ITインフラストラクチャを保護する方法：7つの基本的なヒント

データ漏えいに関する情報がニュースに次第に登場し、大企業はセキュリティの強化に膨大な量を費やしています。 IDCのコンサルティング組織が指摘しているように、2020年までに、ITセキュリティへの世界的な支出は1,000億ドルを超えます。

ただし、安全なITインフラストラクチャを構築するために多額の費用をかける必要はありません 。 たとえば、Linuxシステムには保護メカニズムが組み込まれており、適切に構成されていれば、OSおよびネットワークに対する最も一般的なタイプの攻撃を反映できます。

この記事では、ITインフラストラクチャをハッキングして情報を危険にさらす可能性を減らすいくつかの基本的なヒントを見ていきます。 投稿の例はLinuxベースのシステム用に提供されていますが、説明されているプラ​​クティスの一部は他のOSにも適用できます。


/ Flickr / cezary borysiuk / PD

1.最新のセキュリティ更新プログラムをインストールします

この点は非常に明白であり、アプリケーションの定期的な更新の重要性は以前に書かれていますが、残念ながら、それはまだ関連性を失わない。 OpenSSL- Heartbleed （CVE-2014-0160）の脆弱性状況をご覧ください。

攻撃者がサーバーの秘密鍵を抽出し、それを使用して送信されたトラフィックを復号化できるようにします。 2014年にエラー情報が公開された時点で、脆弱なサイトの数は合計50万でしたが、同時にGoogleの開発者BodoMöllerとAdam Langleyは脆弱性を修正するパッチを準備しました 。 ただし、全員がアップデートをインストールしたわけではなく、Shodanによると 、Heartbleedは20万近くのWebサイトの影響を受けています。

システムを最新の状態に保つために、OSの自動更新セキュリティを設定することをお勧めします。 ほとんどのベンダーは、パッチを自動的にインストールするツールを提供しています。 たとえば、Debianには無人アップグレードユーティリティがあり、Red Hat ベースのシステムにはAutoUpdatesがあります。 Yum-cronはCentOSで、 dnf-automaticはFedoraで利用できます。

パッケージマネージャーを使用してアップグレードすることもできます。 たとえば、 Debianの場合 ：

apt-get update && apt-get upgrade 

パッチの自動インストールには欠点があります。たとえば、更新によりシステムがクラッシュする場合があります。 したがって、運用環境に更新プログラムをインストールする前に、サンドボックス内のソフトウェアの予備テストを実施する価値があります。

サービスパックの開発者は、ソフトウェア製品がシステムに潜在的に危険な変更を加えないようにしますが、アプリケーションとサービスの可能な組み合わせをすべてテストすることはできません。 たとえば、最近リリースされたWindows 10用のパッチKB4041676は、一部のユーザーのコンピューターを無限の再起動サイクルに送り、「死のブルースクリーン」を生成しました。

同時に、アップグレード後のシステムの一部は、関連するすべてのプロセスが再起動されるまで、依然としてエクスプロイトに対して脆弱です。 たとえば、2014年にOpenSSLは、攻撃者がDDoS攻撃を行うことを可能にするいくつかの脆弱性を発見しました 。 Debianバージョン1.0.1e-2 + deb7u10では閉じられていましたが、それらを有効にするには、OpenSSLに関連するすべてのアプリケーションを再起動する必要がありました。 再起動が必要なプログラムを検索するために、コミュニティはcheckrestartおよびneeds- restarting ユーティリティを 開発し ました 。

2.セキュリティ拡張機能を有効にします

現代のシステムでは、さまざまなユーザーが所有する多数のデーモンとプログラムが回転しています。 ボランタリーと呼ばれる従来のUnixモデル（DAC-任意アクセス制御）は、アクセス権を割り当てるときに、ユーザー、ユーザーグループ、およびアプリケーション管理プロセスを複雑にする他の3つのパラメーターで動作します。

セキュリティポリシーを設定するためのより多くのオプションを管理者に提供するために、MAC（必須アクセス制御）モデル、つまり強制アクセス制御に基づいてセキュリティ拡張機能が開発されました。 これらは従来のモデルを補完し、すべてのプロセスのセキュリティポリシーを確立する機会を提供します。 たとえば、指定されたポートでリッスンするようにWebサーバーを「注文」するか、指定されたディレクトリからのみファイルを読み取れるようにします。

セキュリティアプリケーションの中では、 SELinux、AppArmor、GrSecurity（他にもあります ）を区別できます。それぞれに長所と短所があります。 次に、SELinuxの機能を簡単に検証します。これは最も安全で（このアプリケーションは政府システムで使用するために作成された）、nixCraft Vivek Giteのシステム管理者および作成者として、最も強力なアクセス制御メカニズムを備えています。

3つの動作モードがあります。 強制は、確立されたセキュリティポリシーに違反するアクションをブロックするデフォルトモードです。 2番目のモード（許可）は、ログ内のすべての違反をキャプチャしますが、それらをブロックしません。 3番目の状態-無効-は、システムが無効であることを意味します。

次のコマンドを記述すると、設定されているモードを確認できます。

 $ /usr/sbin/getenforce 

SELinuxを有効にするには、次のように入力します （Fedoraの場合）：

 rpm -qa | grep selinux rpm -q policycoreutils rpm -qa | grep setroubleshoot #    

このユーティリティは、いくつかのアクセス制御モデルを提供します。

1. Type Enforcement （TE）：プライマリアクセス制御メカニズム。 柔軟ですが時間がかかります。 すべてのオブジェクトとサブジェクトには識別子が付いており、これらを使用してルールとポリシーを割り当てることができます。
2. 役割ベースのアクセス制御 （RBAC）：システムには、1つ以上のドメインタイプに関連付けられた役割が割り当てられます。 それらのチャートはここで見つけることができます 。
3. マルチレベルセキュリティ （MLS）：すべてのシステムオブジェクトは特定のレベルのアクセスを受け取り、その機能を制限します。 そのレベルでは、サービスは情報の読み取りと書き込みを行うことができ、上のレベルでは書き込みのみ、下のレベルでは読み取りのみが可能です。 セキュリティレベルの図がここにあります 。

SELinuxがインフラストラクチャを保護する状況の例として、構成エラーが発生する場合があります。 DNSサーバーは、サーバー間でデータを複製するときに、ゾーン転送と呼ばれるものを実行することがよくあります。 攻撃者はこの手順を使用して、誤った情報をサーバーにブロードキャストできます。 FedoraでBINDを使用する場合、管理者が情報の交換を許可するサーバーの範囲を制限し忘れても、SELinuxポリシーはレプリケーション中のゾーンファイルの変更を防ぎます。

SELinuxでは、プロセスが他のプロセスで使用されるファイルにアクセスするのをブロックすることもできます。 たとえば、攻撃者はSambaサーバーを危険にさらすことはできず、それを介して他のシステム（MySQLデータベースなど）のファイルを変更します。

SELinuxが保護するその他のユーザーケースは、 ここから入手できます 。 Debian で SELinuxをセットアップするための詳細なガイドと、Fedoraのガイドがここにあります 。

3.アクセス権を設定し、パスワードポリシーを設定する

この点も非常に明白ですが、重要ではなくなりません。 2015年に2000人のオフィスワーカーを対象にインターメディアが実施した調査によると、回答者の93％が少なくとも1度は情報セキュリティ要件を無視したことを認めました。 同時に、IT業界の従業員の67％が、さまざまなアカウントのユーザー名とパスワードを同僚と共有していると答えています。

脆弱で一般的なパスワードは、会社のインフラストラクチャの「感染」の可能性を高め、不適切に設定されたアクセス権は組織のシステムの抜け穴を開きます。 したがって、サーバーに管理者（ルート）として接続することはお勧めしません 。 新しいユーザーを作成し、権限を制限してこのアカウントを操作し、sudoを使用して管理することをお勧めします。

Stack Exchangeの居住者が指摘しているように、このアプローチは攻撃者の生活を困難にします。 ハッカーは、SSH（ssh root @ $ IP）を介して接続要求を送信するボットを使用し、標準の組み合わせ（「root」または「password123」が最も一般的です）またはブルートフォースを使用してパスワードを選択できます。 ルートアクセスを取得できた場合、システム全体で「無制限の電力」を取得します。

しかし、rootがSSH経由で接続できない場合、ボットは最初にユーザー名を推測する必要があり、ハッキング手順が難しくなります。

DebianおよびUbuntuで新しいユーザーを作成するには、コンソールで次のコマンドを入力します。

 adduser administrator 

管理者フィールドは任意に変更できます。 次に、パスワードが登録されます。 パスワードデポでは 、8〜10文字の長さで、異なるレジスタ、数字、特殊文字を使用したパスワードを作成することをお勧めします。 Coding Horrorブログの著者であり、Stack OverflowおよびStack Exchangeプラットフォームの共同設立者であるジェフアトウッドは、10文字以上のパスワードを使用すると、 最も人気のあるリストに表示される可能性が80％ 減少することに注目しています。

はい、複雑で長いパスワードを作成する必要があることはよく知られていますが、実際には、誰もがこの規則に従うわけではありません。 SplashDataチームは、2016年に「統合」された企業従業員のアカウントから500万を超えるパスワードを分析しました 。 研究者は、ほとんどのパスワードは完全に安全ではないと結論付けました。 パスワード「123456」が最も一般的になり、「テスト」セット全体の4％のアカウントで使用されました。 ほぼ同じ割合で入力されたパスワード「password」。

また、北部の他のユーザーの承認のためにデータを処理する価値があります。 脆弱なパスワードは、 John the ripperユーティリティを使用して検出できます。 システムに「パスワードのない」ユーザーがいないことを確認するには、このコマンドが役立ちます。

 awk -F: '($2 == "") {print}' /etc/shadow 

パスワードの作成を必須手順にし、パスワードの有効期限を設定するには、pam_cracklib.soファイルの設定を変更します。

 chage -M 60 -m 7 -W 7 UserName 

pam_unix.soの古いパスワードの再利用を防ぎ、ログイン試行回数に制限を設定します。

複数のアプリケーションがあり、それぞれがさまざまな重要な情報にアクセスできる場合、別々のアカウントからそれらを起動して、あるアプリケーションから別のアプリケーションのデータへのアクセスをブロックする価値があります。

アプリケーションにメールサービスを埋め込むためのAPIを開発しているMailgunが指摘しているように、このアプローチの目標は、ハッカーがまだシステムに侵入できる場合にハッカーの「オプション」の数を減らすことです。 アプリケーションのアクションのリストが必要最小限に制限されている場合、攻撃者は、たとえばアクセス権を上げて重大な損害を与えることができません。

適切なユーザーのすぐ下で開始されるように、サービスを「デモ」します。 これを行うには2つの方法があります。 1つ目は、OSスクリプト（ initまたはsystemd ）を使用してアプリケーションを起動/停止し、監視ツール（ monit ）を使用してクラッシュした場合に再起動することです。 2番目のアプローチは、アプリケーションを独自に管理するプロセス制御システム（ Supervisord 、 s6 、 daemontools ）を使用することです。


/ Flickr / reynermedia / CC

4.ファイアウォールのルールと例外を構成する

最近、 systemdマネージャーに脆弱性（ CVE-2017-15908 ）が発見され、DDoS攻撃が可能になりました。 脆弱なシステムがハッカーによって制御されているDNSサーバーにDNSクエリを送信すると、systemdが無限ループに入り、100％のCPU負荷を引き起こす特別なクエリを返しました。

このタイプの攻撃から保護する1つの方法は、ファイアウォールを構成することです。具体的には、この場合、ファイアウォールはRFC 4034のセクション4で説明されているリソースレコードを含む潜在的に悪意のあるパケットをブロックするように指示されます 。

一般に、外部アクセス用に少数のサービスのみを開くと、「連絡先」の数が減り、その結果、システムに侵入する可能性が低くなります。

ファイアウォールルールを設定するとき、Mailgunチームは次の原則に従うことを推奨します 。

1. 新しいルールを設定する前に、既存のルールを削除します。
2. デフォルトでは、着信トラフィックを処理するには 、DROPパラメーターを設定します（確立されたルールを満たさないトラフィックはスキップされません）。 この後、外部ネットワークへのアクセスを徐々に「開く」ことができます。
3. インターネット制御メッセージプロトコル（ICMP）トラフィックを完全に制限しないでください。 ルーターとホストはこれを使用して、サービスの可用性、パケットサイズなどに関する重要な情報を送信します。StackExchangeで述べたように、ICMPは制限できますが、これらの禁止の形式は会社のインフラストラクチャによって異なります。
4. IPv6を使用していない場合、このトラフィックを制限します。

これらすべての推奨事項を実装するために、Mailgunは構成用の独自のスクリプトを作成しました 。 こちらで見つけることができます。

5. SSH経由で安全に接続する

まず、信頼できるSSHキーを生成します。 これは、ssh-keygenを使用して実行できます。

 ssh-keygen -t rsa -b 4096 -C foo@example.com 

その後、キーが侵害された場合にキーを保護するパスフレーズを入力する必要があります。 SSH接続を整理するには、まともな標準構成のOpenSSHを使用できます。 OpenSSHパラメータに関する詳細情報は、MozillaのマニュアルまたはCentOS wikiページにあります 。

私たちの側では、暗号キーのペアを使用してSSH経由でアクセスすることをお勧めします。 2番目のキーは、ブルートフォースによるハッキングを大幅に複雑にします。 前述のように、パスワードが長いほど信頼性が高くなり、SSHキーの長さは、たとえば2048ビットになります。

これを行うには、新しいキーを作成し、公開キーをサーバーにアップロードします。 ローカルコンピューターから次のように入力します。

 ssh-copy-id admin@1.1.1.1 

adminをキーの所有者の名前に、1.1.1.1をサーバーのIPアドレスに置き換えます。 接続を確認するには、再接続する必要があります。

パスワードを入力するためのSSH接続を完全に無効にして、全員がキーを使用できるようにすることもできます。 次に、/ etc / ssh / sshd_configファイルのPasswordAuthentificationパラメーターの値をnoとマークする必要があります。

Ubuntu（またはDebian）では、次のようになります。

 nano /etc/ssh/sshd_config ... PasswordAuthentication no 

追加の接続セキュリティは2FA（ 二要素認証 ）を使用して実現できることに注意してください。

6.暗号化を使用する

侵入者からインフラストラクチャを保護するには、暗号化を使用する必要があります。 個人情報および資格情報を暗号化せずに保存しないでください。 パスワードがGitHubのプライベートリポジトリにある場合でも。 そのため、GitHubが侵害された場合にインフラストラクチャを保護します。これは、昨年一年で既に発生しています。 攻撃者は、他のサービスをハッキングした結果としてコンパイルされたパスワードと電子メールアドレスのリストを使用して、いくつかのユーザーアカウントを侵害し、企業情報にアクセスしました。

暗号化用のツールまたはライブラリを選択する場合、MailgunチームとStack Exchangeの居住者は、次のルールに従うことをお勧めします。

1. 最新の対称暗号を使用します。最も一般的なオプションは AESとSalsa20（NaCl）です。
2. MAC （メッセージ認証コード）を使用して、データソースの整合性と認証を制御します。 適切なオプションは、 HMAC-SHA-512またはPoly1305です。
3. キーとタイムコードを生成するための高品質なランダマイザーに注意してください。 たとえば、 / dev / urandom 。
4. ツールがパスフレーズで機能する場合は、 KDFを使用していることを確認してください。

対応するスレッドのStack Exchangeで、ユーザーは暗号化システムを作成するための多くのツール（entlibやBouncy Castleなど ）を提供します。 本当に必要な場合は、独自のユーティリティを作成できますが、 RedditとQuoraの住民は、このアプローチはハッキングのリスクを高めるだけだと言います。 Stack Exchangeで述べたように、ほとんどの場合、自家製の暗号は 、 ポリアルファベティック暗号および置換暗号を 解読するためのハッカーツールによる攻撃にほとんど耐えません。

さらに、暗号化システムの操作を開始する前に、いくつかのソースを提供しています。 1つ目はCrypto101コースで、スタートアップ向けのセキュリティトレーニング会社であるプリンシパルのディレクターであるLaurens Van Houtvenが教えています。 2番目のリソースであるmatasano暗号チャレンジには、実際の暗号に対する攻撃を示す48の演習が含まれています。 著者は、このトピックに関する本を読むよりも、暗号の原理を研究するためのより効果的な方法であると主張しています。

7.バックアップを定期的に作成して確認する

バックアップの問題は、上記のトピックの一般的なテーマから少し外れていますが、インフラストラクチャのセキュリティを確保するためにも重要です。 繰り返しになりますが、このトピックは多くの資料で「噛み砕かれています」が、大企業でさえ間違いを犯しているため、繰り返す必要があると考えています。

最近の例から、オランダのシステム管理者によるGitLabユーザーのプロジェクトのドキュメントとコードを変更する要求を伴うデータベースの一部の削除。 その後、同社は、実装された5つのバックアップストレージシステムのいずれも情報の復元に役立たなかったと指摘しました。

したがって、バックアップを作成し、ビジネスの要件を考慮して、可能な限り頻繁に準備を確認することは当然のことです。 たとえば、Webアプリケーション開発会社であるNeon Rainのエンジニアは、週に1回ファイルをバックアップし、毎晩データベースをバックアップします。 Cloud Academiesでデータベースの毎日のバックアップコピーを作成します 。 たとえば、Chalvington Groupのバックアップのチェックに関しては、回復の可能性が毎朝評価されます。

一般に、1日に1回バックアップするのが通常の方法です。 主なことは、バックアップを使用してサーバーへのアクセスを制限することです。引き続きアクセスするアカウントの場合、メインインフラストラクチャで使用されるものとは異なる承認メカニズムを使用する価値があります。

独自のバックアップインフラストラクチャを編成したくない場合は、バックアップコピーの保存を担当するサードパーティベンダーにこのタスクを転送することをお勧めします。 たとえば、1cloudでは、1日に1回バックアップし、クライアントはコピーに必要なストレージ時間（7、14、21、または28日）を選択します。

上記のツールと設定は、システムを保護するのに役立ちます。 はい、あらゆる種類の攻撃からITインフラストラクチャを100％保護することは物理的に不可能ですが、クラッカーの寿命を複雑にし、潜在的なエクスプロイトの数を制限することは可能です。 注意、注意、および注意を払えば、重要な決定を下し、保護対策を講じるのに必要な時間を得ることができます。

---

企業ブログ1cloudのトピックに関する3つの資料：

• クラウドのセキュリティについて少し：IaaSプロバイダーの仕事
• バックアップとリカバリ：ストリームおよびスマート重複排除、スナップショット、セカンダリストレージ
• クラウドデータセキュリティ：脅威と保護