Wszystko, co chcielibyście wiedzieć o bezpiecznym hostingu, ale baliście się zapytać

Na nic zda się nielimitowany transfer, kiedy infrastruktura operatora zostanie na wiele godzin odcięta od sieci w wyniku ataku cyberprzestępców. Na nic superszybkie dyski SSD, jeśli serwer WWW ulegnie awarii. W poszukiwaniu najlepszej oferty hostingu wielu klientów zapomina o kluczowej sprawie: bezpieczeństwie. To temat rzeka.


Czym właściwie jest bezpieczny hosting? Na tak postawione pytanie znajdziemy co najmniej kilka odpowiedzi. Dobrze zabezpieczona poczta e-mail daje gwarancje, że nikt niepowołany nie uzyska dostępu do skrzynek użytkowników. Ani nie będzie rozsyłał spamu w ich imieniu.

Bezpieczeństwo to również ciągłość działania usług. Hosting ma nieprzerwanie działać nawet gdy awarii uległ jeden z serwerów serwer, dostawca prowadzi prace konserwacyjne albo któryś klient wygenerował zbyt duży ruch na stronie.

Cyberprzestępcy mają ogromną chrapkę na nasze dane, aplikacje i strony. Podmiana witryny na inną to najbardziej optymistyczny wariant. A co, jeśli w wyniku cyberataku wyciekną adresy klientów i lista złożonych zamówień?

W jaki sposób dostawcy hostingu dbają o bezpieczeństwo usług oferowanych klientom? Na przykładzie nazwa.pl pokazujemy najlepsze rozwiązania, technologie i narzędzia w czterech przenikających się obszarach: bezpieczeństwa infrastruktury, poczty, domen oraz stron WWW.

Bezpieczna infrastruktura

Bezpieczeństwo infrastruktury postrzegane jest na wielu płaszczyznach: odporności na ataki z zewnątrz, ochrony danych poprzez uwzględnienie procedur RODO, wdrożenie polityk bezpieczeństwa i certyfikacje po zapewnienie, że usługi dostarczane są w sposób ciągły, bez przerw i przestojów. Ostatnia kwestia wydaje się być nad wyraz interesująca.

Aby zapewnić ciągłość działania serwery nazwa.pl obsługiwane są w najbardziej zaawansowanych centrach danych zlokalizowanych w Krakowie, Warszawie i Amsterdamie. Nadmiarowe systemy zasilania i wentylacji, zwielokrotnione łącza do wielu operatorów oraz szereg technicznych i organizacyjnych zabezpieczeń, np. przed nieupoważnionym dostępem, zapewniają idealne warunki do działania serwerom, macierzom dyskowym i sprzętowi sieciowemu.

W nazwa.pl bezpieczeństwo infrastruktury realizowane jest na poziomie centrum danych oraz każdego serwera z osobna. Przykładem takiej realizacji jest ostatnia inwestycja dostawcy w rozwiązanie cloudhosting, które pod każdym względem przewyższa tradycyjny hosting.

W zwykłym hostingu strona WWW obsługiwana jest na pojedynczym serwerze. W cloudhostingu to samo zadanie realizowane jest przez kilkaset serwerów połączonych w klastrze. Awaria dowolnego z nich nie powoduje przestojów w dostarczaniu stron użytkowników.

Wszystko, co chcielibyście wiedzieć o bezpiecznym hostingu, ale baliście się zapytać

System monitoringu śledzi dostępność i poziom wykorzystania serwerów, podczas gdy urządzenia nazywane load balancerami dynamicznie przydzielają obsługę konkretnych stron WWW do najmniej obciążonych urządzeń w klastrze. Nie ma tutaj mowy o spowolnieniach i przestojach, gdy dowolna witryna zacznie generować większy ruch. W każdym takim przypadku zapytania przekierowywane są do innego, mniej obciążonego serwera.

Zalety chmury doskonale widać w przypadku awarii urządzeń, prowadzonych prac konserwacyjnych i rozbudowy infrastruktury. Kiedy zaczyna brakować zasobów, dostawca dołącza kolejne serwery do klastra, zwiększając w ten sposób globalną moc obliczeniową.

Bezpieczna poczta

Poczta e-mail to jedna z najważniejszych usług hostingowych. Podstawowym zabezpieczeniem poczty jest szyfrowanie transmisji danych z komputera użytkownika do serwera. Protokół TLS wraz z certyfikatem cyfrowym skutecznie chroni hasła i treść korespondencji przesyłanej przez internet.

Podstawowym zabezpieczeniem jest autoryzacja poczty wychodzącej (SMTP). Serwer przed wysłaniem wiadomości wymaga, by użytkownik podał login i hasło do konta, tym samym potwierdzając, że dany adres e-mail faktycznie do niego należy.

Dzisiaj dostawcy hostingu stosują szereg bardziej wyrafinowanych technik, które pozwalają zabezpieczyć domenę przed rozsyłaniem spamu i podszywaniem się w celu wyłudzenia danych. Rekord SPF (Sender Policy Framework) pozwala wskazać listę serwerów poczty upoważnionych do wysyłania wiadomości z danej domeny. Innym zabezpieczeniem antyphishingowym jest DKIM (DomainKeys Identified Mail). Mechanizm ten wykorzystuje założenia kryptografii asymetrycznej, w której każda wysyłana z serwera wiadomość podpisywana jest kluczem prywatnym. Druga strona weryfikuje poprawność złożonego podpisu z użyciem opublikowanego w rekordzie domeny, powiązanego klucza prywatnego, w ten sposób autoryzując lub odrzucając wiadomość pochodzącą od danego nadawcy. DMARC (Domain-based Message Authentication Reporting and Conformance) umożliwia zaś zdefiniowanie polityki postępowania, co robić z wiadomościami, które nie zostaną prawidłowo autoryzowane przez SFP i DKIM. Czy serwer ma je dostarczyć, odrzucić, a może przenieść do kwarantanny?

Wszystko, co chcielibyście wiedzieć o bezpiecznym hostingu, ale baliście się zapytać

Szacuje się, że nawet połowa wszystkich wysyłanych każdego dnia wiadomości e-mail w ujęciu całego Internetu to spam, próby phishingu oraz ataki związane z rozsyłaniem złośliwego oprogramowania. Najlepsi dostawcy stosują zaawansowane filtry antyspamowe i antywirusowe, aby odrzucić szkodliwe wiadomości zanim te dotrą do skrzynek użytkowników. W celu wykrywania spamu i zagrożeń stosowanych jest wiele technik filtrowania – sprawdzanie list RBL z serwerami zgłoszonymi jako rozsyłające spam, obsługę białych i czarnych list nadawców, po analizę tematu, treści i załączników przychodzącej korespondencji, również z wykorzystaniem mechanizmów sztucznej inteligencji. Skuteczność? Bardzo wysoka.

Bezpieczna domena

DNSSEC, TLS 1.3, DNS over TLS i DNS Anycast. Choć dla większości osób hasła te owiane są tajemnicą, kryje się za nimi bezpieczeństwo i wyższa szybkość działania sieci. Spieszymy wyjaśnić je w szczegółach.

DNSSEC to jedno z zabezpieczeń kryptograficznych domeny, które zapewnia dodatkową ochronę przed phishingiem. Mechanizm ten pozwala stwierdzić, czy wyświetlona w przeglądarce strona internetowa to prawidłowa wizytówka firmy, blog lub witryna sklepu czy też może próba oszustwa. Nazwa.pl jako pierwszy dostawca w Polsce na pełną skalę wprowadził to zabezpieczenie na wszystkich obsługiwanych przez siebie domenach. W skrócie: DNSSEC krzyżuje szyki cyberprzestępcom chcącym przekierować użytkownika na podmienioną stron. I w efekcie wyłudzić od niego dane.

Protokół TLS z certyfikatem cyfrowym zabezpiecza dane przesyłane przez internet przed podsłuchiwaniem. Poza szyfrowaniem transmisji TLS gwarantuje również integralność przesyłanych danych, a zatem potwierdza, że nie zostały one zmienione podczas przesyłania przez sieć. TLS 1.3 to najnowsza wersja tego protokołu - szybsza i odporniejsza na współczesne ataki, a przy tym obsługiwana w najnowszych wersjach przeglądarek. Klienci nazwa.pl już od dłuższego czasu mogą korzystać z jego dobrodziejstw. Z reguły zupełnie niezauważalnie.

Trzecią z technologii jest DNS over TLS. Chodzi tutaj o zabezpieczenie zapytań DNS, kierowanych przez przeglądarkę, aby zamienić nazwę strony na adres IP serwera i odwrotnie. DNS over TLS ma na celu chronić prywatność użytkownika poprzez szyfrowanie zapytań do serwera DNS. W ten sposób dostawca internetu, ani żadna inna osoba po drodze, nie dowie się jakie strony odwiedzaliśmy w internecie. Choć DNS over TLS nie jest jeszcze powszechnie stosowany przez firmy hostingowe, nazwa.pl, mając na uwadze bezpieczeństwo użytkowników, wdrożyła to zabezpieczenie na swoich serwerach DNS już dzisiaj.

Bezpieczne WWW

Kiedy klienci korzystają z tej samej współdzielonej infrastruktury obowiązkiem dostawcy jest zapewnienie każdemu z nich zasobów serwera, za które zapłacili. Parametry bezpieczeństwa określają maksymalne wartości wykorzystania procesora, pamięci RAM, dysku i sieci. Dzięki jasnym regułom oraz gwarancji zasobów w cloudhostingu strony WWW każdego klienta działają z pełną wydajnością.

Właściwa ochrona stron WWW użytkowników realizowana jest zarówno globalnie, na poziomie infrastruktury dostawcy oraz lokalnie, na poziomie pojedynczej strony. W nazwa.pl odpowiadają za to trzy komplementarne rozwiązania: zabezpieczenia Anty-DDoS, system wykrywania włamań (IPS) i firewall aplikacyjny (WAF).

Ataki na infrastrukturę to jedno z najważniejszych współczesnych zagrożeń sieciowych. Sieć maszyn zoombie (botnety) generuje ogromny, fałszywy ruch sieciowy, którego celem jest zablokowanie usług dostawcy internetowego. Aby lepiej odpierać tego typu ataki, nazwa.pl uruchomiła Scrubbing Center, czyli specjalną infrastrukturę, w której dokonuje się analizy ruchu IP w celu wykrywania potencjalnych zagrożeń – od ataków DDoS, prób włamania do serwisów internetowych, po zagrożenia związane z działaniem złośliwego oprogramowania. Wszystkie wykryte anomalie i próby ataków są automatycznie blokowane.

Dodatkową warstwę ochrony przed atakami na DNS zapewnia usługa DNS Anycast. To sieć rozproszonych geograficznie serwerów DNS, które odpowiadają za obsługę zapytań o adres strony IP. Poza dodatkową ochroną przed atakami DDoS, usługa zapewnia szybsze ładowanie stron WWW użytkowników. Wszystko dlatego, że zapytania użytkowników kierowane są do najbliższego im serwera DNS np. w Niemczech czy Stanach Zjednoczonych, a trzeba wiedzieć, że ponad 40% zapytań DNS o polskie domeny kierowanych jest właśnie spoza Polski.

Solidne zabezpieczenie przed atakami DDoS stanowi również rozbudowana sieć i łącza z innymi operatorami. Podejście to zapewnia nadmiarowość infrastruktury sieciowej koniecznej do obsługi ruchu użytkowników. Nazwa.pl posiada bezpośrednie połączenia z wszystkimi dużymi sieciami poprzez węzły wymiany ruchu operatorskiego PLIX, TPIX, THINX i EPIX oraz bezpośrednie styki z Orange i UPC.

Z kolei Web Application Firewall (WAF) to forma zapory sieciowej, której zadaniem jest ochrona zainstalowanej na serwerze aplikacji takiej jak WordPress czy Joomla. WAF blokuje potencjalnie niebezpieczne połączenia, chroniąc przed włamaniem na stronę z wykorzystaniem popularnych ataków SQL injection, command injection czy Cross-Site Scripting. Konsekwencje udanego ataku mogą być poważne - od podmiany lub usunięcia strony, przez wysyłkę spamu, po ujawnienie wrażliwych danych np. klientów i zamówień. Nazwa.pl dostarcza dedykowane moduły do ochrony WordPress, PrestaShop, Joomla i Drupala. Czy to wszystko? Skądże.

Pod koniec ubiegłego firma ta wdrożyła również nowy system wykrywania i zapobiegania włamaniom, zbudowany na bazie urządzeń Fortinet. Zabezpieczenie IPS działa pomiędzy systemem DDoS i filtrami aplikacyjnymi WAF, umożliwiając wykrywanie i blokowanie powtarzalnych wzorców ataku na grupie kilkuset tysięcy różnych serwisów WWW obsługiwanych przez tego dostawcę. I tak, o ile WAF zapewnia ochronę na poziomie konkretnej aplikacji użytkownika, tak system IPS poprzez monitorowanie dużej liczby stron wszystkich użytkowników, pozwala identyfikować wektory ataków i skutecznie blokować działania cyberprzestępców.