PENAFIAN UNTUK PELANGGAN OPERASI TERKELOLA
Untuk memastikan bahwa Rackspace memiliki akses ke server Anda saat dibutuhkan, kami meminta Anda untuk tidak mengubah konfigurasi berikut saat Anda mempertimbangkan praktik terbaik keamanan:
-
Saat menghubungkan ke server Anda, Dukungan Rackspace masuk sebagai rak user pengguna dengan menggunakan Remote Desktop Connection ke alamat IP publik melalui port 3389.
-
Membangun kembali server yang ada atau membangun server baru dari snapshot mengharuskan login Administrator diaktifkan, dan port 445 tidak diblokir di firewall Microsoft® Windows®.
Jika Anda harus mengubah nilai ini, hubungi administrator di Rackspace untuk membuat perubahan dengan cara yang tidak memengaruhi kemampuan kami untuk memberikan Pengalaman Fanatik kepada Anda ®.
Artikel ini memberikan beberapa praktik terbaik keamanan umum untuk dipertimbangkan saat Anda menyiapkan server Microsoft Windows yang berinteraksi dengan Internet publik. Meskipun praktik terbaik ini berlaku untuk server mana pun secara umum, artikel ini secara khusus membahas Server Cloud RackspacePublic yang menjalankan Windows.
Gunakan aturan firewall lokal
Secara default, Server Cloud Publik Rackspace tidak memiliki perangkat firewall. Untuk server yang berinteraksi dengan Internet publik tanpa perangkat firewall, firewall Windows adalah satu-satunya perlindungan antara sumber daya server Anda dan data pribadi Anda dan siapa pun yang memiliki akses ke koneksi Internet.
Nonaktifkan sebanyak mungkin aturan di firewall. Menonaktifkan aturan berarti lebih sedikit port yang terbuka dan mendengarkan melalui antarmuka publik, yang membatasi keterpaparan server terhadap siapa pun yang mencoba mendapatkan akses ke sana.
Untuk port yang harus dibuka, batasi akses ke server dengan memasukkan alamat IP ke daftar putih dalam aturan khusus tersebut. Tambahkan alamat IP dari komputer rumah atau kantor lokal Anda ke daftar putih, meskipun penyedia layanan internet (ISP) Anda menyediakan alamat IP publik dinamis yang berubah seiring waktu. Anda dapat membuat perubahan pada aturan firewall sesuai kebutuhan dari Cloud Control Panel dengan masuk ke server dari jarak jauh melalui konsol dan menambahkan alamat IP baru.
Dengan membatasi akses ke server melalui daftar putih alamat IP, Anda dapat memastikan bahwa pengguna yang membutuhkan akses ke server memilikinya, tetapi mereka yang tidak diblokir dari port terbuka tersebut. Port paling umum yang perlu dibuka di firewall Windows untuk hosting web di server cloud adalah sebagai berikut:
| Port | Layanan |
|---|---|
| 80 HTTP | Situs atau aplikasi web IIS |
| 443 HTTPS | Situs IIS atau aplikasi web aman dengan SSL |
Sebaiknya kunci port berikut melalui daftar putih alamat IP di antarmuka publik untuk membatasi serangan paksa atau upaya eksploitasi terhadap akun atau layanan yang diberi nama umum di server:
| Port | Deskripsi |
|---|---|
| 3389 | Konektivitas Desktop Jarak Jauh, untuk login jarak jauh ke server |
| 21 FTP | Untuk transfer data yang aman antara lokasi geografis lokal dan server cloud |
| 990 FTPS (Windows) | Untuk transfer data yang aman antara lokasi geografis lokal dan server cloud yang menyertakan sertifikat SSL |
| 5000-5050 FTP | Port pasif untuk komunikasi FTP |
| 1433 SQL | Port default yang digunakan untuk komunikasi SQL |
| 53 DNS | Port default yang digunakan untuk permintaan DNS |
Pertimbangkan apa yang Anda bagikan
Pertimbangkan data apa yang tersedia untuk orang lain melalui berbagi file. Kami tidak menyarankan untuk mengaktifkan berbagi file Windows karena port yang terbuka di firewall (port445 dan 139) membuat server terkena upaya koneksi yang tidak diinginkan.
Beberapa pelanggan menggunakan server mereka untuk meng-host perangkat lunak back-office seperti QuickBooks®,PeachTree, Microsoft Office® (Outlook® untuk sesi Remote Desktop), atau solusi perangkat lunak pihak ketiga lainnya. Terkadang pelanggan ingin mengonfigurasi drive jaringan yang dipetakan agar mereka dapat dengan mudah memindahkan data dari komputer lokal ke server cloud mereka melalui huruf drive di komputer lokal. Namun, kami tidak menyarankan praktik ini. Server Anda hanya seaman kata sandi terlemah.
Selain itu, berhati-hatilah dengan perangkat lunak yang Anda izinkan untuk diunduh dan dipasang oleh pengguna di server Anda. Setiap paket perangkat lunak yang diinstal meningkatkan eksposur server Anda terhadap serangan.
Kebijakan sandi
Apakah Anda telah menyediakan server cloud dengan firewall perangkat keras atau tidak, seperti yang dinyatakan sebelumnya, server Anda hanya seaman kata sandi terlemah yang memiliki akses ke sana. Ikuti tip berikut untuk sandi:
-
Gunakan kata sandi yang kuat setidaknya 12 hingga 14 karakter yang menyertakan huruf besar dan kecil, angka, dan karakter khusus (seperti !, #, $, dan %). Menetapkan kata sandi sederhana sangat berbahaya, terutama untuk server cloud yang tersedia melalui Internet publik.
-
Tetapkan tanggal kedaluwarsa untuk setiap kata sandi pengguna. Meskipun tidak nyaman untuk mengingat kata sandi baru secara berkala, praktik ini dapat membuat data Anda lebih aman.
Karena proses otomatisasi pasca-pembuatan kami bergantung pada akun pengguna default Administrator, kami tidak menyarankan mengubah nama pengguna ini di server cloud Anda yang menjalankan Windows.
Hati-hati yang memiliki akses ke server melalui akun Administrator. Jika banyak pengguna memerlukan akses admin ke server, buat beberapa akun dengan akses admin. Lebih mudah melacak pengguna di file log dengan mencari akun pengguna tertentu daripada mencoba menguraikan beberapa entri file log di bawah akun Administrator.
Beberapa contoh Event Id 4625 di Log Keamanan atau Event Id 1012 di SystemLog dapat berarti bahwa seseorang mencoba meretas ke server Anda karena peristiwa ini terkait dengan upaya login yang gagal.
Untuk pengguna yang masuk melalui Remote Desktop Connection (RDC), pastikan bahwa mereka keluar dari server untuk membebaskan sumber daya apa pun yang digunakan alih-alih hanya menutup jendela RDC mereka, yang membuat sesi tetap terbuka di server.
Direktori Aktif
Kami biasanya tidak menyarankan menjalankan Active Directory di server cloud karena satu-satunya perlindungan dari penyusupan adalah firewall Windows, dan Active Directory memperkenalkan masalah ke dalam lingkungan server cloud. Active Directory umumnya lebih baik digunakan dalam lingkungan dedicated server di mana server ditempatkan di belakang firewall fisik dan terhubung melalui tunneling VPN melalui perangkat firewall tersebut.
Rackspace mendukung Virtual Private Network (VPN) hanya jika melalui firewall perangkat keras dalam solusi yang disebut RackConnect. Lebih mudah untuk menerapkan penyiapan firewall fisik ini sebelum Anda membuat server karena, pada saat artikel ini ditulis, proses yang menghubungkan firewall dan server dilakukan secara otomatis selama proses pembuatan. Firewall fisik tidak disediakan secepat server cloud dan harus diminta melalui tim Hybrid kami. Untuk informasi lebih lanjut tentang firewall fisik dan RackConnect, lihat https://www.rackspace.com/cloud-connectivity/rackconnect/.
Jika Anda menginstal Active Directory di server cloud, kami menyarankan Anda menjalankan dua pengontrol domain jika salah satu gagal (pencitraan saat ini tidak tersedia untuk pengontrol domain). Kami juga menyarankan untuk mengunci DNS untuk mencegah serangan amplifikasi DNS.
Instance SQL Server
Untuk server yang menjalankan Microsoft SQL Server®, kunci port SQL 1433 untuk mendengarkan melalui antarmuka internal saja, sebaiknya hanya mendengarkan koneksi dari daftar alamat IP yang diketahui dari server lain yang perlu mengakses SQL Server di server. Anda dapat mengizinkan port SQL 1433 untuk mendengarkan melalui antarmuka publik, tetapi Anda harus membatasi aturan ini hanya pada alamat IP komputer tempat pengembang terhubung ke database di server.
Jika Anda tidak membatasi koneksi ini ke server, port 1433 akan terbuka dan peretas luar akan mencoba serangan brute-force pada server melalui port ini. Jenis serangan ini menyebabkan lalu lintas jaringan yang tinggi, memperlambat kinerja server, dan bahkan menurunkan situs jika akun penting terkunci. Dengan membatasi akses ke port ini, Anda dapat mengurangi masalah ini sebelum dimulai.
Untuk server yang menjalankan SQL Server Standard atau SQL Server edisi Web, kami menyarankan untuk mengonfigurasi rencana pemeliharaan untuk membuang data dari file database langsung ke flatfile yang dapat Anda cadangkan dari server dan untuk membersihkan cadangan sehingga tidak memenuhi hard drive Anda.
Pembaruan Windows
Pastikan pembaruan Windows diaktifkan, dan perhatikan status server Anda—pastikan sistem operasi (OS) Windows Anda ditambal. Patch Tuesday, yang terjadi pada hari Selasa kedua setiap bulan di Amerika Utara, adalah hari di mana Microsoft secara teratur merilis patch keamanan. Pelanggan harus memutuskan cara terbaik untuk menerapkan strategi patching yang membuat server mereka tetap mutakhir. Secara default, Rackspace Cloud Servers memeriksa pembaruan antara pukul 02.00 dan 04.00 setiap hari.
Cadangan server
Siapkan beberapa jenis rencana pemulihan bencana. Salah satu opsi yang kami tawarkan adalah membuat gambar server cloud setiap malam dan menulisnya ke wadah File Cloud Anda dengan retensi default tujuh hari. Anda mengambil snapshot dari server dan menyimpan image di Cloud Files untuk digunakan dalam membuat instance server baru atau membangun kembali server yang ada dari image tersebut.
Kami juga menawarkan pencadangan tingkat file melalui Cloud Backups. Kami tidak menyarankan untuk mencadangkan seluruh C: drive karena file langsung yang dikunci menyebabkan pekerjaan pencadangan selesai dengan kesalahan. Selanjutnya, file sistem Windows terkandung dalam gambar dasar yang disediakan oleh kami atau dalam gambar khusus apa pun yang diambil dari server, jadi Anda tidak perlu mencadangkan data tersebut setiap hari. Kami menyarankan untuk mencadangkan C :\inetpub (IIS) dan data pengguna lainnya yang perlu dicadangkan. Selain itu, jika Anda mengonfigurasi rencana pemeliharaan SQL Server untuk membuang data langsung ke dalam file datar untuk pencadangan, sebaiknya sertakan juga direktori tersebut dalam cadangan.
Periksa pekerjaan pencadangan untuk memastikan bahwa pekerjaan tersebut berhasil diselesaikan dan pencadangannya valid. Buat instance server baru dari sebuah gambar untuk memastikan bahwa gambar tersebut valid, dan pulihkan file dari Cloud Backups untuk memverifikasi bahwa data yang dicadangkan telah dipulihkan.
Catatan :Tidak semua server dapat memanfaatkan Cloud Images. Secara khusus, Anda tidak dapat mengambil gambar server yang menggunakan Boot dari Volume konfigurasi. Selain itu, sementara gambar server dapat berguna, gambar tidak boleh dianggap sebagai satu-satunya sumber cadangan karena proses gambar tidak memverifikasi integritas file. Rackspace sangat menyarankan pencadangan tingkat file untuk data terpenting Anda. Dengan demikian, Anda harus mempertimbangkan solusi terbaik untuk pemulihan bencana untuk bisnis Anda. Anda dapat meninjau perbedaan antara Server Images dan Cloud Backup di artikel ini:Rackspace Cloud Backup vs. Cloud Server Image Backups
Kode
Permukaan serangan terakhir yang terpapar ke Internet adalah kodenya. Anda dan pengembang Anda harus memastikan bahwa kode Anda menerapkan otentikasi dan otorisasi yang tepat. Misalnya, Anda tidak boleh mengizinkan aplikasi web dijalankan dengan hak istimewa tingkat administrator. Otorisasi file harus ditentukan dengan hati-hati, dan semua masukan pada aplikasi harus memiliki validasi terbaik untuk mencegah peretas mengeksploitasi aplikasi web dan mendapatkan kendali atas server.
Situs berikut memberikan informasi tentang meningkatkan keamanan ASP.NET:
- https://www.asp.net/web-forms/pluralsight
- https://www.iis.net/configreference/system.webserver/security/requestfiltering
- https://blogs.iis.net/wadeh/archive/2008/12/18/filtering-for-sql-injection-on-iis-7-and-later.aspx
Kesimpulan
Bergantung pada kasus penggunaan, pelanggan mungkin memiliki kebutuhan lain yang lebih spesifik untuk ditangani saat memanfaatkan layanan Server Cloud kami untuk memenuhi kebutuhan hosting mereka. Namun, rekomendasi umum ini adalah awal yang baik saat mempertimbangkan keamanan saat membuat server Windows, cloud, atau lainnya.