HAFTUNGSAUSSCHLUSS FÜR MANAGED-OPERATIONS-KUNDEN
Um sicherzustellen, dass Rackspace bei Bedarf Zugriff auf Ihren Server hat, bitten wir Sie, die folgenden Konfigurationen nicht zu ändern, da Sie Best Practices für die Sicherheit berücksichtigen:
-
Beim Verbinden mit Ihrem Server meldet sich der Rackspace-Support als Benutzer Rack an indem Sie eine Remotedesktopverbindung mit der öffentlichen IP-Adresse über Port 3389 verwenden.
-
Das Neuerstellen vorhandener Server oder das Erstellen eines neuen Servers aus einem Snapshot erfordert, dass Administratoranmeldungen aktiviert sind und Port 445 in der Microsoft® Windows®-Firewall nicht blockiert ist.
Wenn Sie diese Werte ändern müssen, wenden Sie sich an einen Administrator bei Rackspace, um die Änderungen so vorzunehmen, dass unsere Fähigkeit, Ihnen ein FanaticalExperience bereitzustellen, nicht beeinträchtigt wird ®.
Dieser Artikel enthält einige allgemeine Best Practices für die Sicherheit, die Sie berücksichtigen sollten, wenn Sie einen Microsoft Windows-Server einrichten, der mit dem öffentlichen Internet interagiert. Obwohl diese Best Practices allgemein für jeden Server gelten, befasst sich dieser Artikel speziell mit RackspacePublic Cloud-Servern, auf denen Windows ausgeführt wird.
Lokale Firewallregeln verwenden
Standardmäßig haben Rackspace Public Cloud-Server kein Firewall-Gerät. Für Server, die ohne Firewall-Gerät mit dem öffentlichen Internet interagieren, ist die Windows-Firewall der einzige Schutz zwischen Ihren Serverressourcen und Ihren privaten Daten und jedem mit Zugriff auf eine Internetverbindung.
Deaktivieren Sie so viele Regeln auf der Firewall wie möglich. Das Deaktivieren von Regeln bedeutet, dass weniger Ports offen sind und über die öffentliche Schnittstelle lauschen, was die Gefährdung des Servers für jeden begrenzt, der versucht, darauf zuzugreifen.
Beschränken Sie für die Ports, die offen sein müssen, den Zugriff auf den Server, indem Sie IP-Adressen in diesen spezifischen Regeln auf die Whitelist setzen. Fügen Sie die IP-Adresse Ihres lokalen Heim- oder Bürocomputers zur Whitelist hinzu, auch wenn Ihr Internetdienstanbieter (ISP) dynamische öffentliche IP-Adressen bereitstellt, die sich im Laufe der Zeit ändern. Sie können die Firewall-Regeln nach Bedarf über das Cloud Control Panel ändern, indem Sie sich remote über die Konsole beim Server anmelden und eine neue IP-Adresse hinzufügen.
Indem Sie den Zugriff auf den Server über IP-Adressen-Whitelisting einschränken, können Sie sicherstellen, dass Benutzer, die Zugriff auf den Server benötigen, diesen haben, aber diejenigen, die dies nicht tun, von diesen offenen Ports blockiert werden. Die typischsten Ports, die in der Windows-Firewall für das Webhosting auf einem Cloud-Server geöffnet werden müssen, sind wie folgt:
| Port | Dienst |
|---|---|
| 80 HTTP | IIS-Sites oder Webanwendung |
| 443 HTTPS | Sichere IIS-Sites oder Webanwendungen mit SSL |
Wir empfehlen, die folgenden Ports über IP-Adressen-Whitelisting auf der öffentlichen Schnittstelle zu sperren, um Brute-Force-Angriffe oder Ausnutzungsversuche gegen häufig benannte Konten oder Dienste auf dem Server einzuschränken:
| Port | Beschreibung |
|---|---|
| 3389 | Remote Desktop Connectivity, um sich aus der Ferne beim Server anzumelden |
| 21 FTP | Für die sichere Übertragung von Daten zwischen lokalen geografischen Standorten und dem Cloud-Server |
| 990 FTPS (Windows) | Für die sichere Übertragung von Daten zwischen lokalen geografischen Standorten und dem Cloud-Server mit integriertem SSL-Zertifikat |
| 5000-5050 FTP | Passive Ports für die FTP-Kommunikation |
| 1433-SQL | Standardport für die SQL-Kommunikation |
| 53 DNS | Standardport für DNS-Anfragen |
Überlegen Sie, was Sie teilen
Überlegen Sie, welche Daten anderen per Filesharing zur Verfügung stehen. Wir empfehlen, die Windows-Dateifreigabe nicht zu aktivieren, da die in der Firewall geöffneten Ports (Ports 445 und 139) den Server unerwünschten Verbindungsversuchen aussetzen.
Einige Kunden verwenden ihre Server, um Backoffice-Software wie QuickBooks®, PeachTree, Microsoft Office® (Outlook® für Remotedesktopsitzungen) oder andere Softwarelösungen von Drittanbietern zu hosten. Manchmal möchten Kunden zugeordnete Netzlaufwerke konfigurieren, damit sie Daten einfach von ihren lokalen Computern auf ihren Cloud-Server über einen Laufwerksbuchstaben auf dem lokalen Computer verschieben können. Wir empfehlen diese Vorgehensweise jedoch nicht. Ihr Server ist nur so sicher wie das schwächste Passwort.
Seien Sie außerdem vorsichtig mit der Software, die Sie Ihren Benutzern zum Herunterladen und Installieren auf Ihrem Server gestatten. Jedes installierte Softwarepaket erhöht die Anfälligkeit Ihres Servers für Angriffe.
Passwortrichtlinie
Unabhängig davon, ob Sie einen Cloud-Server mit einer Hardware-Firewall ausgestattet haben oder nicht, ist Ihr Server, wie bereits erwähnt, nur so sicher wie das schwächste Passwort, das darauf zugreifen kann. Befolgen Sie diese Tipps für Passwörter:
-
Verwenden Sie sichere Kennwörter mit mindestens 12 bis 14 Zeichen, die Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (wie !, #, $ und %) enthalten. Die Vergabe einfacher Passwörter ist äußerst gefährlich, insbesondere für einen Cloud-Server, der über das öffentliche Internet verfügbar ist.
-
Legen Sie ein Ablaufdatum für das Passwort jedes Benutzers fest. Obwohl es unbequem ist, sich regelmäßig ein neues Passwort merken zu müssen, kann diese Vorgehensweise Ihre Daten sicherer machen.
Da unsere Post-Build-Automatisierungsprozesse vom Standardbenutzerkonto des Administrators abhängen, empfehlen wir nicht, diesen Benutzernamen auf Ihren Cloud-Servern mit Windows zu ändern.
Achten Sie darauf, wer über das Administratorkonto Zugriff auf den Server hat. Wenn mehrere Benutzer Administratorzugriff auf den Server benötigen, erstellen Sie mehrere Konten mit Administratorzugriff. Es ist einfacher, Benutzer in den Protokolldateien zu verfolgen, indem Sie nach einem bestimmten Benutzerkonto suchen, als zu versuchen, mehrere Protokolldateieinträge unter dem Administratorkonto zu entschlüsseln.
Mehrere Instanzen von Event Id 4625 im Sicherheitsprotokoll oder Event Id 1012 im SystemLog kann bedeuten, dass jemand versucht, sich in Ihren Server zu hacken, da diese Ereignisse mit fehlgeschlagenen Anmeldeversuchen zusammenhängen.
Stellen Sie für Benutzer, die sich über Remote Desktop Connection (RDC) anmelden, sicher, dass sie sich vom Server abmelden, um alle verwendeten Ressourcen freizugeben, anstatt einfach ihre RDC-Fenster zu schließen, wodurch die Sitzung auf dem Server geöffnet bleibt.
Active Directory
Wir raten in der Regel davon ab, Active Directory auf einem Cloud-Server auszuführen, da der einzige Schutz vor unbefugten Zugriffen die Windows-Firewall ist und Active Directory Probleme in eine Cloud-Server-Umgebung einführt. Active Directory wird im Allgemeinen besser in einer dedizierten Serverumgebung verwendet, in der Server hinter physischen Firewalls platziert und über VPN-Tunneling durch diese Firewall-Appliance verbunden sind.
Rackspace unterstützt ein Virtual Private Network (VPN) nur, wenn es durch eine Hardware-Firewall in einer Lösung namens RackConnect erfolgt. Es ist einfacher, dieses physische Firewall-Setup zu implementieren, bevor Sie Server erstellen, da zum Zeitpunkt der Erstellung dieses Artikels der Prozess, der die Firewall und die Server verbindet, während des Build-Prozesses automatisiert ist. Physische Firewalls werden nicht so schnell bereitgestellt wie Cloud-Server und müssen über unsere Hybrid-Teams angefordert werden. Weitere Informationen zu physischen Firewalls und RackConnect finden Sie unter https://www.rackspace.com/cloud-connectivity/rackconnect/.
Wenn Sie Active Directory auf einem Cloud-Server installieren, empfehlen wir Ihnen, zwei Domänencontroller auszuführen, falls einer ausfällt (Imaging ist derzeit für Domänencontroller nicht verfügbar). Wir empfehlen außerdem, DNS zu sperren, um DNS-Amplification-Angriffe zu verhindern.
SQL Server-Instanzen
Sperren Sie für Server mit Microsoft SQL Server® den SQL-Port 1433, um nur über die interne Schnittstelle zu lauschen, vorzugsweise nur auf Verbindungen von einer Liste bekannter IP-Adressen anderer Server, die auf SQL Server auf dem Server zugreifen müssen. Sie können zulassen, dass SQL-Port 1433 über die öffentliche Schnittstelle lauscht, aber Sie müssen diese Regel nur auf die IP-Adressen der Computer beschränken, auf denen die Entwickler eine Verbindung zu den Datenbanken auf dem Server herstellen.
Wenn Sie diese Verbindungen zum Server nicht einschränken, wird Port 1433 offengelegt und Hacker von außen werden Versuchen Sie über diesen Port einen Brute-Force-Angriff auf den Server. Diese Arten von Angriffen verursachen hohen Netzwerkverkehr, verlangsamen die Leistung des Servers und führen sogar zu Downsites, wenn ein wichtiges Konto gesperrt wird. Indem Sie den Zugriff auf diesen Port einschränken, verringern Sie diese Probleme, bevor sie auftreten.
Für Server, auf denen SQL Server Standard oder SQL Server Web Edition ausgeführt wird, empfehlen wir, Wartungspläne zu konfigurieren, um die Daten aus den Live-Datenbankdateien in Flatfiles zu speichern, die Sie vom Server sichern können, und um die Sicherungen zu bereinigen, damit sie Ihre Festplatte nicht füllen.
Windows-Updates
Stellen Sie sicher, dass Windows-Updates aktiviert sind, und achten Sie auf den Status Ihres Servers – stellen Sie sicher, dass Ihr Windows-Betriebssystem (OS) gepatcht ist. Der Patch Tuesday, der in Nordamerika am zweiten Dienstag jedes Monats stattfindet, ist der Tag, an dem Microsoft regelmäßig Sicherheitspatches veröffentlicht. Kunden müssen entscheiden, wie sie am besten eine Patching-Strategie implementieren, die ihre Server auf dem neuesten Stand hält. Standardmäßig prüfen Rackspace Cloud Server jeden Tag zwischen 2:00 und 4:00 Uhr auf Updates.
Server-Backups
Richten Sie eine Art Notfallwiederherstellungsplan ein. Eine von uns angebotene Option besteht darin, Cloudserver-Images jede Nacht zu erstellen und sie mit einer Standardaufbewahrung von sieben Tagen in Ihre Cloud Files-Container zu schreiben. Sie erstellen einen Snapshot des Servers und speichern das Image in Cloud Files, um es zum Erstellen neuer Serverinstanzen oder zum Neuerstellen des vorhandenen Servers aus diesem Image zu verwenden.
Wir bieten auch Backups auf Dateiebene über Cloud Backups an. Wir empfehlen nicht, das gesamte C: zu sichern Laufwerk, da gesperrte Live-Dateien dazu führen, dass der Sicherungsjob mit Fehlern abgeschlossen wird. Darüber hinaus sind die Windows-Systemdateien in den von uns bereitgestellten Basisabbildern oder in benutzerdefinierten Abbildern der Server enthalten, sodass Sie diese Daten nicht täglich sichern müssen. Wir empfehlen, das C :\inetpub (IIS)-Verzeichnis und alle anderen Benutzerdaten, die gesichert werden müssen. Wenn Sie außerdem SQL Server-Wartungspläne so konfiguriert haben, dass die Live-Daten für Sicherungen in Flatfiles ausgegeben werden, empfehlen wir, dass Sie auch diese Verzeichnisse in die Sicherung einbeziehen.
Überprüfen Sie Sicherungsjobs, um sicherzustellen, dass sie erfolgreich abgeschlossen werden und die Sicherungen gültig sind. Erstellen Sie eine neue Serverinstanz aus einem Image, um sicherzustellen, dass das Image gültig ist, und stellen Sie eine Datei aus Cloud-Backups wieder her, um zu überprüfen, ob die gesicherten Daten wiederhergestellt sind.
Hinweis :Nicht alle Server können von Cloud-Images profitieren. Insbesondere können Sie kein Image von Servern erstellen, die Boot from Volume verwenden Konfigurationen. Darüber hinaus kann ein Server-Image zwar nützlich sein, Images sollten jedoch niemals als einzige Sicherungsquelle betrachtet werden, da der Image-Prozess die Dateiintegrität nicht überprüft. Rackspace empfiehlt dringend Backups auf Dateiebene für Ihre wichtigsten Daten. Daher sollten Sie die beste Lösung für die Notfallwiederherstellung für Ihr Unternehmen in Betracht ziehen. Sie können die Unterschiede zwischen Server-Images und Cloud-Backup in diesem Artikel nachlesen:Rackspace-Cloud-Backup vs. Cloud-Server-Image-Backups
Code
Die letzte Angriffsfläche, die dem Internet ausgesetzt ist, ist der Code. Sie und Ihre Entwickler müssen sicherstellen, dass Ihr Code die richtige Authentifizierung und Autorisierung erzwingt. Beispielsweise sollten Sie nicht zulassen, dass eine Webanwendung mit Administratorrechten ausgeführt wird. Die Dateiautorisierung sollte sorgfältig definiert werden, und alle Eingaben in die Anwendung sollten die bestmögliche Validierung aufweisen, um zu verhindern, dass Hacker die Webanwendung ausnutzen und die Kontrolle über den Server erlangen.
Die folgenden Websites bieten Informationen zur Verbesserung der ASP.NET-Sicherheit:
- https://www.asp.net/web-forms/pluralsight
- https://www.iis.net/configreference/system.webserver/security/requestfiltering
- https://blogs.iis.net/wadeh/archive/2008/12/18/filtering-for-sql-injection-on-iis-7-and-later.aspx
Schlussfolgerung
Je nach Anwendungsfall haben Kunden möglicherweise andere spezifischere Anforderungen, die sie ansprechen müssen, wenn sie unseren Cloud-Server-Service nutzen, um ihre Hosting-Anforderungen zu erfüllen. Diese allgemeinen Empfehlungen sind jedoch ein guter Anfang, wenn Sie beim Erstellen von Windows-Servern, in der Cloud oder auf andere Weise über die Sicherheit nachdenken.