برای ایمن ماندن کامپیوترها علاوه بر نصب برنامه های آنتی ویروس و فایروال و … لازم است که مقاومت سیستم را نیز در برابر انواع تهدید ها افزایش دهیم. نوین هاست در این پست قصد دارد در مورد دستورالعمل های مقاوم سازی بپردازد، با ما همراه باشید!
آموزش شیوه های مقاوم سازی سیستم یکی از مراحل معمول در معرفی یک سیستم جدید به حساب می اید. دستورالعملهای مقاوم سازی که ترکیبی از تنظیمات مختلف و گزینه های انتخابی هستند ، در حقیقت فاصله ی بین یک سیستم عامل تازه نصب شده و حداقل امنیت قابل قبول از سوی موسسه ی مربوطه را پر می کنند.
اگرچه زمانی که صحبت از مقاوم سازی می شود ، قبل از هر چیز سیستم UNIX و Windows به ذهن می آیند ، اما می توان از این دستورالعمل برای سایر محیطها همچون سیستمهای database ، اپلیکیشنها و شبکه های کامپیوتری نیز استفاده کرد. نوین هاست با ارائه ی این مطلب بر آن است که کمکی هر چند کوچک در نوشتن و تهیه ی دستورالعملهای مقاوم سازی برای سیستمهای عامل مختلف کرده باشد:
کار را با استفاده از یک پایه ی محکم و متناسب با سازمان خود آغاز کنید
بسیاری از متخصصان IT کار خود را با استفاده از نکات مهم پیکربندی ایمن که از سوی CIS منتشر شده است و قابل استفاده برای طیف وسیعی از پلت فرمها و سیستمهای عامل است ، آغاز می کنند. وقتی که لیستی از احتیاجات خود را تهیه کردید ،نکات کلیدی CIS منبع کامل و دقیقی برای انجام بهترین اقدامات در این زمینه است.
اگر کار خود را با استفاده از راهنمای CIS آغاز کنید ، راه را به اشتباه نخواهید رفت ، مگر اینکه کار را بدون در نظر گرفتن محیط کار و سازمان خود و تناسب این راهنما و اقدامات آن با موسسه ی خود آغاز کرده باشید. به عنوان مثال برخی از نکات حفاظتی مطرح شده در دستورالعمل CIS برای پیشگیری از دسترسی افراد متفرقه به بخش boot سیستم طراحی شده اند ، حال آنکه نگرانی اصلی بسیاری از سازمانها ، سرورهای موجود در شعب فرعی سازمان هستند. رعایت آن نکته ها در چنین سازمانهایی که دسترسی فیزیکی به datacenter را شدیداً کنترل کرده اند، بیشتر از آنکه مفید باشد ، سبب تأخیر در انجام کارها و کندی جریان کار می شود.
از مخالفت با کارشناسان هراس نداشته باشید
قدم اصلی بعدی در تهیه و اجرای یک دستورالعمل ارزیابی هر یک از مراحل پیشنهادی و انتخاب مراحلی است که بیشترین تناسب و سنخیت را با اصول و اقدامات امنیتی سازمان شما موجود دارند. برخی از این دستورالعملها به خودی خود می توانند باعث ایجاد ترس و نگرانی شوند ، مثلاً نکات کلیدی Windows 2008 R2 حدود ۶۰۰ صفحه و نکات کاربردی Linux Red Hat حدود ۲۰۰ صفحه است.
به هر حال ، لازم است این دستورالعملها ارزیابی شوند.
صرف اینکه نکته ای در CIS گفته شده است به این معنی نیست که برای تمام سازمانها و سیستمها مناسبترین اقدام است.
امنیت یک سیستم نوعی انتخاب بین سیاه و سفید یا صفر و یک نیست ، پیکربندی امنیتی هر سیستمی بر اساس ارزیابی خطرات و اولویتهای همان سیستم طراحی می شود. بسیاری از سازمانها در مورد مواردی همچون قوانین استفاده از رمز عبور ، تصمیم گیری در مورد انتخاب استفاده از Linux ایمن و یا استفاده از فایروالهای متناسب با هاست مربوطه و یا چگونگی پشتیبانی از پروتکلهای قدیمی ویندوز ، راههای مختلفی را انتخاب می کنند. به عنوان مثال ، ممکن است غیرفعال کردن یک کلید رجیستری سبب توقف یک اپلیکیشن ۱۵ساله شود ، بنابراین ، اندیشیدن به خطرات مربوط به این کلید رجیستری و همچنین هزینه های به روزرسانی این اپلیکیشن نیز باید به عنوان بخشی از ارزیابی در نظر گرفته شوند.
در برخی موارد به سادگی در نکات کلیدی CIS به اصول اساسی استراتژی مقاوم سازی یک موسسه توجهی نشده است و این اصول نادیده گرفته شده اند. مثلاً ، با اینکه یکپارچگی هاست یکی از بخشهای اصلی پیکربندی است ، با این حال در CIS توجهی به خدمات پیشگیری از مداخله و تشخیص شکست ها و فاصله ها نشده است. هر دوی این موارد برای هر سیستمی که ممکن است در معرض حملات ناشیانه قرار گیرد ، بسیار حیاتی هستند.
تنظیمات اختصاصی سازمان را به خدمات معمول اضافه کنید.
وقتی راهنمای مقاوم سازی سیستم تهیه شد ، لازم است نگاهی هم به قسمتهایی که بطور صریح در CIS به آنها اشاره نشده است و ممکن است در محیط اجرایی شما به آنها نیاز باشد ، داشته باشید .
اغلب سازمانها یک سیستم تأیید متمرکز ( غالباً بر پایه ی دایرکتوری فعال ) دارند که باید برای تمام محصولات Linux و سیستمهای ویندوز مورد استفاده قرار گیرد. در چنین مواردی باید الزامات پیکربندی اختصاصی و قوانین یکپارچگی و انسجام ، بخشی از دستورالعمل مقاوم سازی سیستم باشد.
سیستمهای پشتیبان گیری و دیگر ابزارهای ادامه و استمرار یک کسب و کار نیز بخشی از دستورالعمل مقاوم سازی هستند. ممکن است در قسمتی از کار این دو مورد از تنظیمات امنیتی کمی فاصله بگیرند ، اما امنیت اطلاعات سازمان و قابلیت دسترسی سیستم همواره از نگرانیهای اصلی تیمهای امنیتی هستند.
مدیریت ثبت وقایع و گزارشات نیز بخش مهم دیگری است که باید در دستورالعمل مقاوم سازی سیستم مورد توجه قرار گیرد. مسائلی همچون سرورهای متمرکز ثبت وقایع ، تجمیع حوادث امنیتی و پروسیجرهای مدیریتی موردی و سیاستهای حفظ و نگهداری گزارشات نیز از مواردی هستند که باید در دستورالعمل مقاوم سازی مورد توجه قرار گیرند.
اپلیکیشنهای مدیریت و ایمنی شخص ثالث مانند ابزارهای ضد بدافزار ، محصولات پیشگیری از تداخل هاست و کنترل کننده های یکپارچگی فایل سیستم هم نیاز به تنظیمات اختصاصی در هر سازمان دارند. وقتی سازمان شما بر روی یک ابزار شخص ثالث ( مانند موارد بالا ) سرمایه گذاری می کند باید هم به نصب و هم به پیکربندی آن توجه کنید.
به شبکه و زیرساخت های امنیتی بپیوندید
دستورالعملهای مقاوم سازی معمول ، به سیستمها به عنوان عناصر مجزا و مستقل نگاه می کنند ، حال آنکه در هنگام ساخت یک سیستم ایمن باید محیط شبکه را نیز در نظر گرفت. تنظیمات زیرساختی همچون سرور Domain Name System ، پیکربندی پروتکل مدیریت شبکه ی آسان و تقارن زمانی ، در این زمینه نقطه ی خوبی برای شروع به حساب می آیند.
سازمانهایی که از IPv6 استفاده می کنند ، باید در دستورالعملهای مقاوم سازی خود به پیکربندی مناسب IPv6 نیز اشاره کنند. ( یا در مواردی که پیکربندی نامناسب در شبکه سبب بروز خطر سیستم و اشکال در دسترسی ها در شبکه می شود ، درخواست کنند تا IPv6 غیرفعال شود.) زمانی که قرار است تنظیمات تعیین شده برای چند سیستم استفاده شود ، باید زیرساختهای امنیتی اضافی مخصوص سازمان و همچنین شبکه های خصوصی مجازی سیستم به سیستم نیز بخشی از دستورالعمل مقاوم سازی در سازمان باشند.
برنامه ای برای بررسی منظم دستورالعملها داشته باشید
دستورالعملهای مقاوم سازی حداقل هر دو سال یک بار باید مورد بررسی و بازبینی قرار گیرند. سیستمهای ویندوز و Linux مسیر طولانیی را از ‘ سیستم را طبق پیشفرض باز کنید . ‘ و ‘ سیستم را طبق پیشفرض ایمن کنید.’ طی کرده اند که این امر به این معنی است که در هر نسخه ی جدید تغییرات کمتر و کمتری نسبت به قبل نیاز دارند.
سیاستهای امنیتی و ارزیابی خطر نیز با گذشت زمان تغییر می کنند . از آنجا که دستورالعملهای مقاوم سازی برای کاهش خطر و استانداردسازی سیستمها به وجود آمده اند ، باید این تغییر در سیاستها را نیز بپذیرند.
برای کسب اطلاعات در مورد خدمات ارائه شده توسط نوین هاست ، از جمله ثبت نام دامنه ، خرید هاست ، سرور مجازی در لوکیشن های مختلف ، سرور اختصاصی ، هاست ابری و سرور مجازی ایران ، به www.novinhost.org مراجعه کنید یا با شماره ۶۶۰۱۵۸۹۱ تماس بگیرید تا با یکی از اعضای بخش فروش ما صحبت کنید. پیروز و سربلند باشید.
