Grunnleggende serversikkerhet

Følgende er vårt nyhetsbrev for oktober 2022.

 

I Deploi er vi opptatt av IT-sikkerhet året rundt, og vi vil derfor stadig være innom temaet i våre nyhetsbrev. Siden oktober er Nasjonal Sikkerhetsmåned, ønsker vi denne gangen å dedikere hele nyhetsbrevet til serversikkerhet. Temaet er like viktig, enten det er servere eller administrerte tjenester du leier av oss.

Et IT-system er sikkert hvis det kun kan brukes slik bedriften som eier det har bestemt. For eksempel betyr det at ikke uvedkommende har tilgang til systemene. Har de det, kan de endre på eller hente ut data, eller gjøre endringer på IT-systemet. De kan også gå så langt som å gjøre hele systemet utilgjengelig for de rettmessige brukerne.

Vi hører i dag om stadige angrep på IT-systemer, og i dette nyhetsbrevet tar vi for oss grunnleggende sikkerhet på servere og administrerte tjenester, slik at du kan redusere sjansen for at dette rammer dine systemer. Vi tar for oss en del ulike momenter, og ikke alle vil være like relevante eller enkle å følge opp for alle kunder, men vi anbefaler likevel at du leser alt. Ta grep der du ser at du kan, og ha de andre punktene i bakhodet til senere.

 

Oppdatert programvare

Et av de enkleste grepene du kan ta for å øke sikkerheten, er å sørge for å holde all programvare oppdatert. Nye sikkerhetshull oppdages hele tiden, og så fort sikkerhetshullene er kjente, vil noen forsøke å utnytte dem til egen vinning. Brukerne blir da sårbare for angrep. Samtidig vil heldigvis også arbeidet med å tette hullene begynne, men det hjelper ingenting at en løsning kommer på plass, hvis du ikke selv sørger for å oppdatere programvaren til en ny versjon.

En god start er å passe på at operativsystem og andre programmer du benytter er oppdatert. Oppdateringer av programvare kommer ofte med rettelser av sikkerhetsproblemer. Generelt vil oppdatert programvare ikke inneholde kjente, store sikkerhetshull.

Hvis du har administrerte tjenester er det Deplois oppgave å passe på at operativsystemet og den administrerte tjenesten er oppdatert. Alle andre deler av systemet må du selv sørge for å holde oppdatert. Her er det viktig å holde god oversikt over hvilke deler systemet består av, slik at ikke én eller flere deler blir glemt. Husk at ett svakt ledd kan være nok til å sette systemet ut av spill!

La oss se på noen eksempler på hva som bør holdes oppdatert, og hvem som har ansvaret:

1. Du har en server som kjører WordPress. Det er da viktig at følgende programvare holdes oppdatert: 1) Operativsystemet, f.eks. Ubuntu. 2) Databasen, f.eks. MySQL eller MariaDB. 3) PHP. 4) WordPress og 5) Plugins du har installert på WordPress.
2. Du har en administrert database hos Deploi. Da vil Deploi sørge for at både operativsystem og database holdes oppdatert.
   Du har administrert Kubernetes hos Deploi. Da vil Deploi sørge for at operativsystem, Kubernetes og sentrale Kubernetes-tjenester holdes oppdatert. Programvare (inkludert biblioteker) du selv legger på Kubernetes må du selv passe på å holde oppdatert.

For å lære mer om å holde operativsystemet oppdatert, se nyhetsbrevet fra april 2022 om dette temaet.

 

Sterke passord og innloggingsnøkler

Selv om all programvare er oppdatert kan en ubuden gjest fremdeles komme seg inn i IT-systemene ved å gjette eller få tak i passord og innloggingsnøkler. Det er viktig å ha gode og sterke passord og innloggingsnøkler. Disse bør lagres trygt. De bør lagres kryptert eller fysisk utilgjengelig for uvedkommende. Husk også at hvert passord kun bør brukes ett sted!

 

Minst mulig ubrukt programvare

Et IT-system bør ikke inneholde programvare som ikke er i bruk, fordi ubrukt programvare utgjør en helt unødvendig sikkerhetsrisiko. Dette kan for eksempel være tjenester som kjører på serveren, men ikke er i bruk. Det kan også være biblioteker som er med i tjenestene dine, men som ikke er i bruk.

For å se hvilke tjenester som kjører på serveren din kan du gjøre følgende:

• På Linux-baserte systemer, kjør «systemctl status». Da vil du se en liste med aktive tjenester. Du kan kjøre følgende kommando for å se hvilke tjenester som kan nåes utenfra: «sudo netstat -tulpn | grep LISTEN».
• På Windows Server, kjør «services.msc». Da vil du se en liste med aktive tjenester. For å se hvilke tjenester som kan nåes utenfra, kjør «netstat -an» på kommandolinjen. De som er markert som «LISTENING» kan være tilgjengelige utenfra.

Er det noe i disse listene du ikke trenger, bør det stoppes, deaktiveres og kanskje også avinstalleres. (Hvis du har mer kompliserte serveroppsett som f.eks. Kubernetes, er en slik sjekk mer omfattende enn dette.)

For de IT-systemene du selv har utviklet bør du undersøke hvilke biblioteker som inkluderes, og hvilke tjenester som er en del av systemet. Ubrukte biblioteker bør ikke inkluderes, og ubrukte tjenester bør fjernes.

 

Riktige tilganger

Det er viktig at kun de som virkelig trenger tilgang til noe har det. Dette gjelder ansatte, eksterne og tidligere ansatte. Før register over hvem som skal ha hvilke tilganger og sjekk disse jevnlig mot endringer i ansatte og eksterne. Slett eller begrens tilganger når en person ikke trenger dem lenger.

Det er også viktig at programvaren kun har de tilgangene den trenger. Om dette brukes buzz-ordet «zero-trust». Akkurat som for personer, bør det føres register over hvilke tilganger programvare har, og disse bør sjekkes jevnlig mot hva som fremdeles er nødvendig.

 

VPN

For ekstra sikkerhet kan IT-systemene befinne seg i et privat nettverk. Dette gjelder IT-systemer som uansett ikke skal være tilgjengelige for noen utenfor organisasjonen. Hvis ansatte eller andre trenger tilgang til systemene på det private nettverket “utenfra”, for eksempel fra hjemmekontor, kan man bruke et Virtual Private Network (VPN). Deploi tilbyr administrerte VPN-løsninger.

 

Brannmur

Et annet tiltak man kan utføre er å aktivere en brannmur. En brannmur er et ekstra lag med beskyttelse. Her kan man stenge eller begrense tilgangen til ellers tilgjengelige tjenester.

Merk at når brannmur er aktivert, må man vedlikeholde et ekstra sett med tilganger: tilgangene gjennom brannmur kommer nå i tillegg til selve tjenestetilgangene.

Alle Deploi-servere kommer med innebygget brannmur:

På Linux-baserte systemer har du iptables og UFW. Standardinnstillingene på disse er at alt er åpent.
På Windows Server har du Windows Defender Firewall. Standardinnstillingene på disse er at alt er stengt.

 

Ansatte som tar sikkerhet på alvor

Sist men ikke minst er det viktig å nevne at de som jobber i en bedrift må være opptatt av sikkerhet. Ansatte som ikke tar sikkerhet på alvor vil alltid være en av de største sikkerhetstruslene.

 

Backup

Selv om du har sikret serveren og tjenestene dine, kan uhellet plutselig være ute på grunn av faktorer utenfor din kontroll. Da er det viktig å ha gode backuper. Deploi tilbyr en rekke backup-tjenester, inkludert backup på flere lokasjoner.

 

Hjelp

Trenger du råd eller bistand i forbindelse med serversikkerhet, er det som alltid mulig å kontakte oss på chat, telefon eller e-post.

 

Hilsen
Deploi-teamet

 

Kommende nyhetsbrev:

 

• november: Cloudflare og Content Delivery Networks (CDN-er)
• desember: Moderne skyløsninger
• januar: Administrert Kubernetes hos Deploi