Post on 21-Jan-2018
SICUREZZAlinee guida per la messa in sicurezza di un server web
Cristiano CasellaCloud Services Solution Architect
Parliamo di…
● Migrare verso il cloud
● Analisi dei servizi
● Sicurezza perimetrale
● Controllo degli accessi
● Sicurezza applicativa
● La comodità di un pannello di gestione unico e
semplificato
SICUREZZAlinee guida per la
messa in sicurezza di un server web
Il grande esodo
Sempre più aziende stanno migrando i loro servizi verso il cloud, le motivazioni sono diverse:
● La disponibilità di connessioni veloci
● La necessità di accedere continuamente ai dati aziendali da qualunque luogo
● L’esigenza di avere un servizio in alta affidabilità sempre disponibile
● La possibilità di scalare in modo dinamico sia orizzontalmente che verticalmente
● L’eliminazione di alcuni strati di gestione della infrastruttura, demandandola al provider
● La possibilità di concordare con il provider cosa, nella gestione, rimane in carico all’utente
MIGRARE VERSO IL CLOUD
La sicurezza di casa propria
La migrazione di una infrastruttura informatica, più o meno complessa, richiede una
attenta analisi per comprendere i diversi flussi di dati, i server (ed i servizi) interessati e le
loro interazioni, le diverse entità che dovranno accedere alle informazioni contenute nei
vari flussi ed il livello di accesso necessario.
Troppo spesso le infrastrutture totalmente localizzate all’interno di un unico stabile hanno
livelli di sicurezza molto bassi, password deboli, acl inesistenti, tutto si basa sull’assunto che
solo personale fidato può accedere fisicamente alla rete.
MIGRARE VERSO IL CLOUD
Dividi et impera
L’analisi dovrebbe partire dalla separazione logica dell’infrastruttura, tipicamente
monolitica, concentrata su pochi server, in tanti piccoli servizi, così da poter gestire e
scalare le diverse esigenze in modo capillare.
Questo permetterà in futuro di poter aumentare le risorse in quella specifica parte di
infrastruttura, e poter isolare meglio eventuali criticità.
ANALISI DEI SERVIZI
Dividi et imperaANALISI DEI SERVIZI
Server locale
servizi
Server web
Database
Server in cloud
servizi
Server web
Server in cloud
servizi
Database
WWW
TCP 80/443TCP 3306
Connessionevietata
Scalare è facileANALISI DEI SERVIZI
Server locale
servizi
Server web
Database Server in cloud
servizi
Database
WWW
TCP 80/443
TCP 3306
Connessionevietata
Server in cloud
servizi
Server web
Server in cloud
servizi
Server web
Il minimo indispensabile
A prescindere dal numero di server che andremo a creare presso il nostro provider, siano
uno solo o un cluster numeroso, è necessario avere ben chiaro su ciascun nodo quali
saranno i servizi esposti, da dove dovranno ricevere le connessioni, su quale porta e su
quale protocollo comunicheranno.
Tutte le connessioni non previste dovrebbero essere chiuse da un firewall, la policy di
default dovrebbe essere quella di rifiutare tutte le connessioni tranne quelle espressamente
indicate.
SICUREZZA PERIMETRALE
Una chiave sicura
Una volta chiusi gli accessi indesiderati bisogna preoccuparsi di controllare e gestire quelli
necessari per l’amministrazione del server.
Che si tratti del login di un portale Wordpress, di un pannello di gestione del server, di un
accesso SSH, è necessario controllare i tentativi di accesso ed intervenire il prima possibile
per prevenire accessi indesiderati.
Strumenti come l’autenticazione in due fattori (implementabile ad esempio in Wordpress e
Plesk) o Fail2Ban (per moderare i tentativi di accesso in SSH) permettono di limitare le
connessioni malevole.
CONTROLLO DEGLI ACCESSI
Una infrastruttura sicura non è sufficiente
Una applicazione vulnerabile renderà vano quanto fatto fino ad ora.
Brute Force, File Injection, Sql Injection, mancata validazione dei form, sessioni mal
gestite… sono solo alcuni delle più comuni vulnerabilità esposte da software mal scritti.
E’ importante applicare tutti gli scrupoli posti finora verso l’infrastruttura verso
l’applicativo.
DVWA (Damn Vulnerable Web Application) è un applicativo che può essere utilizzato per
familiarizzare con alcune delle vulnerabilità sopra descritte.
Per info consultare http://www.dvwa.co.uk
SICUREZZA APPLICATIVA
Una comoda interfaccia per ogni esigenza
Nel caso non si abbiano le competenze per gestire nella sua totalità un server, che dovrà
essere esposto nel web, possiamo ricorrere ad uno strumento di gestione unificata che ci
permetta di gestire la maggior parte delle problematiche viste fino ad ora in un modo
semplice tramite una comoda interfaccia grafica.
Il pannello di controllo che esamineremo insieme è
LA COMODITÀ DI UN PANNELLO DI GESTIONE UNICO E SEMPLIFICATO
Aggiornare è semplice
Gli aggiornamenti sono il primo punto di partenza per la sicurezza.
Un server obsoleto contiene vulnerabilità spesso difficilmente gestibili senza aggiornare.
LA COMODITÀ DI UN PANNELLO DI GESTIONE UNICO E SEMPLIFICATO
Controllo rapido delle connessioni
Gestire il firewall tramite interfaccia grafica non richiede comandi complessi e permette di
avere una rapida visione servizio per servizio delle connessioni permesse.
Le regole per i servizi più comuni sono già presenti, vanno solo configurate.
LA COMODITÀ DI UN PANNELLO DI GESTIONE UNICO E SEMPLIFICATO
Un pronto intervento sui tentativi di intrusione
Allo stesso modo Fail2Ban è integrato nel sistema e contiene già un ampio numero di Jails
preconfigurate per le quali è possibile gestire soglie di intervento e relative azioni.
LA COMODITÀ DI UN PANNELLO DI GESTIONE UNICO E SEMPLIFICATO
Autenticazione in due passaggi
L’autenticazione in due passaggi aumenta la sicurezza di accesso al pannello di gestione, è
possibile ad esempio usare Google Authenticator tramite il gestore delle estensioni.
LA COMODITÀ DI UN PANNELLO DI GESTIONE UNICO E SEMPLIFICATO
SSL per proteggere lo scambio dei dati
Plesk fornisce tutto il necessario per una corretta gestione dei certificati SSL, dalla
generazione delle chiavi private, al CSR, all’installazione dei certificati.
Esistono dei plugin dei principali provider che facilitano ulteriormente il flusso di gestione.
La comodità di un pannello di gestione unico e semplificato
Un pratico aiuto per la gestione applicativa
Strumenti integrati come il Wordpress Toolkit ci aiutano a gestire anche gli aggiornamenti
dei nostri siti web, tramite una unica interfaccia, a prescindere da quanti siti web stiamo
gestendo.
LA COMODITÀ DI UN PANNELLO DI GESTIONE UNICO E SEMPLIFICATO
Una estensione per ogni esigenza
Sono disponibili tantissime estensioni per affrontare i problemi più comuni come
aggiornamenti, sicurezza, antivirus, antispam, credenziali di accesso e molto altro.
LA COMODITÀ DI UN PANNELLO DI GESTIONE UNICO E SEMPLIFICATO
SICUREZZA: linee guida per la messain sicurezza di un server web
Q&A
Grazie!
https://www.register.it
035 32 30 330