如何讓公司的伺服器基礎架構更加安全?
物理隔離, 沒有之一。
要麼花錢請高水平運維和網路安全,要麼花錢上雲唄~
細節咱就不說了,說一些方向性的東西
1、除了必要的服務埠,比如80,比如遠程的 22和 3389,關閉其他所有埠,關閉可以通過防火牆,雲端還可以通過安全組等等策略,原則上越少的入口,越少被突破的幾率
2、盡量c/s, b/s 架構,避免 資料庫直接暴露在公網。其中 s 端必須要有防sql注入的功能。減少應用體系被突破的可能
3、賬號密碼體系,伺服器遠程的密碼必須定期變更,有一定複雜度(避免暴破),盡量不使用常用埠進行遠程,比如 ssh 默認22 ,可以改成 33、44 等等。有條件的,上堡壘機,上二次身份驗證,避免從運維體系被滲透
4、機房進出限制,避免閑雜人等進機房(雲伺服器沒這個顧慮),避免通過u盤等外接設備方式感染惡意程序或者病毒
5、不定期分析訪問日誌,發現攻擊的可能,進行相應處理
可以從
網路安全
流程安全
審計安全
這幾個方面入手
建議從幾個方向入手:
- 首先是伺服器自身的防火牆設置。除了必須的業務埠外,其他IP和埠一律屏蔽掉。
- 部署入侵防禦系統。入侵防禦系統可以檢測對伺服器的攻擊,一旦檢測到攻擊數據可以進行屏蔽。
- 如果伺服器要發布到公網,要注意保護。最好是有用戶名密碼的保護,不能直接暴露在公網上。
貼兩張入侵檢測的圖片吧: