امنیت سرور چیست + ابزارهای امنیتی سرور

با توجه به این‌که هکرها راه‌های پیچیده‌ و بروزی برای حملات سایبری ابداع می‌کنند، تامین امنیت سرور و ابزارهای امنیتی سرور برای محافظت از کسب‌وکارها بسیار حیاتی است. خوشبختانه ایمن سازی سرور سخت و پیچیده نیست و با رعایت برخی از نکات و استانداردها می‌توان امنیت سرور را تامین کرد. در این مطلب به سراغ امنیت سرور رفته‌ایم و علاوه بر این‌که به اهمیت این موضوع پرداخته‌ایم روش ها و ابزارهای امنیتی سرور را نیز به‌طور کامل معرفی کرده‌ایم.

⏲ مدت زمان تخمینی مطالعه: 31 دقیقه

امنیت سرور چیست؟

امنیت سرور به فرآیندها و ابزارهای مورد استفاده برای محافظت از داده‌ها و دارایی‌های ارزشمندی که در سازمان‌ها نگهداری می‌شوند، گفته می‌شود. سرورها اغلب توسط مجرمان سایبری مورد هدف قرار می‌گیرند، این افراد به‌دنبال پیدا کردن نقاط ضعف امنیتی در سرور سازمان‌ها هستند تا بتوانند برای منافع مالی خود از آن سواستفاده کنند. در نتیجه نیاز است که از منابع مهم کسب‌وکارهای مختلف به خوبی محافظت شود.

سرورها قلب زیرساخت فناوری اطلاعات (IT) هر سازمان هستند و تعداد زیادی از کاربران اجازه دسترسی به اطلاعات، ایمیل، فایل‌های میزبان، اینترنت و عملکردهای مشابه به‌ویژه از راه دور را دارند. بنابراین رعایت نکردن نکات بسیار ساده مانند رمز عبور ضعیف، آنتی‌ویروس آپدیت نشده و یا خطای کاربر می‌تواند همه‌ی اطلاعات را در معرض آسیب و خطرات قابل توجهی قرار دهد. در نتیجه یک سرور نا امن در برابر انواع تهدیدات امنیتی و نقض داده‌ها آسیب‌پذیر خواهد بود.

فروش سرور  و فروش پردازنده سرور و فروش هارد سرور و کابل سرور اچ پی (HP)

امروزه داده‌ها مانند طلا هستند و هکرها استخراج‌کنندگان طلا. بنابراین امنیت سرور نقش حیاتی در مراقبت از اطلاعات سازمانی محرمانه و داده‌ها را دارد. موثرترین کار جهت امنیت سرورها، مرتب سازی و طبقه‌بندی کردن در لایه‌های مختلف است. امنیت سرور به‌عنوان یک پوسته محافظ باید تقویت شود و هر اقدام امنیتی به‌عنوان یک لایه حفاظتی در نظر گرفته شود. در نتیجه هر لایه‌ای که اضافه می‌کنید، باعث ایمن‌تر شدن داده‌ها خواهد شد. بهترین رویکرد هنگام ایمن‌سازی سرور این است که فرض کنید هر لایه شکست می‌خورد. به‌عنوان مثال، با این فرض که رمز عبور اولیه روزی به سرقت خواهد رفت برای لایه دوم از احراز هویت دو مرحه‌ای استفاده می کنید.

پیشنهاد مطالعه: سرور چیست و چه کاربردی دارد؟

مشکلات رایج امنیتی سرور

هر وب‌سایت یا برنامه آنلاین، چه یک فروشگاه اینترنتی باشد که روزانه میلیون‌ها تومان تراکنش را پردازش می‌کند چه یک برنامه کوچک محلی، می‌تواند قربانی حملات مخرب و مسائل امنیتی شود. هکرها اغلب اهداف خود را براساس آسیب‌پذیری انتخاب می‌کنند نه براساس اندازه یک سازمان یا درآمد آن. گاهی ممکن است شرکت‌های کوچک که حتی حاوی داده‌های حساس نیز نیستند، به‌دلیل هک آسان‌تر تبدیل به یک هدف وسوسه‌انگیز شوند. اما به‌طوردقیق مشکلات رایج امنیتی سرور چیست؟

مشکل امنیتی سرور به هرگونه خطر، آسیب‌پذیری و کاهش امنیت در سرور گفته می‌شود که هکرها می‌توانند از آن برای آسیب رساندن به سیستم یا دستیابی به داده‌ها استفاده کنند. این شامل آسیب‌پذیری‌های متعدد در سرورها، سیستم‌عامل، برنامه‌ها، فرآیندهای تجاری، کاربران و حتی اتاق سرور  می‌شود. 15 مشکل رایج امنیتی سرور عبارتند از:

1. حمله باج‌افزارها
2. اجرای کد از راه دور (تزریق کد Code Injection)
3. حمله اسکریپت بین سایتی (XSS)
4. نقض داده‌ها
5. آلودگی به بدافزار و ویروس
6. حمله DDoS
7. حمله Credential stuffing یا استفاده مجدد از رمزهای عبور
8. حمله Brute Force یا ترکیب چندین رمز عبور
9. رمزهای عبور ضعیف و مشکلات احراز هویت
10. Social engineering یا مهندسی اجتماعی مانند جعل هویت یا ساختن اطلاعات ساختگی از طریق اطلاعات تماس محرمانه، شماره حساب یا کارت اعتباری، بازنشانی یا دریافت رمزهای ارسال ایمیل یا پیامک‌های متقاعدکننده در جهت تعلیق یا لغو خدمات ضروری، آپلود یا نصب نرم‌افزارهای مخرب، غیرفعال کردن زیرساخت‌های حیاتی
11. هرزنامه و فیشینگ (SPAM and Phishing)
12. تهدیدات داخلی مانند یک کارمند مورد اعتماد، یک مشتری یا یک راننده شرکت
13. نشت داده های حساس
14. عدم پشتیبان‌گیری از اطلاعات
15. عدم به‌روزرسانی مرتب برنامه‌ها و سیستم‌عامل

بیشتر بخوانید: آشنایی با ویندوز سرور و روش فعال کردن آن

بهترین روش های امنیت سرور

همان‌طور که پیش‌تر اشاره کردیم، هکرها همیشه به‌دنبال آسیب‌پذیری سرورها هستند، در نتیجه مسئولیت امنیت و ایمن‌سازی سرور و به‌ویژه داده‌ها برعهده شرکت و سازمان‌ها است. خوشبختانه با اجرای برخی از نکات و شیوه‌های امنیتی می‌توانید خطرات را به حداقل برسانید و مطمئن باشید که داده‌ها در سرورهای امن نگه‌داری می‌شوند. در ادامه بهترین روش‌های امنیت سرور را بررسی کرده‌ایم.

1. اتصال امن به سرور
2. استفاده از SSH Keys Authentication
3. استفاده از پروتکل امن انتقال فایل (FTPS)
4. مدیریت کاربر سرور
5. امنیت رمز عبور سرور
6. به روز رسانی منظم نرم افزار بر روی سرور
7. حذف یا خاموش کردن همه سرویس های غیر ضروری
8. مخفی کردن اطلاعات سرور
9. استفاده از یک سیستم تشخیص نفوذ مانند سوفوس
10. راه اندازی و نگهداری فایروال
11. داشتن یک نسخه پشتیبان از سیستم
12. ایجاد محیط های چند سروری (Multi-Server Environments)
13. ایجاد محیط های ایزوله مجازی (Virtual Isolated Environments)

اتصال امن به سرور

ایجاد یک کانال امن به‌ویژه در هنگام اتصال از راه دور، یکی از نکات ضروری در امنیت سرور است. یکی از بهترین راه‌های ایجاد یک اتصال امن استفاده از پروتکل SSH (Secure Shell) است. این پروتکل برخلاف Telnet که در گذشته کاربرد داشت، علاوه بر تامین امنیت، کلیه اطلاعات و داده‌های ارسال شده را رمزگذاری می‌کند.

برای استفاده از این راهکار باید SSH Daemon را نصب کنید و یک SSH Client داشته باشید که از طریق آن دستورات اجرا، سرور را مدیریت کنید و دسترسی از راه دور را ایمن سازید.

توجه داشته باشید که پروتکل SSH به‌طور پیش‌فرض از پورت 22 استفاده می‌کند و این نکته ا‌ی است که همه‌ی هکرها از آن اطلاع دارند، همین نکته‌ی جزئی می‌تواند باعث مشکلاتی شود. بنابراین تغییر شماره پورت یک راه آسان و راحت برای کاهش حمله‌ هکرها و ایمن‌سازی سرور است. می‌توانید برای ایمن‌سازی پورت SSH از شماره‌های بین 1024 تا 32767 استفاده کنید.

پیشنهاد مطالعه: آموزش تعمیرات سرور اچ پی (HP)

استفاده از SSH Keys Authentication

به جای رمز عبور می‌توانید از SSH Keys Authentication استفاده کنید. این روش احراز هویت جایگزین بهتری برای لاگین‌های سنتی است، زیرا علاوه بر این‌که دارای کلید بیت‌های (bits ) بیشتری نسبت به رمز عبور است به‌راحتی توسط کامپیوترهای مدرن شکسته نمی‌شود.  یکی از محبوب‌ترین رمزگذاری‌ها توسط این روش RSA 2048 بیتی است که معادل یک رمز عبور 617 رقمی می‌شود. همچنین این روش دارای کلید عمومی و کلید خصوصی نیز است. کلید عمومی شامل چندین نسخه است که یکی از آن‌ها روی سرور باقی می‌ماند و بقیه با کاربران به اشتراک گذاشته می‌شود. در واقع این باعث می‌شود تا هر کسی که کلید عمومی را داشته باشد، قدرت رمزگذاری داده ها را نیز داشته باشد، در حالی‌که فقط کاربر با کلید خصوصی مربوطه می‌تواند این داده‌ها را بخواند.

در حالت کلید خصوصی، کلیدها با کسی اشتراک‌گذاری نمی‌شوند و باید به‌صورت یک رمز از آن نگهداری کنید. در نتیجه در هنگام برقراری یک اتصال، سرور اجازه دسترسی کاربر به کلید خصوصی را ارائه می‌دهد.

استفاده از پروتکل امن انتقال فایل (FTPS)

برای این‌که فایل‌ها بدون خطر بین سرورها جابه‌جا شوند و سرقت داده‌ها توسط هکرها به حداقل برسد، یکی از روش‌های امنیت سرور استفاده از پروتکل امن انتقال فایل یا به اصطلاح FTPS است. این روش که در ایمن‌سازی از اهمیت بالایی برخوردار است باعث می‌شود تا فایل‌های داده و اطلاعات احراز هویت رمزگذاری شود. روش FTPS از هر دو کانال فرمان و کانال داده استفاده می‌کند و کاربر از طریق آن می‌تواند هر دو کانال را رمزگذاری کند.

توجه داشته باشید که این روش در حین انتقال فایل از اطلاعات محافظت می‌کند و به‌ محض رسیدن به سرور (مقصد) داده‌ها دیگر رمزگذاری نمی‌شوند. به‌همین دلیل بهتر است قبل از ارسال فایل‌ها، لایه‌ی دیگری از امنیت را ایجاد و فایل‌ها را رمزگذاری کنید.

مدیریت کاربر سرور

مدیریت کاربران سرور یکی از مهم‌ترین نکات در زمینه‌ی روش‌های ایمنی و امنیت سرور است. روش‌های متعددی برای این کار وجود دارد اما دو تا از بهترین روش های امنیت سرور عبارتند از:

1. نظارت بر تلاش‌های ورود؛ استفاده از نرم‌افزارهای مدیریت برای نظارت و جلوگیری از تلاش‌های متعدد برای ورود به سیستم و سرور از طرف کاربران، یکی از روش‌های محافظت از حملات brute force خواهد بود. این حملات با روش آزمون و خطا و ترکیب چندین رمز عبور از حروف و اعداد برای دسترسی به سرور استفاده می‌شود. در نتیجه نظارت و مدیریت کاربران تضمین امنیت سرور است. نرم‌افزار جلوگیری از نفوذ بر کلیه فعالیت‌ها و فایل‌ها نظارت می‌کند و اگر تلاش‌های مشکوک برای ورود را تشخیص دهد، به‌سرعت گزارش می‌دهد. همچنین اگر تعداد تلاش‌ها از میزان تعیین شده بیشتر شود، نرم‌افزار IP موردنظر را برای مدت معینی یا برای مدت نامحدود مسدود می‌سازد.

SolarWinds Security Event Manager، Splunk، Sagan، Open WIPS-NG، Zeek، OSSEC و Fail2Ban برخی از نرم‌افزارهای مورد استفاده در زمینه جلوگیری از نفوذ به سرور هستند.

2. مدیریت کاربران: هر سرور دارای یک کاربر اصلی است که می‌تواند به هر فایلی دسترسی داشته باشد و هر دستوری را اجرا کند. به‌دلیل قدرتی که این کاربر دارد، در صورت بروز روت (root) یا افتادن اطلاعات به دست افراد غیر مجاز، می‌تواند خطرات زیادی سرور را تهدید کند. غیرفعال کردن ورود روت به روش SSH یکی از بهترین روش‌ها برای امنیت سرور است.

از آن‌جایی که کاربر اصلی بیشترین قدرت را دارد، بیشترین تمرکز هکرها شکستن رمز عبور آن کاربر ویژه است. بنابراین اگر دسترسی این کاربر را محدود کنید، نه‌ تنها باعث ضعیف شدن مهاجمان خواهید شد بلکه سرور را از تهدیدات احتمالی نجات خواهید داد. برای اطمینان از این موضوع به‌ویژه سواستفاده نکردن از امتیازات Root، یک حساب کاربری محدود با حداقل قدرت اکانت روت ایجاد کنید که قادر به انجام کلیه وظایف اداری با استفاده از دستورات sudo باشد.  بهتر است بیشتر حساب‌های کاربری سرورتان محدود باشد و فقط در صورت لزوم اکانت روت را در اختیار یک کاربر قرار دهید.

امنیت رمز عبور سرور

امنیت رمز عبور سرور یکی از بهترین روش‌ها برای تامین امنیت سرور و داده‌ها است که با رعایت چند نکته‌ی اصولی در این زمینه نگرانی نخواهید داشت.

1. ایجاد قانون برای رمزهای عبور: اولین نکته در راستای امنیت سرور تعیین الزامات و قوانین برای رمز عبور است که باید توسط همه کاربران و افرادی که به سرور دسترسی دارند رعایت شود.

• پسوردهای ساده یا پیش‌فرض را انتخاب نکنند.
• رمز عبور دارای حداقل طول و پیچیدگی باشد. (حداقل شامل 8 کاراکتر باشد و از حروف کوچک، بزرگ، اعداد و کاراکترهای خاص مانند @،&، <> و … استفاده شود.)
• یک سیاست غیرقابل نفوذ برای رمزها داشته باشید.
• ذخیره رمز عبور به‌طور اتوماتیک را غیرفعال کنید.
• احراز هویت دو مرحله‌ای را فعال کنید.
• رمزهای عبور را با استفاده از رمزگذاری برگشت‌پذیر ذخیره نکنید.

2. تنظیم سیاست انقضای رمز عبور: تعیین تاریخ انقضا برای رمز عبور یکی دیگر از روش‌های رایج برای امنیت رمز عبور در سرور است. بسته به سطح امنیتی مورد نیاز، می‌توانید تاریخ انقضا را چند هفته یا چند ماه تعیین کنید.
3. استفاده از عبارات عبور برای رمزهای سرور: دلایل متعددی وجود دارد که تاکید می‌کند استفاده از عبارت عبور به جای رمز عبور به افزایش امنیت سرور کمک می‌کند. یکی از این دلایل این است که عبارت طولانی‌تر از کلمات و حاوی فاصله (Space) بین کلمات است. به‌عنوان مثال یک رمز عبور به صورت عبارت شبیه به این جمله Ilove!ToEatPizzaAt1676MainSt است. در این مثال همان‌طور که مشاهده می‌کنید از یک رمز عبور معمولی طولانی‌تر و شامل حروف بزرگ، کوچک، اعداد و کاراکترهای منحصربه‌فرد است. همچنین به خاطر سپردن یک عبارت بسیار ساده‌تر از مقدار حروف تصادفی است. در نهایت، از آن‌جایی‌که عبارت مثال زده شده از 49 کاراکتر تشکیل شده، کرک کردن آن نیز دشوارتر است.
4. این کارها را در رمز عبور انجام ندهید: اگر می‌خواهید یک سرور امن داشته باشید، در انتخاب پسورد، از چندین کار اجتناب کنید.

• مراقب باشید که رمزهای عبور را کجا ذخیره می‌کنید! آن‌ها را روی کاغذ ننویسید و در لای یک کتاب پنهان نکنید.
• از اطلاعات شخصی مانند روز تولد، زادگاه، نام حیوانات خانگی و … برای رمز عبور استفاده نکنید. (حدس زدن این موارد بسیار آسان است، به‌ویژه افرادی که به‌طورکامل شما را می‌شناسند.)
• رمزهای عبوری که حاوی کلمات و لغات ساده هستند به راحتی شکسته می‌شوند، به‌ویژه اگر مورد حمله brute force قرار بگیرید.
• از تکرار کاراکترها به‌صورت متوالی در رمز عبور خودداری کنید.
• از رمز عبور یکسان برای چندین حساب استفاده نکنید. با بازیافت یک رمز عبور توسط هکر، حساب‌های خود را در معرض خطر جدی قرار خواهید داد. سعی کنید از یک رمز عبور متفاوت برای هر حساب جداگانه استفاده و با یک مدیریت رمز عبور مانند KeePass آن‌ها را پیگیری کنید.

به روز رسانی منظم نرم افزار بر روی سرور

به‌روزرسانی و ارتقای نرم‌افزارها به‌طور منظم یکی دیگر از بهترین روش های امنیت سرور است. در واقع بروزرسانی منظم نرم‌افزارهای سرور، گامی حیاتی برای ایمن نگه‌داشتن آن در برابر حملات هکرها است. زمانی‌که بروزرسانی یک نرم‌افزار منتشر می‌شود، به‌ این دلیل است که نسخه‌ی قدیمی از نظر نقاط ضعف مورد بررسی قرار گرفته و احتمال این‌که هکرها از طریق آن به سیستم آسیب برسانند وجود دارد. بنابراین برای این‌که خط دفاعی‌تان در بهترین و ایمن‌ترین حالت باشد، بروزرسانی (update) و ارتقا (Upgrade) را فراموش نکنید.

بروزرسانی خودکار (Automatic updates) یکی از روش‌هایی است که باعث می‌شود، هیچ‎‌وقت آپدیت کردن را فراموش نکنید. با این‌حال اجازه دادن به سیستم برای انجام این ویژگی به تنهایی می‌تواند خطرناک باشد. بهتر است اعلان خودکار را روشن اما بروزرسانی را خودتان با بررسی تغییرات اعمال شده که شامل وصله‌های ایمنی‌سازی برای رفع مشکلات امنیتی است، در نرم‌افزار انجام دهید.

همچنین کنترل پنل سرور را نیز به‌طور معمول به روز کنید. علاوه بر این باید به‌طور منظم سیستم‌های مدیریت محتوا را  (در صورت استفاده از یک یا افزونه‌های بیشتر) آپدیت کنید.

حذف یا خاموش کردن همه سرویس های غیر ضروری

«افزایش امنیت سرور با کاهش حمله مسیر (attack vector)». این جمله به نصب و نگهداری حداقل الزامات مورد نیاز برای اجرای امنیت سایبری اشاره دارد. برای این‌کار کافی است فقط پورت‌های شبکه مورد استفاده در سیستم‌عامل و اجزای نصب شده آن را فعال کنید. هر چقدر سرویس‌های غیرضروری در سرور کمتر روشن باشد، امنیت بهتر است. در سیستم‌عامل ویندوز سرور فقط باید اجزای مهم آن روشن باشد.

سیستم‌عامل لینوکس باید با حداقل‌ترین سرویس‌ها نصب شود، در واقع در این سیستم‌عامل فقط بسته‌های ضروری را نصب کنید. همچنین به دلیل این‌که بیشتر سیستم‌های لینوکس به اتصالات ورودی اینترنت متصل هستند، باید در این سیستم‌عامل فایروال را پیکربندی کنید و تنها پورت‌های خاص را فعال و همه‌ی ارتباطات غیرضروری را خاموش کنید.

قبل از نصب هر نرم‌افزاری باید زیرمجموعه و ابزارهای موردنیاز آن را بررسی کنید تا مطمئن شوید که مواردی که نیاز ندارید را نصب نمی‌کنید. همچنین باید بررسی کنید که کدام سرویس‌های خودکار در سیستم‌ فعال است و برای چه برنامه‌ای فعالیت می‌کند، سرویس‌های خودکار می‌توانند باعث نفوذ شوند.

مخفی کردن اطلاعات سرور

مخفی کردن اطلاعات سرور یکی دیگر از راه‌های حفظ امنیت سرور است. بنابراین باید تا حد امکان از درج هرگونه اطلاعات در مورد زیرساخت سرور خودداری کنید. هرچقدر کاربران، مشتریان و رقبا در مورد سرور‌های کسب‌وکارتان اطلاع داشته باشند، امنیت بیشتر خواهد بود. بهتر است ورژن هر نسخه‌ از نرم‌افزارهایی که روی سرور نصب می‌کنید، پنهان بماند. بیشتر این نرم‌افزارها دارای تاریخ دقیق انتشار هستند که باعث می‌شود هکرها بتوانند نقاط ضعف آن را شناسایی کنند. حذف این اطلاعات با حذف آن از هدر HTTP امکان‌پذیر است.

 

استفاده از یک سیستم تشخیص نفوذ مانند سوفوس

برای شناسایی هرگونه فعالیت غیرمجاز، از یک سیستم تشخیص نفوذ (IDS) مانند سوفوس (Sophos) استفاده کنید. این برنامه را می‌توانید به‌گونه‌ای تنظیم کنید که کلیه عملیات‌ روزانه را بررسی و به‌صورت دوره‌ای با اسکن‌های خودکار هر گونه نفوذ را گزارش کند.

راه اندازی و نگهداری فایروال

یکی دیگر از روش‌های امنیت سرور کنترل و محدود کردن دسترسی آن است. استفاده از CSF (ConfigServer و Firewall) برای افزایش امنیت سرور ضروری است. این برنامه باعث می‌شود تا اتصالات خاص و حیاتی اجازه دسترسی داشته و سایر خدمات قفل شوند.

بنابراین بسیار مهم است در هنگام راه‌اندازی اولیه سرور یا زمانی‌که تغییراتی در خدمات سرور ایجاد می‌کنید، فایروال را نصب کنید. به طور پیش فرض، فایروال یک سرور معمولی خدمات مختلفی از جمله خدمات عمومی، خصوصی و داخلی را اجرا می‌کند.

• خدمات عمومی توسط سرورهایی اجرا می‌شوند که به اجازه دسترسی به وب‌سایت نیاز دارند. هرکسی می‌تواند به این خدمات (اغلب به صورت ناشناس) از طریق اینترنت دسترسی داشته باشد.
• خدمات خصوصی زمانی‌که با کنترل پنل پایگاه داده کار می‌کنید، ارائه می‌شود. در این سرویس تعدادی از افراد انتخاب شده اجازه دسترسی به نقاط خاص را دارند. این افراد دارای حساب‌های مجاز با امتیازات ویژه در داخل سرور هستند.
• خدمات داخلی خدماتی هستند که هرگز نباید در معرض اینترنت یا فضای خارجی قرار گیرند. آن‌ها فقط از داخل سرور قابل دسترسی هستند و فقط اتصالات محلی را می‌پذیرند.

نقش فایروال اجازه دادن، محدود کردن و فیلتر کردن دسترسی با توجه به سرویسی است که هر کاربر برای آن مجاز شده است. بنابراین فایروال را به گونه‌ای پیکربندی کنید که همه سرویس‌ها به جز خدمات اجباری در سرور محدود باشد.

داشتن یک نسخه پشتیبان از سیستم

اگرچه روش‌های متعددی برای محافظت از امنیت سرور و داده‌ها وجود دارد، اما در صورت بروز هرگونه مشکل، داشتن یک نسخه‌ی پشتیبان از سیستم بسیار مهم است. برای این کار کافی است اطلاعات رمزگذاری شده و داده‌های حیاتی را در مکانی خارج از سرور ذخیره کنید یا از پشتیبان‌گیری ابری استفاده کنید.

مهم نیست که پشتیبان‌گیری را خودکار انجام دهید یا دستی، نکته‌ ای که اهمیت دارد این است که به‌صورت روتین و منظم بکاپ‌گیری را انجام دهید. همچنین توسط آزمایش‌های جامع پشتیبان‌گیری، از سلامت و بازیابی آن‌ها مطمئن شوید.

ایجاد محیط های چند سروری (Multi-Server Environments)

جداسازی یا ایزولاسیون یکی از بهترین روش‌ها برای محافظت از سرور است. جداسازی کامل مستلزم داشتن سرورهای فلزی خالی اختصاصی است که با هیچ سرور دیگری اشتراک‌گذاری ندارد، اگرچه این روش ساده‌ترین مدیریت و بالاترین امنیت را دارد، اما گران است.

وجود محیط‌های اجرایی مجزا در یک مرکز داده، اجازه می‌دهد تا تنظیم پیکربندی سرور و جداسازی وظایف  (SoD) با توجه به عملکردهای مختلف، برنامه‌ریزی شود.

جداسازی یا ایجاد محیط‌های چند سروری در پایگاه‌های داده، سرورهای وب و برنامه‌های کاربردی یک عمل امنیتی استاندارد است. همچنین ایجاد محیط‌های اجرایی مجزا برای کسب‌وکارهای بزرگ که هرگونه نقض امنیتی آسیب جدی برایشان ایجاد می کند، مفید خواهد بود.

محیط‌های چند سروری باعث می‌شوند تا اطلاعات حساس و فایل‌های سیستمی از دسترسی هکرها دور بماند و همچنین به مدیران اجازه می‌دهد تا امنیت برنامه وب را به‌صورت جداگانه پیکربندی کنند و با تنظیمات فایروال سطح حملات را به حداقل برسانند.

 

 ایجاد محیط های ایزوله مجازی (Virtual Isolated Environments)

اگر نمی‌توانید یا نیازی به ایجاد محیط‌های چند سروری ندارید، می‌توانید محیط‌های ایزوله مجازی بسازید. انجام این کار باعث می‌شود تا با مشکلات امنیتی که احتمال دارد پیش بیاید مقابله کنید و مطمئن باشید که داده‌ها به خطر نمی‌افتند. راه‌اندازی ایزوله مجازی بسیار ساده است و می‌توانید بین کانتینرها یا مجازی VM یک روش را انتخاب کنید.

یکی از گزینه‌های ایجاد محیط‌های ایزوله مجازی در سیستم‌عامل یونیکس (UNIX) استفاده از محیط Chroot Jails است. این فرآیند باعث ایجاد یک محیط مجازی، دایرکتوری و جدا کردن آن از سیستم‌عامل اصلی می‌شود. در واقع این فرآیند باعث می‌شود تا اجرای یک نرم‌افزار در محیطی جداگانه و تحت ساختار دایرکتوری انجام شود. در نتیجه فایل‌هایی که از طریق دایرکتوری در دسترس هستند فقط در این محیط اجرا می‌شوند. با این حال، ایجاد محیط ایزوله مجازی به‌ تنهایی کامل نیست و باید سایر اقدامات امنیتی نیز انجام شود.

 

بهترین ابزارهای امنیتی سرور

ابزارهای امنیتی سرور در گذشته بر روی حفاظت از سرورهای فیزیکی متمرکز بودند. هر ابزار به اعتبار ورود نیاز داشت و برای تغییر هر چیزی نیاز به کسب امتیازات مدیریتی بود مانند نرم‌افزارهای آنتی‌ویروس و بدافزار که به‌طور مستقیم روی دستگاه نصب می‌شدند. اما این روزها ابزارهای زیادی از محافظت فیزیکی سرور فراتر رفته‌اند و خدمات تشخیص تا نفوذ را جهت محافظت از منابع سرور ارائه می‌دهند. در ادامه بهترین ابزارهای محافظت از سرور را معرفی کرده‌ایم:

 

l Malwarebytes Endpoint Protection for Servers

نرم‌افزار Malwarebytes حفاظت و اصلاح بدافزار را برای زیرساخت‌های سرور فراهم می‌کند. این ابزار امنیتی از یک کنسول ابری هدایت می‌شود که باعث می‌شود روی همه‌ی سرورها و ایستگاه‌های کاری بهترین نتیجه را ارائه دهد. Malwarebytes طراحی ساده ای دارد و از آخرین ورژن ویندوز سرور، لینوکس و مک پشتیبانی می‌کند.

ویژگی‌های نرم‌افزار Malwarebytes

• تشخیص ناهنجاری‌ها، پیشگیری از روز صفر و تجزیه و تحلیل بار بدون امضا
• از بین بردن بدافزارهای ناشناس و جدید قبل از تاثیرگذاری روی سرورها
• نظارت بر نمایه‌های یادگیری ماشین و تهدیدات در سراسر وب، حافظه، برنامه‌ها و فایل‌ها
• ردیابی و اصلاح Linking Engine در هر نصب
• مجهز به داشبورد مبتنی بر فضای ابری با قابلیت نشان دادن وضعیت رویدادها و ساعت دستگاه

 

l Avast Server Antivirus

Avast یک ابزار مبتنی بر ابر است که از سرورها در برابر بدافزار و ویروس‌ها محافظت می‌کند. همچنین Avast CloudCare براساس لایه‌های امنیتی مورد نیاز است که برای هر‌ کسب‌وکاری در برابر تهدیدات متعدد ضروری است.

ویژگی‌های Avast

1. محافظت از سرورها، داده‌ها، دستگاه‌ها، برنامه‌ها و شبکه‌ها
2. دارای داشبورد نظارت برای هشدارها و تهدیدها در زمان واقعی
3. استقرار سرویس‌های امنیتی لایه‌ای در همه‌ی دستگاه‌ها
4. جمع‌آوری داده‌های کلیدی و ارائه گزارش‌های دقیق فعالیت

 

l McAfee Server Security

محصول امنیتی سرور McAfee  ابزاری برای کشف، نظارت و ایمن‌سازی داده‌های مبتنی بر ابر و سرور است. این ابزار فناوری‌های امنیتی سرور را ترکیب می‌کند تا بار روی CPU را به حداقل برساند.

ویژگی‌های McAfee

1. مجهز به Application and Change Control برای جلوگیری از تغییرات ناخواسته، کنترل و برنامه‌های غیرمجاز، نقاط پایانی سرورها و دستگاه‌ها
2. مجهز به Cloud Workload Security اتوماتیک برای کشف و دفاع از بارهای کاری
3. مجهز به Host Intrusion Prevention برای محافظت از حملات روز صفر
4. بهینه‌سازی امنیت، مدیریت، انعطاف‌پذیری در محیط‌های مجازی با ویژگی MOVE AntiVirus
5. مسدود و حذف بدافزار از دستگاه‌های NAS با ویژگی VirusScan Enterprise for Storage

 

l Barracuda Backup

ابزار امنیتی Barracuda مناسب برای محافظت از داده‌ها است. این برنامه امکانات بکاپ‌گیری یعنی از پشتیبان‌گیری، ذخیره‌سازی تا بازیابی را فراهم می‌سازد. با این ابزار می‌توانید از داده‌های موجود در دستگاه‌های فیزیکی، محیط‌های مجازی، ابر عمومی، Office 365 (شامل SharePoint و OneDrive) و داده‌های SQL محافظت کنید.

ویژگی‌های Barracuda

1. قابلیت کپی داده‌های پشتیبان‌گیری شده در خارج از سایت
2. تکثیر داده‌ها و پشتیبان‌گیری به‌صورت مجازی یا از راه دور
3. مجهز به قابلیت رمزگذاری 256 بیتی AES برای تمام داده‌ها در حالت انتقال و استندبای
4. دارای فضای ذخیره‌سازی ابری نامحدود
5. ارائه راه‌حل SaaS و پشتیبان‌گیری ابر به ابر
6. دارای قابلیت بکاپ‌گیری هر 15 دقیقه از اطلاعات و سرورهای حیاتی
7. کپی برداری درون خطی

 

l Syxsense Manage

ابزار امنیتی Syxsense Manage به‌روزرسانی وصله سرور و مدیریت IT را ارائه می‌دهد. این ابزار از کلیه فرآیندهای آپدیت از اولویت‌بندی تا مراقبت از نرم‌افزارها را میسر می‌سازد.

ویژگی‌ها ابزار امنیتی Syxsense Manage

1. به‌رورزسانی خودکار وصله‌های سیستم‌عامل، شخص ثالث و ویندوز
2. ادغام وصله‌های دسکتاپ، لپ‌تاپ و سرور در یک کنسول
3. ارائه گزارش مطابقت با HIPAA، SOX و PCI
4. اتوماسیون توزیع پچ برای جلوگیری از ترافیک پهنای باند شبکه
5. اسکن مسائل امنیتی مانند مجوز، امنیت و وضعیت آنتی‎‌ویروس

 

Centrify Server Suite

ابزار امنیتی Centrify Server Suite به فرآیند ایمن‌سازی دسترسی سازمان‌ها به محیط‌های ترکیبی و چند ابری تمرکز دارد. این برنامه اجازه می‌دهد تا انسان‌ و ماشین‌ احراز هویت شود و با به دست آوردن امتیاز موقعیت آن‌ها شناسایی شود. این ابزار امنیتی با ویندوز سرور، لینوکس و یونیکس سازگاری دارد.

ویژگی‌های Centrify Server Suite

• ادغام هویت‌ها و حذف حساب‌های محلی
• شناسایی فعالیت‌های مشکوک و ارسال هشدار
• ارائه راهکار امنیتی به روش SaaS

l Commvault DR

برای اتوماسیون، هماهنگی و بازیابی داده‌ها باید از ابزار Commvault Disaster Recovery استفاده کنید. این ابزار امنیتی مقیاس پذیر است و از بازیابی اطلاعات در سرورها، هایپروایزرها و ابرها پشتیبانی می‌کند.

ویژگی‌های l Commvault DR

1. پیکربندی انعطاف‌پذیر برای SLA‌های مختلف و فرآیندهای خودکار
2. توانایی پشتیبانی از بازیابی سریع، «cloud burst» و بارهای کاری
3. ادغام با آرایه‌های ذخیره‌سازی snapshots

 

l Sophos Firewall

فایروال Sophos ویژگی‌های فایروال و UTM را برای امنیت شبکه ترکیب و ارائه می‌دهد. این ویژگی باعث می‌شود تا کاربران پرخطر، برنامه‌های ناخواسته، بارهای مشکوک و تهدیدهای مداوم به سرعت شناسایی شود.

ویژگی‌های فایروال Sophos

• مجهز به ضد اسپم ایمیل، رمزگذاری و DLP به همراه فایروال برنامه وب
• قابلیت ترکیب با فناوری‌های VPN
• قابلیت مشاهده فعالیت‌های مخاطره آمیز، ترافیک مشکوک و تهدیدات پیشرفته
• جلوگیری از نفوذ برای حفظ امنیت شبکه‌ها
• شناسایی و جداسازی خطرات به‌ طور اتوماتیک

 

l FujiFilm

ابزار امنیتی FujiFilm Object Archive بر اساس بهترین روش‌ها برای بایگانی داده‌ها و  کپی خارج از سایت طراحی شده است. همچنین این نرم‌افزار امنیت داده‌ها را با راه‌حل نواری برای محافظت در برابر باج افزار‌ها ارائه می‌دهد.

ویژگی‌های FujiFilm Object Archive

1. پشتیبانی از نوارهای LTO و IBM Enterprise
2. مناسب برای مقادیر زیاد آرشیو و داده‌ها
3. ارائه عملکردی شبیه به Amazon Glacier

l Data Masque

تمرکز اصلی ابزار امنیتی DataMasque محافظت از داده‌های حساس است. این ابزار امنیتی سرور از تکنیک‌های پوششی استفاده می‌کند که باعث می‌شود داده‌های حساس توسط سرور، اشتراک‌گذاری و موارد دیگر محافظت شود و از هرگونه خطر جلوگیری شود. برنامه Marketplace برای بستر داده Cohesity در دسترس است.

ویژگی‌های ابزار امنیتی DataMasque

• حفاظت از نقض داده‌ها و انطباق با حریم خصوصی داده‌ها
• برگشت ناپذیری‌هایی مانند کلید مخفی خاص و رمزگذاری را در حین انتقال کنترل می‌کند.
• پشتیبانی از لینوکس Red Hat Enterprise
• ابر آگنوستیک Cloud agnostic
• فراهم کردن نصب مبتنی بر کانتینر

 

l Splunk

 ابزار امنیتی Splunk مبتنی بر هوش مصنوعی است که می‌تواند داده‌ها را تجزیه و تحلیل، ذخیره و بازیابی کند. همچنین هرگونه مشکل که بر سیستم تاثیر می‌گذارد را شناسایی می‌کند.

ویژگی‌های l Splunk

1. مشاهده کلیه خطاها در هر سرویس داده
2. فراهم کردن ویژگی‌های نظارتی، امنیتی Plumbr، Rigor، Flowmill و …
3. ارائه قابلیت AIOps و اتوماسیون

مطالعه بیشتر: راهکارهای امنیتی تکنولوژی Silicon root of trust

l VMware vSphere

VMware دارای مجموعه وسیعی از ابزارهای امنیتی برای سرور مجازی است. این ابزار امنیتی شامل مجموعه‌ای از محاسبات، مجازی‌سازی سرور، ذخیره‌سازی، ابزار فضای ابری و ابزارهای شبکه است که همه‌ی آن‌ها شامل افزونه‌های امنیتی نیز می‌شود.

ویژگی‌های VMware

• مدرن سازی بارهای کاری در حال اجرا به دلیل قابلیت معماری مجدد با Kubernetes بومی
• اجرا برنامه‌های کانتینری در کنار برنامه‌های سازمانی
• همسوسازی زیرساخت‌های DevOps، SecDevOps و IT
• VM‌های طراحی شده برای SAP HANA و پایگاه‌های بزرگ داده
• فراهم کردن زیرساخت AI/ML  با استفاده از GPU ها برای ساده‌سازی ارتقای نرم‌افزار، وصله و به‌روزرسانی سیستم‌عامل

 

l Secureworks

Secureworks بر روی پلتفرم تجزیه و تحلیل امنیتی Taegis ساخته شده و با استفاده از تکنیک‌های علم داده در شناسایی دشمنان عمل می‌کند. این ابزار امنیتی در زمینه‌ی تجزیه و تحلیل تهدیدهای رفتاری با ترکیبی از یادگیری ماشینی و هوش مصنوعی هرگونه تهدید از سمت کاربر، دستگاه‌ها و … را شناسایی و زیرساخت‌های ضعیف را تقویت می‌کند.

ویژگی‌های Secureworks

• مجهز به تشخیص داخلی
• مجهز به اقدامات کنترل خودکار در سراسر نقطه پایانی، سرور، شبکه و محیط‌های ابری
• بهبود امنیت با ترکیب هوش انسان و ماشین
• ارزیابی وضعیت امنیتی
• ارائه راه‌حل بومی ابری برای امنیت زیرساخت‌ها

l Acronis Disk Director

Acronis Disk Director بخشی از Acronis True Image 2021 است. این ابزار یک تصویر کامل از سرور در یک نقطه از زمان را ارائه می‌دهد. همچنین این ابزار امنیتی قابلیت ایجاد پارتیشن‌های هارد‌دیسک و تغییر اندازه، جابه‌جایی یا ادغام آن‌ها بدون خطر از دست دادن داده‌ها را فراهم می‌سازد.

ویژگی‌های Acronis Disk Director

متمایز کننده های کلیدی

1. ارائه راه‌حل‌های پشتیبان‌گیری از داده‌ها
2. پشتیبانی از ویندوز و macOS
3. در صورت عدم نیاز به انتقال برخی از داده‌ها، حذف‌ها، شبیه‌سازی
4. قابلیت شبیه‌سازی دیسک‌ها و پارتیشن‌ها
5. تغییر اندازه دستی پارتیشن‌ها براساس دیسک‌های مقصد

چک لیست امنیت سرور

داشتن یک چک لیست امنیتی کلی می‌تواند نقطه‌ی شروعی برای سازمان‌ها در راستای بهبود امنیت سرور و محیط باشد. از آن‌جایی که فناوری همیشه در حال پیشرفت است، حفظ و ارتقای منظم سیستم‌های امنیتی از اهمیت بالایی برخوردار است.

چک لیست مدیریت دسترسی به سرور

1. هرگز امنیت فیزیکی سرور‌ها را فراموش نکنید.
2. فقط به پرسنل مورد اعتماد اجازه ورود به اتاق سرور یا سایت را بدهید.
3. کارکنان را در زمینه‌ی امنیت سرور آموزش دهید.
4. دسترسی به سرورها را مدیریت کنید.
5. دسترسی برنامه‌ها و فایل‌های سیستمی مهم را محدود کنید.
6. دسترسی ادمین را محدود کنید.
7. عضویت کاربران یا گروه‌ها را محدود سازید.
8. چندین حساب مدیریت با دسترسی محدود ایجاد کنید.
9. سرورهای اختصاصی را با مسئولیت‌های کم محدود کنید.

چک لیست ورودهای خارجی

• ورود خارجی را به حداقل برسانید.
• در فضای اینترانت فعالیت کنید.
• نصب و پیکربندی فایروال را فراموش نکنید.

چک لیست دسترسی کاربران خارجی

1. برای اتصالات شبکه خارجی از  VPN و یا پروکسی معکوس استفاده کنید.
2. بیشتر دسترسی مستقیم به سرورها یا داده‌های حساس را مسدود کنید.
3. از فیلتر IP استفاده کنید.
4. از میزبان IIS استفاده کنید.
5. آدرس‌ها را محدود و یک لیست سفید از آن تهیه کنید.
6. برای کاربران خارجی احراز هویت و گواهی ورود صادر کنید.
7. اطلاعات حساس را فقط به حساب‌های مورد اعتماد محدود کنید.
8. کاربران غیرضروری سیستم‌عامل را حذف کنید.

سایر چک لیست‌های امنیت سرور

• فایروال سخت‌افزاری را فراموش نکنید.
• مرورگرها و افزونه‌ها را به روز نگه دارید.
• به‌روزرسانی سیستم‌عامل و سایر برنامه‌ها را فراموش نکنید.
• نرم‌افزارهای غیرضروری در سرور را به حداقل برسانید.
• گزارش‌های مربوط به فعالیت‌های مشکوک را به صورت دوره‌ای بررسی کنید.
• از بهترین پروتکل‌های رمزگذاری داده استفاده کنید.
• پروتکل‌های ناامن و پورت‌های باز شبکه را غیر فعال کنید.
• از برنامه‌های امنیتی مانند آنتی‌ویروس و ضد بدافزار استفاده کنید.
• ساعت سرور را همگام نگه دارید.
• از تنظیمات امنیتی توصیه شده در پایه امنیت سیستم‌عامل استفاده کنید.