SICUREZZAlinee guida per la messa in sicurezza di un server web

Cristiano CasellaCloud Services Solution Architect

Parliamo di…

● Migrare verso il cloud

● Analisi dei servizi

● Sicurezza perimetrale

● Controllo degli accessi

● Sicurezza applicativa

● La comodità di un pannello di gestione unico e

semplificato

SICUREZZAlinee guida per la

messa in sicurezza di un server web

Il grande esodo

Sempre più aziende stanno migrando i loro servizi verso il cloud, le motivazioni sono diverse:

● La disponibilità di connessioni veloci

● La necessità di accedere continuamente ai dati aziendali da qualunque luogo

● L’esigenza di avere un servizio in alta affidabilità sempre disponibile

● La possibilità di scalare in modo dinamico sia orizzontalmente che verticalmente

● L’eliminazione di alcuni strati di gestione della infrastruttura, demandandola al provider

● La possibilità di concordare con il provider cosa, nella gestione, rimane in carico all’utente

MIGRARE VERSO IL CLOUD

La sicurezza di casa propria

La migrazione di una infrastruttura informatica, più o meno complessa, richiede una

attenta analisi per comprendere i diversi flussi di dati, i server (ed i servizi) interessati e le

loro interazioni, le diverse entità che dovranno accedere alle informazioni contenute nei

vari flussi ed il livello di accesso necessario.

Troppo spesso le infrastrutture totalmente localizzate all’interno di un unico stabile hanno

livelli di sicurezza molto bassi, password deboli, acl inesistenti, tutto si basa sull’assunto che

solo personale fidato può accedere fisicamente alla rete.

MIGRARE VERSO IL CLOUD

Dividi et impera

L’analisi dovrebbe partire dalla separazione logica dell’infrastruttura, tipicamente

monolitica, concentrata su pochi server, in tanti piccoli servizi, così da poter gestire e

scalare le diverse esigenze in modo capillare.

Questo permetterà in futuro di poter aumentare le risorse in quella specifica parte di

infrastruttura, e poter isolare meglio eventuali criticità.

ANALISI DEI SERVIZI

Dividi et imperaANALISI DEI SERVIZI

Server locale

servizi

Server web

Database

Server in cloud

servizi

Server web

Server in cloud

servizi

Database

WWW

TCP 80/443TCP 3306

Connessionevietata

Scalare è facileANALISI DEI SERVIZI

Server locale

servizi

Server web

Database Server in cloud

servizi

Database

WWW

TCP 80/443

TCP 3306

Connessionevietata

Server in cloud

servizi

Server web

Server in cloud

servizi

Server web

Il minimo indispensabile

A prescindere dal numero di server che andremo a creare presso il nostro provider, siano

uno solo o un cluster numeroso, è necessario avere ben chiaro su ciascun nodo quali

saranno i servizi esposti, da dove dovranno ricevere le connessioni, su quale porta e su

quale protocollo comunicheranno.

Tutte le connessioni non previste dovrebbero essere chiuse da un firewall, la policy di

default dovrebbe essere quella di rifiutare tutte le connessioni tranne quelle espressamente

indicate.

SICUREZZA PERIMETRALE

Una chiave sicura

Una volta chiusi gli accessi indesiderati bisogna preoccuparsi di controllare e gestire quelli

necessari per l’amministrazione del server.

Che si tratti del login di un portale Wordpress, di un pannello di gestione del server, di un

accesso SSH, è necessario controllare i tentativi di accesso ed intervenire il prima possibile

per prevenire accessi indesiderati.

Strumenti come l’autenticazione in due fattori (implementabile ad esempio in Wordpress e

Plesk) o Fail2Ban (per moderare i tentativi di accesso in SSH) permettono di limitare le

connessioni malevole.

CONTROLLO DEGLI ACCESSI

Una infrastruttura sicura non è sufficiente

Una applicazione vulnerabile renderà vano quanto fatto fino ad ora.

Brute Force, File Injection, Sql Injection, mancata validazione dei form, sessioni mal

gestite… sono solo alcuni delle più comuni vulnerabilità esposte da software mal scritti.

E’ importante applicare tutti gli scrupoli posti finora verso l’infrastruttura verso

l’applicativo.

DVWA (Damn Vulnerable Web Application) è un applicativo che può essere utilizzato per

familiarizzare con alcune delle vulnerabilità sopra descritte.

Per info consultare http://www.dvwa.co.uk

SICUREZZA APPLICATIVA

Una comoda interfaccia per ogni esigenza

Nel caso non si abbiano le competenze per gestire nella sua totalità un server, che dovrà

essere esposto nel web, possiamo ricorrere ad uno strumento di gestione unificata che ci

permetta di gestire la maggior parte delle problematiche viste fino ad ora in un modo

semplice tramite una comoda interfaccia grafica.

Il pannello di controllo che esamineremo insieme è

LA COMODITÀ DI UN PANNELLO DI GESTIONE UNICO E SEMPLIFICATO

Aggiornare è semplice

Gli aggiornamenti sono il primo punto di partenza per la sicurezza.

Un server obsoleto contiene vulnerabilità spesso difficilmente gestibili senza aggiornare.

LA COMODITÀ DI UN PANNELLO DI GESTIONE UNICO E SEMPLIFICATO

Controllo rapido delle connessioni

Gestire il firewall tramite interfaccia grafica non richiede comandi complessi e permette di

avere una rapida visione servizio per servizio delle connessioni permesse.

Le regole per i servizi più comuni sono già presenti, vanno solo configurate.

LA COMODITÀ DI UN PANNELLO DI GESTIONE UNICO E SEMPLIFICATO

Un pronto intervento sui tentativi di intrusione

Allo stesso modo Fail2Ban è integrato nel sistema e contiene già un ampio numero di Jails

preconfigurate per le quali è possibile gestire soglie di intervento e relative azioni.

LA COMODITÀ DI UN PANNELLO DI GESTIONE UNICO E SEMPLIFICATO

Autenticazione in due passaggi

L’autenticazione in due passaggi aumenta la sicurezza di accesso al pannello di gestione, è

possibile ad esempio usare Google Authenticator tramite il gestore delle estensioni.

LA COMODITÀ DI UN PANNELLO DI GESTIONE UNICO E SEMPLIFICATO

SSL per proteggere lo scambio dei dati

Plesk fornisce tutto il necessario per una corretta gestione dei certificati SSL, dalla

generazione delle chiavi private, al CSR, all’installazione dei certificati.

Esistono dei plugin dei principali provider che facilitano ulteriormente il flusso di gestione.

La comodità di un pannello di gestione unico e semplificato

Un pratico aiuto per la gestione applicativa

Strumenti integrati come il Wordpress Toolkit ci aiutano a gestire anche gli aggiornamenti

dei nostri siti web, tramite una unica interfaccia, a prescindere da quanti siti web stiamo

gestendo.

LA COMODITÀ DI UN PANNELLO DI GESTIONE UNICO E SEMPLIFICATO

Una estensione per ogni esigenza

Sono disponibili tantissime estensioni per affrontare i problemi più comuni come

aggiornamenti, sicurezza, antivirus, antispam, credenziali di accesso e molto altro.

LA COMODITÀ DI UN PANNELLO DI GESTIONE UNICO E SEMPLIFICATO

SICUREZZA: linee guida per la messain sicurezza di un server web

Q&A

Grazie!

https://www.register.it

035 32 30 330