

Servidores separados para aplicaciones internas y externas por separado

Supongamos que una organización tiene dos tipos de aplicaciones web independientes, servicios para usuarios externos y servicios para usuarios internos. Aplique estas aplicaciones con cuidado. Implementado en diferentes servidores. Si lo hace, puede evitar que los usuarios malintencionados penetren en servidores externos para obtener acceso a información interna confidencial. Si no tiene una herramienta de implementación disponible, debe al menos considerar el uso de controles técnicos (como el manejo del aislamiento) para que las aplicaciones internas y externas no se involucren entre sí.

Probar y depurar aplicaciones con un servidor de desarrollo separado

Probar aplicaciones en un servidor web independiente suena como de sentido común, de hecho. Desafortunadamente, muchas organizaciones no siguen esta regla básica, en lugar de eso les permite a los desarrolladores depurar código e incluso desarrollar software nuevo en servidores de producción. Esto es terrible para la seguridad y la fiabilidad. Probar el código en el servidor de producción puede hacer que los usuarios fallen, introduciendo vulnerabilidades de seguridad cuando los desarrolladores envían códigos no probados y vulnerables. La mayoría de los sistemas modernos de control de versiones (como Visual SourceSafe de Microsoft) facilitan la automatización del proceso de codificación /prueba /depuración.

Revisión de la actividad del sitio web, registros de almacenamiento seguro

Todos los profesionales de la seguridad saben la importancia de mantener los registros de actividad del servidor. Dado que la mayoría de los servidores web son públicos, es importante revisar todos los servicios de Internet. La auditoría le ayuda a detectar y combatir ataques y le permite solucionar problemas de rendimiento del servidor. En un entorno de seguridad avanzado, asegúrese de que sus registros estén almacenados en una ubicación físicamente segura; el truco más seguro (pero menos conveniente) es imprimir los registros a medida que se crean, creando registros en papel que el intruso no puede modificar, siempre que haya intrusión. No hay acceso físico. Es posible que desee utilizar copias de seguridad electrónicas, como iniciar sesión en un host seguro y encriptar con una firma digital para evitar que el registro sea robado y modificado.

Capacitación de desarrolladores para una codificación de seguridad confiable

Los desarrolladores de software se comprometen a crear aplicaciones que satisfagan las necesidades comerciales, pero a menudo pasar por alto la seguridad de la información también es una necesidad comercial importante. Como profesional de la seguridad, usted es responsable de capacitar a los desarrolladores para influir en la seguridad de los servidores web. Debe permitir que los desarrolladores comprendan los mecanismos de seguridad en la red, asegurarse de que el software que desarrollan no viola estos mecanismos y también brindar capacitación conceptual, como ataques de pérdida de memoria y aislamiento de procesamiento, que son excelentes para codificar y generar aplicaciones seguras. Ayuda

Aplicación de parches al sistema operativo y al servidor web

Este es otro sentido común, pero a menudo se pasa por alto cuando los administradores se ven abrumados por otras tareas. Los boletines de seguridad, como los emitidos por CERT o Microsoft, recuerdan a las personas con qué frecuencia los proveedores de software lanzan parches para ciertas vulnerabilidades de seguridad. Algunas herramientas como el Servicio de actualización de software (SUS) de Microsoft y el servicio de actualización de RedHat ayudan a automatizar esta tarea. En resumen, una vez que se anuncie la vulnerabilidad, si no la arregla, se descubrirá y utilizará tarde o temprano.

Escanear con software de aplicación

Si está sobrecargado, puede considerar usar un escáner de aplicación para verificar la codificación interna. Herramientas como AppScan de Watchfire ayudan a garantizar que no haya vulnerabilidades en el entorno de producción. Recuerda estar a salvo. Una estructura de servidor web bien diseñada debe basarse en una política de seguridad sólida. Implementar estos seis métodos te ayudará a construir una base sólida.