Česko
Rychlost.cz Webhosting Bezpečnost webhostingu a podpora

Bezpečnost webhostingu a podpora

Bezpečnost poskytovatelských serverů by u webhostingu měla být jednou ze základních priorit. Možností, jak bezpečnost v maximální míře zajistit, je poměrně hodně a pokud se vhodným způsobem tyto metody zkombinují, je zabezpečení hostovaných webových stránek zpravidla dostatečně vysoké a spolehlivé. Je třeba řešit základní fyzické zabezpečení a neopomenout ani na síťovou bezpečnost, bezpečnost software a uživatelských dat, k zabezpečení patří pochopitelně i hesla, on-line klientská sekce nebo správa služeb.

Webhosting z pohledu fyzického zabezpečení

V první řadě je nesporně důležité, aby veškeré produkční technologie (mezi než patří servery, síťové prvky a všelico další) byly provozovány v důkladně prověřených a zajištěných datacentrech, splňujících veškeré požadavky na špičkovou úroveň poskytovaných služeb. V těchto prostorách je nutné zajistit optimální podmínky pro nepřetržitý (!) provoz zařízení a zajistit dostatečně kvalitní fyzickou ochranu provozu včetně zabezpečení proti neoprávněnému vstupu či zneužití používaných technologií. Celý objekt musí být současně zajištěn i vhodným systémem ostrahy (například kombinací čidel a kamerového systému) a pochopitelně i protipožárními čidly. Samozřejmostí musí být i dostatečně výkonný záložní zdroj elektrické energie. Přístup k technologií a vybavení mohou mít pochopitelně jen proškolení zaměstnanci s odpovídající kvalifikací.

Jak je to se síťovou bezpečností?

Pro každý provozovaný server by měl být k dispozici samostatný softwarový firewall, jehož komunikační pravidla je nutné nastavit tak, aby splňovala přesně účel jeho využívání. Proti útokům v různých síťových vrstvách se osvědčuje ochrana IDS/IPS, což jsou procesy detekování ataků a monitorování počítačů i sítí. Ty hlídají nastalé události, které by mohly být náznakem pokusu o proniknutí do systému a snaží se jim předcházet. Následně tuto neobvyklou aktivitu samozřejmě i zaznamenají. Potom mohou bezpečnostní odborníci na základě těchto dat ohrožení vyhodnotit, případně podniknout potřebné kroky. Kontrolami by měl procházet i odchozí provoz, cílem těchto kontrol je v první řadě eliminace případné škodlivé nebo podezřelé komunikace.

Databáze a bezpečnost

Bezpečný přístup a ukládání dat do databází řeší samotné databázové systémy, pro přístup ke konkrétním datům je tudíž zapotřebí vždy zadat uživatelské jméno i heslo toho kterého uživatele. Databáze jsou pro webové aplikace lokálně dostupné a praktický je i vzdálený přístup pomocí šifrovaného SSH tunelu. Přístup ke všem nástrojům pro správu a službám by měl být samozřejmostí prostřednictvím šifrovaných protokolů (HTTPS, SFTP/SCP, SSH, POP3, IMAPS a dalších), stejně jako ochrana DNS technologií.

Zabezpečení softwaru a uživatelských dat

Pro bezpečnost používaného software jsou velmi důležité jeho aktualizace, které je třeba provádět průběžně podle potřeby a podle toho, jak závažné jsou změny u nových verzí softwaru. Podle jednotlivých typů služeb se řešení vnitřní bezpečnosti serverů a zabezpečení uživatelských dat liší, lze je orientačně rozdělit do několika skupin. Vždy ale platí to, že oddělený přístup k datům by měl příslušet vždy jednomu uživateli. To platí pro sdílené webhostingy stejně jako pro služby vyhrazené (tedy pro virtuální i dedikované servery). Ovšem u vyhrazených serverů může být bezpečnost ještě výrazně zvýšena tím, že server používá pouze jeden uživatel a diskové oddíly jsou tudíž plně vyhrazené pro jeho potřeby.

Zabezpečení webových serverů

Zabezpečení dat i samotných používaných aplikací na webových serverech se provádí na několika oddělených úrovních. Každý webhosting (doména) má na webserveru svůj vlastní adresář, který je přiřazen unikátnímu systémovému uživateli a skupině. To znamená, že přístup k datům je tak oddělen už na systémové úrovni. K dalšímu oddělení přístupu potom slouží restriktivní konfigurace jednotlivých programů (webserver, FTP server, PHP, Git atd), mimoto navíc běží jednotlivé programy v omezeném prostředí a tudíž nemají přímý přístup do celého systému ani k ostatním programům. Proti útokům zvenčí slouží jako ochrana uživatelských aplikací nejčastěji aplikační firewall - například Mod Security.

Pro zabezpečení celého webu slouží SSL certifikáty, které zabraňují odposlechu nezabezpečených dat. S použitím SSL certifikátu je totiž veškerá komunikace mezi vaším webem a návštěvníkem stránek šifrována, tudíž nikdo nemůže zjistit nebo jinak využít obsah přenášených dat. Pro stránky s přihlašovacími dialogy je použití SSL certifikátu dokonce nezbytné, protože by jinak mohlo dojít k získání přístupových hesel neoprávněnými osobami, jež by mohly nechráněné údaje i zneužít.

Malware může ohrozit i webové stránky

Ačkoli to leckdo podceňuje, i pro web se může stát hrozbou malware, který se sem nějak dostane bez vědomí provozovatele. Může k tomu dojít například po tom, co útočník získá vaše přihlašovací údaje od FTP vašich webových stránek a následně na ně škodlivý kód umístí. Potom dochází při návštěvách k infikování počítačů a malware se dále postupně stále rozšiřuje, případně je využit pro šíření nežádoucího spamu (spam je nevyžádané sdělení, šířené masově prostřednictvím internetu, někdy se označuje i jako UBE/UCE). Jako ochrana proti malware se osvědčily například SSL certifikáty Symantec nebo GeoTrust, umožňující zapnout i pravidelnou kontrolu webu. V případě nalezení nákazy je jimi neprodleně informován přímo klient.

Ochrana e-mailu

Pokud využíváte svoji vlastní doménu, jsou data uživatelů (tedy e-mailových schránek) oddělena již na systémové úrovni díky struktuře systémových uživatelů a jejich oprávnění. Přístup k datům uživatele pro práci s poštou (IMAP, POP3) je tak proveditelný pouze po zadání platného uživatelského jména a hesla.

Bez zálohování by to byl hazard

Jako první stupeň zálohování dat lze označit redundanci v diskových polích, na nichž jsou data v serveru uložena. Ať už je použit jakýkoli typ polí (například RAID 1, RAID 5 nebo RAID 10), nedojde v takovém případě k tomu, že by případná havárie disku mohla ohrozit provoz webu a způsobit dokonce i ztrátu dat. Ideální je pravidelné každodenní zálohování veškerých dat na specializované zálohovací servery, které jsou určeny přímo k tomuto účelu a nejsou tedy připojeny pro jistotu ani k internetu. Unikátní data vašeho projektu si prostě musíte chránit a zálohování je činnost, kterou nelze zanedbávat. Při výběru webhostingu si vždy ověřte nebo domluvte (pokud je ta možnost), jak často a jakým způsobem budou vaše data zálohována. Navíc někdy obyčejné zrcadlení v RAID není úplně dostatečným řešením, pokud by totiž došlo k fyzickému poškození serveru, může se stát že se poškození bude týkat obou disků (provozního i zálohovacího). Volba zálohování na zvláštní disk, které je zmíněno výše, je tedy nejlepší možnou variantou.

Shrnutí bezpečnostních zásad

  • Používejte výhradně prověřené aplikace a dbejte na zabezpečení od jejich autorů. U oblíbených open-source řešení je třeba sledovat poslední vývoj, aplikaci pravidelně aktualizovat
  • Pro připojení k serverům používejte výhradně šifrované protokoly - pro přenos souborů SFTP/SCP, rsync přes SSH nebo Git přes SSH, pro práci s e-maily POP3 nebo IMAPS
  • Využívejte šifrovaného připojení na web prostřednictvím protokolu HTTPS, případně zdarma s využitím certifikátu Let´s Encrypt nebo podobným
  • Pokud v aplikaci nebo v e-mailech pracujete se svými osobními daty nebo jinými citlivými údaji, určitě je šifrujte
  • Používejte silná hesla a pokud máte některá uložena i v počítači, ukládejte je vždy zabezpečená, tedy šifrovaná. Lepší ale určitě je hesla v počítači vůbec neukládat a pro přenosy souborů používat bezheslovou autorizaci pomocí SSH klíčování

Technická podpora je velmi důležitá

U freehostingů s žádnou vekou podporou nemůžete počítat, navíc bývá i časově omezena a nebude nejspíš k dispozici po celý den, natož o svátcích a víkendech, případně jen v hodně omezeném rozsahu.

Pokud si vybíráte placený hosting, vždy se včas podívejte na to, jak je technická podpora řešena a co všechno obsahuje. Nejlepší variantou je podpora, označovaná jako 24/7. To znamená, že funguje po 24 hodin denně a po 7 dnů v týdnu, bez výjimek a omezení. Podpora se musí týkat nejen samotného webhostingu, ale i domén a měla by být co nejrozsáhlejší. S některými problémy si s trochou zkušeností poradíte sami, mohou se však vyskytnout situace, v nichž není žádnou hanbou požádat o radu a pomoc odborného pracovníka, který má s fungováním webových serverů rozsáhlé zkušenosti.

U některých levnějších hostingů je rozsah technické podpory určitým způsobem omezen, nejčastěji počtem hodin, na které máte za určitý časový úsek (například za měsíc nebo za rok) nárok. Pokud dojde k tomu, že svůj limit vyčerpáte, je nutné si služby navíc zaplatit.

U špičkových hostingů je podpora k dispozici bez omezení v plném rozsahu a kdykoli. Pokud se jedná o technický problém, který vznikl ze strany poskytovatele webhostingu, mělo by být její odstranění vždy na účet poskytovatele.