Best practices für die Aufbewahrung der web-server-Daten geschützt

Können sagen, ich führe ein medizinische Einrichtung und wollen eine website, wo meine Benutzer/Patienten können lookup-Ihre privaten Aufzeichnungen. Was wäre die beste Lösung gegen die meisten-gemeinsame Angriffe?

Selbst wenn ich einen privaten server gekauft irgendwo, und verlassen sich auf Ihr monitoring-services gibt es eine gute chance, jemand findet eine Sicherheitslücke und stehlen meine Daten. Ende des mein Geschäft.

Was sind die besten Methoden für eine solche Architektur?

  • diese übermäßig Breite. niemand kann erklären, alle web-Sicherheit, um Sie in eine Antwort. es gibt mehrere Ebenen, die in einer sicheren Webseite / Datenbank / etc.
  • Ich Frage mich, warum diese nicht geschlossen wurde und überlebt hat, "zu breit" - flags.
InformationsquelleAutor fabiopedrosa | 2013-08-30
  1. 14

    Zunächst müssen Sie identifizieren die Angriffe, die Sie wollen, um zu versuchen und schützen gegen, und dann Adresse jedes von Ihnen einzeln. Da Sie erwähnen, "die meisten-gemeinsame Angriffe", wir werden dort beginnen, hier ist eine kurze Liste für einen gemeinsamen dreistufigen service (client-web-datastore):

    1. Beschädigt Eingänge (manuell oder Fuzz)
    2. SQL-Injection
    3. Cross-site-scripting-Angriffe (XSS)
    4. Raten: Brute-force, Wörterbuch, Regenbogen-Tabellen, etc.
    5. Vor Ort (Mitarbeiter) Lecks
    6. Social engineering
    7. Man-in-the-middle
    8. Cross-site-forgery-Angriffen (CSRF)
    9. Replay-Angriffe

    Einmal ein Leck oder eine Verletzung passiert, dies sind einige der Fragen, die machen es einfacher für den Angreifer, und so sollten Sie auch behandelt werden:

    • Gespeicherten Daten in plain-text
    • Schwache Passwörter/keys
    • Eine schwache Verschlüsselung oder hashes
    • Keine Salzen
    • Keine Trennung der services (z.B. durch eine Datenbank auf dem gleichen physikalischen Rechner als dem web-server)

    Jetzt betrachten wir Allgemeine Schutzmaßnahmen:

    1-3 (Eingaben, SQL-Injection, XSS) viel mit schlechten Eingaben. Also alle Eingänge von einem client werden desinfiziert, und (Angriff-fokussiert) die Prüfung muss durchgeführt werden, um sicherzustellen, der code funktioniert einwandfrei.

    4 (Raten) Automatisierte tools verwendet werden, um zu versuchen und erraten, Benutzer Passwort, oder wenn Sie den Daten, die bereits, versuchen Sie, Sie zu zwingen, die Schlüssel oder hash. Schadensbegrenzende Maßnahmen umfassen die richtige Auswahl des Algorithmus für die Verschlüsselung oder hash. Die Erhöhung der bit-Größe des Schlüssels. Für die Durchsetzung von Richtlinien auf Passwort/Schlüssel Komplexität. Mit Salze. Die Begrenzung der Anzahl der versuche pro Sekunde. etc.

    5 (Leckagen) Wenn die Daten verschlüsselt sind vor Ort, und die admins/Mitarbeiter/Hausmeister nicht die Tasten um die Daten zu entschlüsseln, dann lecken die Informationen nur von begrenztem Wert (vor allem, wenn #4 ist korrekt gehandhabt wird). Sie können auch Beschränkungen auf, wer und wie die Daten zugegriffen werden kann (die NSA gerade gelernt, eine wertvolle Lektion, die hier und erlassen Richtlinien, um sicherzustellen, dass zwei Menschen müssen anwesend sein, um Zugriff auf private Daten). Richtigen Journal und Protokollierung von Zugriffsversuchen ist auch wichtig.

    6 (Social Engineering) Angreifer werden versuchen, rufen Sie Ihre support-desk, die Identität eines Clients anzunehmen und entweder Anfrage, die Zugang zu vertraulichen Informationen haben oder die support-desk-Daten ändern (Passwort, persönliche Daten, etc). Sie werden oft miteinander verkettet mehrere support-Anrufe, bis die haben Sie alle Informationen, die benötigt werden, um die Kontrolle über ein Konto. Unterstützung geschult werden, und beschränkt in dem, was Informationen, die Sie geben werden, als auch, was Daten, die Sie Bearbeiten können.

    7 (Man-in-the-middle) Dies ist, wo ein Angreifer versuchen wird, injizieren sich in den Fluss der Kommunikation, am häufigsten durch die Verwendung von rootkits laufen auf der client-Maschinen oder gefälschten access-points (WLAN zum Beispiel). Draht - /Protokoll-basierte Verschlüsselung (z.B. SSL) offensichtlich ist die erste Ebene des Schutzes. Aber Varianten (wie z.B. man-in-the-browser) nicht entschärft werden, denn Sie werden sehen, die Daten nach dem SSL-Pakete entschlüsselt wurden. Im Allgemeinen, clients können nicht vertraut werden, da die Plattformen selbst sind unsicher. Werden die Nutzer mit dedizierten/isoliert Maschinen ist eine gute Praxis. Begrenzen Sie die Menge der Zeit, die Schlüssel und entschlüsselt die Daten werden im Speicher gespeichert, oder anderen zugänglichen stellen.

    8-9 (CSRF und Wiedergabe) Ähnlich wie man-in-the-middle, diese Angriffe versuchen zu duplizieren (z.B. "aufnehmen") werden die Anmeldeinformationen eines Benutzers, und/oder Transaktionen und wiederverwenden. Die Authentifizierung auf dem client Herkunft, die Begrenzung des Fensters, wenn die Anmeldeinformationen gültig sind, erfordern die Validierung der Transaktion (über einen separaten Kanal wie E-Mail, Telefon, SMS, etc) alle helfen, diese zu reduzieren-Attacken.

    Korrekte Verschlüsselung - /hashing - /Salzen ist wahrscheinlich die erste Sache, die Firmen versauen. Vorausgesetzt, alle anderen Verteidigung fallen (und wie Sie sagte, Sie vermutlich wird), ist dies Ihre Letzte Hoffnung. Hier investieren und sicherzustellen, dass diese ordnungsgemäß erfolgt ist. Sicherzustellen, dass die einzelnen Benutzer Datensätze sind verschlüsselt mit unterschiedlichen Schlüsseln (nicht ein master-Schlüssel). Nachdem der client die Verschlüsselung/Entschlüsselung können Sie lösen eine Menge von Fragen der Sicherheit wie der server weiß nie, den Schlüssel (also niemand klauen kann). Auf der anderen Seite, wenn der Kunde verliert den Schlüssel, dann verlieren Sie Ihre Daten als gut. Also ein trade-off vorgenommen werden müssen, die es gibt.

    Investieren Sie in die Prüfung/Angriff auf Ihre Lösung. Der Ingenieur implementiert, dass eine website/Datenbank ist oft nicht ausgestattet ist, denken Sie an all die möglichen Angriffsszenarien.

    • Wiederholen Sie den letzten Punkt über die richtige Verschlüsselung - /hashing - /Salzen: es ist sehr leicht, diese Dinge zu tun falsch. Nur weil Sie "AES" bedeutet nicht, dass Sie Daten gut verschlüsselt. Schlecht gesicherte Daten sieht genauso aus, wie gut gesicherten Daten. Wenn die Sicherheit ist entscheidend für Ihren Erfolg ist es Wert, mieten oder contracting-Menschen, die technische Sicherheit Erfahrung. josh ' s andere ausgezeichnete Punkte erfordern auch technisches know-how zu evaluieren und zu testen. Die meisten Entwickler (auch die guten) nicht über diese Kompetenz.
    • Ich sollte auch hinzufügen, dass aus einem Schlüssel (Größe, Perspektive, würde ich es nicht verwenden wollen nichts weniger, dass 2048-bit.
    • Größe Schlüssel-Empfehlungen hängen stark von den verwendeten Algorithmus. AES funktioniert nicht über einen 2048-bit-Schlüssel, so dass diese Empfehlung würde übersetzen in "nicht verwenden AES" das wäre schrecklich Beratung. Ich nehme an, du meinst "für die Verwendung in SSL mit RSA, ich würde nicht wollen, verwenden Sie etwas weniger als 2048 bit." Das wäre sinnvoll für-Daten mit Leben kürzer als ein Jahrzehnt oder zwei. Mit elliptic curve SSL, jedoch, 224 bits wäre der äquivalente Stärke. "2048" ist nicht ein Allzweck-Nummer, und viele snake oil Verkäufer verkaufen Müll-Verschlüsselung mit "1Mb Größe Schlüssel" als Sie aber, dass es ok.
    • Stimmt, ich sollte angegeben haben-Algorithmus. Die Auswahl des richtigen Verschlüsselungs-Algorithmus ist wichtiger als der Schlüssel sind die Größe, sondern die entscheidende Größe ist, was hält Sie vor die Fortschritte in der cracking-Technologie (schneier.com/blog/archives/2013/09/the_nsas_crypto_1.html)
    InformationsquelleAutor josh poley
  2. 3

    Ihre Frage ist Was sind die besten Methoden für eine solche Architektur?

    Ich mag diesen Artikel von Microsoft Security Best Practices to Protect Internet Facing Web Servers, hat der 11 Revisionen. Zugegeben, einige der es ist Microsoft-Plattform-spezifische, viele der Konzepte, die Sie anwenden können, um eine Plattform-unabhängige Lösung.

    1. Identifizieren das Netzwerk fließen, in Bezug auf die Anforderungen: wenn Sie wissen, die regelmäßig Netzwerk-flow-der server soll für das empfangen und senden, dann können Sie und prüfen (Inhalte/Anforderungen-Kontrolle), während die anderen traffic/flow würde verweigert werden standardmäßig (durch die Firewall). Dies ist ein Netzwerk isolation Messen, das verringert das Risiko einer malware-Verbreitung (oder eines erfolgreichen Angriffs immer tiefer in die Produktion-Netzwerk)
    2. Stellen Sie sicher, dass Ihre DMZ hat keine Möglichkeit, direkt den Zugriff auf Ihr LAN mit "Quelle zu" oder "Quelle für viele"-wie Regel (firewall - /Router-Regeln überprüft werden).
    3. Stellen Sie sicher, es gibt keine Möglichkeit, direkt Ihre Anfrage web-server, unter Umgehung der Sicherheit zu filtrierenden Schichten. Es sollte mindestens ein 3-Schichten-filter für web-server:
      1. Protokolle und Quellen acccepted: firewall (und Router).
      2. Dynamische Kontrolle des Netzwerk-Datenverkehrs: NIPS (Network Intrusion Protection System), der wird erkennen/blockieren bösartige Anfragen im Netzwerk. Möchten Sie vielleicht einen Blick auf die MAPP finden Sie einen Microsoft-partner (www.microsoft.com/security/mapp/Dieser link ist extern zu TechNet Wiki. Es wird in einem neuen Fenster geöffnet. ). Bitte beachten Sie auch, dass NIDS wird nur das Ziel zu erkennen, nicht zu blockieren, den schädlichen Datenverkehr (im Gegensatz zu NRP), aber in der anderen hand, die Sie schaffen keine denial-of-service-Risiko für Unternehmen fließt.
      3. Anwendungsorientierte Sicherheit: WAF (Web Application Firewall), direkt neben der web-app/Website, die es ermöglichen werden, verhärten sich die Anfragen-Steuerelement, und ziehen Sie die filter entsprechend der Besonderheiten der web-Anwendung. ModSecurity für IIS7 (siehe: http://www.modsecurity.org/ Dieser link befindet sich außerhalb von TechNet Wiki. Es wird in einem neuen Fenster geöffnet. ) ist ein Beispiel für ein Werkzeug, das verwendet werden kann für robuste audit-Protokollierung von HTTP(S) Transaktionen und virtuelle patching von Sicherheitslücken. Zusammen mit der gebündelten OWASP ModSecurity Core Rule Set (CRS), es bietet wesentlichen Schutz gegen Angriffe auf der Anwendungsschicht und Ausfließen der Informationen.
    4. Stellen Sie sicher, dass die Kunden können nicht direkt in senden Anfragen an Ihre server (aus TCP-Sicht), dass man die Angriffen sonst. So gewährleisten Netzwerk isolation, DMZ-minded, durch die Bereitstellung einer reverse proxy als front-end - der web-server. Dies wird es ermöglichen, leichter zu verwalten, die Netzwerk-flow, können rechtmäßig an den server gesendet werden (einschließlich anderer Anforderungen wie load balancing). Forefront UAG könnte ein Beispiel für eine solche Lösung, oder einer anderen von der MAPP-Programm. Beachten Sie, dass einige reverse-Proxys können bieten erweiterte Sicherheitsfunktionen.
    5. Beachten Sie die Sicherheitsempfehlungen für ASP.Net code zum Schutz gegen code-injection: http://msdn.microsoft.com/en-us/magazine/hh580736.aspx Dieser link befindet sich außerhalb von TechNet Wiki. Es wird in einem neuen Fenster geöffnet. und SQL-injection: http://msdn.microsoft.com/en-us/library/ms161953(SQL.105).aspx Dieser link befindet sich außerhalb von TechNet Wiki. Es wird in einem neuen Fenster geöffnet. . Mehr aus einer globalen Sicht, entnehmen Sie bitte SDL: http://msdn.microsoft.com/en-us/security/aa570401.aspx Dieser link befindet sich außerhalb von TechNet Wiki. Es wird in einem neuen Fenster geöffnet. . Prüfung der gehosteten code auf einer regelmäßigen basis.
    6. Verhärten cyphered Netzwerk Kommunikation so viel wie möglich, unter Berücksichtigung der verfügbaren Implementierungen von SSL/TLS auf den Windows-Systemen ausgeführt werden: http://blogs.msdn.com/b/benjaminperkins/archive/2011/10/07/secure-channel-compatibility-support-with-ssl-and-tls.aspx Dieser link befindet sich außerhalb von TechNet Wiki. Es wird in einem neuen Fenster geöffnet. . Standardmäßig werden unsere Empfehlung ist TLS 1.1/1.2. Bitte denken Sie daran, dies muss aktiviert sein, auf client und server-Seite.
    7. Stellen Sie sicher, dass die Maschinen in der DMZ sind nicht Teil der regulären Produktion domain. AD-isolation ist bei Wald-Schicht, deshalb ist es dringend empfohlen, nicht zu haben, die Produktion von AD in der DMZ. Bitte verwenden Sie entweder einen anderen Wald, oder bereitstellen von AD Lightweight Directory Services.
    8. Implementieren, white - /blacklisting von Anwendungen, durch AppLocker zum Beispiel: http://technet.microsoft.com/en-us/library/ee791890(v=ws.10).aspx Dieser link befindet sich außerhalb von TechNet Wiki. Es wird in einem neuen Fenster geöffnet.
    9. Stellen Sie sicher, Sie haben alle relevanten (und muss?) Rückverfolgbarkeit-Kette: diese Bedeutung mögliche Korrelation zwischen firewall, reverse-proxy und web-server-Protokolle. Bitte achtet darauf, nicht nur aktivieren Sie "Fehler" Protokollierung, beispielsweise in der IIS-Protokolle. Letzten, bitte erwägen Sie die Archivierung der Protokolle.
    10. Erstellen Sie ein back-up der web-server Daten, auf einer regelmäßigen basis.
    11. Erstellen Sie images von Systemen, in einem integer-Staat, in regelmäßigen Abständen (zumindest zum Zeitpunkt der Bereitstellung). Dies kann nützlich sein, im Falle eines security incident, beide zurück zu Produktions-Modus so schnell wie möglich, und auch zu untersuchen.
    12. Prüfung Ihrer Ausrüstungen: firewall-Regeln, NIPS Regeln, die WAF-Regeln, reverse-proxy-Einstellungen, die auf einer regulären basis.
    13. Beachten Sie die Sicherheitsempfehlungen für application-layer-Produkte, Datenbank-layer, und web-server-Ebene.

    Referenz: http://social.technet.microsoft.com/wiki/contents/articles/13974.security-best-practices-to-protect-internet-facing-web-servers.aspx

    InformationsquelleAutor Rots
  3. 2

    Während josh poley's und Bala Subramanyam's sind gute Antworten, ich möchte hinzufügen, dass, , wenn der zentrale Wert Ihres Unternehmens, ist die Sicherheit sollten Sie:

    • Mieten die besten security-Hacker da draußen, bezahlen Sie sehr gut und machen Sie Sie stolz in der Arbeit für Ihr Unternehmen
    • Mieten die besten Programmierer aus, bezahlen Sie sehr gut und machen Sie Sie stolz in der Arbeit für Ihr Unternehmen
    • Hosten Sie Ihre Server in Ihrem eigenen Gebäude, möglicherweise in verschiedenen Längen

    Hacker und Entwickler wird Ihr wichtigstes gut, und Sie sollten wissen, dass. In der Tat können wir eine Liste der gemeinsamen Sicherheits-Praktiken, die hier, aber die Anwendung unserer Vorschläge, die Sie nicht machen Sie Ihr system wirklich sicher ist, einfach nur witzig zu hacken.

    Wenn Sicherheitsfragen, große Talente, Leidenschaft und Kompetenz sind Ihr einziger Schutz.

    InformationsquelleAutor Giacomo Tesio
  4. 0

    Dies ist, was ich denke:

    Alle Datensätze Speicher in meinem computer zu Hause (offline) verschlüsselt, mit meinem persönlichen Schlüssel. In diesen computer gibt es die Patientenakten und einem privaten und einem öffentlichen Schlüssel für jeden Benutzer. Diese computer-uploads, neue Daten, so wie Sie ist, encrypter auf den webserver.

    Den webserver enthält nur verschlüsselte Daten.

    Ich liefere die öffentlichen Schlüssel der Benutzer. Sei es per E-Mail geschickt, von irgendwo sonst, oder auch per snail-mail.

    Webserver entschlüsselt die Daten bei jedem request. Weil die Nutzer Passwort ist der öffentliche Schlüssel, Beschreibung auf den server kann nur geschehen, solange es eine aktive Sitzung.

    Weil es asymmetrische Schlüssel im Spiel, ich kann sogar neue verschlüsselte Daten auf dem webserver (user input) und später Holen Sie es an meinem offline-Rechner.

    Nachteil: Anfordern eines neuen Passwortes erfordert die offline-computer zum hochladen von re-verschlüsselten Daten, und senden Sie ein neues Passwort irgendwie.

    Kopf: Macht der webserver-Sicherheit betrifft weniger relevant.

    Ist das die beste Lösung?

    • Wie kann ein computer zu Hause offline, aber immer noch das hochladen neuer Daten auf einen webserver?
    • Offline wie in nicht die Annahme von verbindungen, die nicht dem servieren alle service-anfällig für Angriffe. Nur die Begehung neuer Daten verschlüsselt über einen Rückkanal.
    • Das kann nicht funktionieren, da verschlüsselter Daten können nicht entschlüsselt werden unter Verwendung eines öffentlichen Schlüssels. Wenn Sie es wäre, die Verschlüsselung würde keinen Sinn machen. Vielleicht haben Sie gemeint, dass Sie die Versorgung der Benutzer mit seinem privaten Schlüssel? In diesem Fall sollten Sie lassen Sie die Benutzer entschlüsseln der Daten auf dem eigenen pc statt dem server.
    • wenn der computer hat keinen Zugang zu dem internet-ist online. Löcher, die in anderen Programmen präsentieren können Sicherheitsrisiken.
    InformationsquelleAutor fabiopedrosa
  5. 0

    Ok werde ich versuchen nur zu bauen ein wenig auf, was Sie bereits vorgeschlagen. Erstens möchten Sie vielleicht, um die Forschung der Technologien, die hinter mega website, es nutzt das vermutlich genau das, was Sie interessiert. On-the-fly JS-basierende Verschlüsselung jedoch noch einige Schwächen. Dass gesagt wird es nicht leicht sein würde, zu implementieren on-the-fly Entschlüsselung der Datensätze, die mit js und html, nicht unmöglich, obwohl. Also ja, ich würde sagen, Sie sind in der Regel das denken in die richtige Richtung.

    Egal, Sie hätte zu betrachten, der alle gängigen Angriffstechniken und Gegenmaßnahmen (website-Angriffen, server-Attacken, etc.), aber dieses Thema ist viel zu breit abgedeckt werden, voll und ganz in einer einzigen Antwort. Und unnötig zu sagen, die sind schon sehr gut abgedeckt, in anderen Antworten.

    Als für die 'Architektur', wenn Sie wirklich paranoid ist, könnte man auch die Datenbank auf einem separaten server läuft die Datenbank auf einer obskuren port und erlaubt nur eingehende verbindungen vom webserver aus.

    InformationsquelleAutor cyber-guard
Schreibe einen Kommentar