המלצות לאבטחת אתר אינטרנט בענן לאור התקריות האחרונות
מאת מוטי שגיא, יועץ אבטחת מידע בכיר, פורטינט
בתקופה האחרונה אנו עדים למקרי פריצה רבים לאתרי אינטרנט ישראלים. בעידן המודרני רוב האתרים נמצאים בענן הווה אומר מאורחים בחוות שרתים מרוחקת ולעיתים כחלק ממערך שיתופי של אתרים. מצב זה יוצר אתגר לא פשוט באבטחה של האתר שניתן להמחשה ממשל שלקוח מעולם החניונים: נניח שהקורא מחנה את רכבו בחניון בתשלום תחת כיפת השמיים, בעוזבו את הרכב הוא משאיר חלון פתוח ואת ה-GPS על לוח המחוונים. כעבור כמה שעות חוזר האדם לרכב והפלא ופלא – ה-GPS נגנב (כמו גם המערכת סטריאו) .
אז מי אשם? בעל החניון שהשכיר נדל"ן לנהג? בעל הרכב? או אולי יצרן הרכב בכלל? אני מניח שלרובכם זו שאלה רטורית. התקרית האחרונה חושפת את הבטן הרכה של אירוח אתר בחווה מרוחקת ובמיוחד בשרת שיתופי – הווה אומר כמה אתרים המתארחים על שרת פיזי אחד. על מנת לאבטח את האתר, יש צורך בשילוב זרועות בין בעל האתר (הלקוח), מקים האתר (כותב האפליקציה) ומפעיל האתר (שירות האירוח), זאת בשל חלקו של כל אחד מהגורמים בקביעת רמת האבטחה ובשימור רמת האבטחה בחלקי האתר השונים.
בעל האתר – הלקוח
בזמן הקמת האתר ולאורך זמן הפעלתו יש לתת דגש לנושאים הבאים:
1. עדכוני תוכנה ורישיונות – על האתר לפעול בגרסאות תוכנה עדכניות הכוללות את התיקונים האחרונים של היצרן בכל הקשור לאבטחת מידע.
2. שימוש במנגנוני אבטחה מתאימים – לכל אתר רמת אבטחה מתאימה לו. לאתר מסחר אלקטרוני ולאתר מידע רמות אבטחה שונות ויש להתאים את רמת האבטחה לסוג הפעילות באתר. על כן, ההחלטה אם להתקין אנטי-וירוס או מערכת אבטחה אפליקטיבית חשובה כבר בשלב ההקמה אך גם לאורך זמן הפעלת האתר, בפרט אם השימושים באתר משתנים.
מקים האתר – המפתח
מקים האתר, או כותב הקוד של האתר חייב להקפיד על מספר נושאים עיקריים, ללא הקפדה על נושאים אלו, האתר לא יהיה מאובטח.
1. קלט לא בדוק
2. גישה של משתמש מאומת שאינה נאכפת
3. אימות לקוח לקוי ו/או ניהול Session שגוי
4. XSS
5. Buffer Overflow (בעיות גלישת זיכרון, גלישה במחסנית/ערמה וכו')
6. בעיות החדרה שונות (בעיקר SQL Injection, הזרקת קוד כגון הזרקת שאילתות SQL או החדרת פקודות SHELL)
7. ניהול מצבי שגיאה
8. שמירת מידע באופן לא מוגן (אבטחת סוקטים וכו')
9. התקפות מניעת שירות ברמת הקוד
10. הגדרות לא מאובטחות של קוד או שרת צד ג'
מפעיל האתר – המארח
מפעיל האתר מתחזק מערכות אבטחת מידע ואת מערכות המחשב של האתר בכדי להבטיח את פעולתו הרציפה של האתר. מפעיל האתר צריך לדאוג ולקיים את הנושאים הבאים:
1. מעקב אחר פעילות האתר (קבצי יומן, שטח דיסק, עומס פעולה, קו תקשורת, חשמל ומיזוג).
2. פעילות סיסטם ואבטחה לפי הנחיות בעל האתר (הגדרת חוקים ב-firewall, הגדרת משתמשים, החלפת סיסמאות, גיבוי השרת התקנת תיקונים ותלאים)
3. הקשחת השרתים – במידה והשירות נרכש על ידי בעל האתר.
4. ביקורת אבטחה לאתר – במידה והשירות נרכש על ידי בעל האתר.
פתרון Web Application Firewall של חברת פורטינט
פורטינט מספקת פתרון אבטחה והאצה שנקרא FortiWeb ליישומים מבוססים Web. הפתרון מבוסס Appliance ותפקידו הגנה אקטיבית עבור שרתי Web, כולל שילוב של מספר מנועי אבטחה והאצה במקביל.מערכת ה-FortiWeb מוצעת במספר דגמים אשר מספקים מגוון רחב של ממשקים וביצועים וכן בתצורה וירטואלית . מערכת ה-FortiWeb תומכת בדרישות עמידה ברגולציית ה-PCI DSS הנדרשות מארגונים.
המערכת מסוגלת לעבוד במספר תצורות עבודה:
– תצורת Monitor בשילוב עם מנוע AUTO Learning, אשר ינפיק דוח על כלל התעבורה והטרנזקציות השונות המבוצעות אל מול שרתי ה-Web, כולל פתיחה של תעבורת מוצפנת SSL.
– תצורת Bridge Mode – תצורה שקופה של מערכת , ללא שינוי תצורת הרשת.
– תצורת Server Load Balancer – המאפשר הפעלה של יכולות אבטחה וכן יכולות האצה וביזור עומסים אל מול חוות השרתים.
מצבי העבודה תומכים במספר מודולים מתקדמים:
Web Vulnerability Scanner
SSL Offloading and Inspection
Application Acceleration
Compression
Server Load Balancing
WAF Auto Learning
Data Leakage Prevention (from web servers)
Authentication Offloading
Vulnerability protection (Fortiguard)
Antivirus for XML and Web sites
DDoS Protection