Medidas de segurança recomendadas para proteger seus servidores

50

Introdução

Colocar seus aplicativos em funcionamento muitas vezes será sua principal preocupação quando você está trabalhando em infraestrutura em nuvem. Como parte de seu processo de configuração e implantação, é importante incluir a construção de medidas de segurança robustas e completas para seus sistemas e aplicativos antes que eles estejam disponíveis publicamente. Implementar as medidas de segurança neste tutorial antes de implantar seus aplicativos garantirá que qualquer software executado em sua infraestrutura tenha uma configuração de base segura, em oposição às medidas ad-hoc que podem ser implementadas após a implantação.

Este guia destaca algumas medidas práticas de segurança que você pode tomar enquanto estiver configurando e configurando a infraestrutura do servidor. Esta lista não é uma lista exaustiva de tudo o que você pode fazer para proteger seus servidores, mas isso oferece-lhe um ponto de partida que você pode construir. Com o tempo, você pode desenvolver uma abordagem de segurança mais personalizada que se adapte às necessidades específicas de seus ambientes e aplicativos.

Chaves SSH

SSH, ou shell seguro, é um protocolo criptografado usado para administrar e se comunicar com servidores. Ao trabalhar com um servidor, você provavelmente passará a maior parte do seu tempo em uma sessão de terminal conectada ao seu servidor através do SSH. Uma alternativa mais segura aos logins baseados em senha, as chaves SSH usam criptografia para fornecer uma maneira segura de fazer login no seu servidor e são recomendadas para todos os usuários.

Com as chaves SSH, um par de chaves privadas e públicas são criados com o propósito de autenticação. A chave privada é mantida em segredo e segura pelo usuário, enquanto a chave pública pode ser compartilhada.

Para configurar a autenticação da chave SSH, você deve colocar sua chave SSH pública no servidor em seu diretório adequado. Quando seu cliente se conectar pela primeira vez ao servidor, o servidor pedirá provas de que você tem a chave privada associada. Ele faz isso gerando um valor aleatório e enviando-o para o seu cliente SSH. Seu cliente SSH usará sua chave privada para criptografar a resposta e, em seguida, enviar a resposta criptografada para o servidor. Em seguida, o servidor descriptografa a resposta do seu cliente usando sua chave pública. Se o servidor puder descriptografar o valor aleatório, significa que seu cliente possui a chave privada e o servidor permitirá que você se conecte sem uma senha.

Para saber mais sobre como funciona a autenticação baseada em chaves SSH, confira nosso artigo, Entendendo o processo de criptografia e conexão SSH.

Como as chaves SSH aumentam a segurança?

Com o SSH, qualquer tipo de autenticação — incluindo autenticação de senha — é completamente criptografada. No entanto, quando logins baseados em senha são permitidos, usuários mal-intencionados podem tentar repetidamente acessar um servidor, especialmente se ele tiver um endereço IP voltado para o público. Com o poder de computação moderno, é possível obter entrada em um servidor automatizando essas tentativas e tentando combinação após combinação até que a senha certa seja encontrada.

A configuração da autenticação da chave SSH permite desativar a autenticação baseada em senha. As chaves SSH geralmente têm muito mais bits de dados do que uma senha, o que significa que há significativamente mais combinações possíveis que um invasor teria que executar. Muitos algoritmos-chave SSH são considerados inquebráveis pelo hardware de computação moderno, porque eles exigiriam muito tempo para executar todas as partidas viáveis.

Como implementar chaves SSH

As chaves SSH são a maneira recomendada de fazer login em qualquer ambiente de servidor Linux remotamente. Um par de chaves SSH pode ser gerado em sua máquina local e você pode transferir a chave pública para seus servidores em poucos minutos.

Para configurar a chave SSH em seu servidor, siga nossos guias específicos de distribuição Como configurar chaves SSH para Ubuntu, Debian ou CentOS.

Se você ainda quiser autenticação de senha, considere implementar uma solução como fail2ban em seus servidores para limitar os palpites de senha.

Em ambos os casos, é uma prática recomendada não permitir que o usuário faça login diretamente pelo SSH. Em vez disso, faça login como um usuário desprivilegiado e, em seguida, aumente privilégios conforme necessário usando uma ferramenta como sudo. Essa abordagem de limitar permissões é conhecida como o princípio do menor privilégio. Uma vez conectado ao seu servidor e criado uma conta desprivilegiada que você verificou funciona com SSH, você pode desativar logins definindo a diretiva em seu servidor e, em seguida, reiniciando o processo SSH do servidor com um comando como . rootrootPermitRootLogin no/etc/ssh/sshd_configsudo systemctl restart sshd

Firewalls

Um firewall é um software ou dispositivo de hardware que controla como os serviços são expostos à rede e que tipos de tráfego são permitidos dentro e fora de um determinado servidor ou servidores. Um firewall configurado corretamente garantirá que apenas serviços que devem estar disponíveis publicamente possam ser acessados de fora de seus servidores ou rede.

Em um servidor típico, uma série de serviços podem estar sendo executados por padrão. Estes podem ser categorizados nos seguintes grupos:

  • Serviços públicos que podem ser acessados por qualquer pessoa na internet, muitas vezes anonimamente. Um exemplo disso é um servidor web que pode permitir o acesso ao seu site.
  • Serviços privados que só devem ser acessados por um grupo seleto de contas autorizadas ou de determinados locais. Por exemplo, um painel de controle de banco de dados como phpMyAdmin.
  • Serviços internos que devem ser acessíveis apenas de dentro do próprio servidor, sem expor o serviço à internet pública. Por exemplo, um banco de dados que só deve aceitar conexões locais.

Os firewalls podem garantir que o acesso ao seu software seja restrito de acordo com as categorias acima com diferentes graus de granularidade. Os serviços públicos podem ser deixados em aberto e disponíveis para a internet, e os serviços privados podem ser restritos com base em diferentes critérios, como tipos de conexão. Os serviços internos podem ser completamente inacessíveis à internet. Para portas que não estão sendo usadas, o acesso é bloqueado inteiramente na maioria das configurações.

Como os firewalls aumentam a segurança?

Mesmo que seus serviços implementem recursos de segurança ou estejam restritos às interfaces que você gostaria que fossem executadas, um firewall serve como uma camada base de proteção limitando conexões de e para seus serviços antes que o tráfego seja tratado por um aplicativo.

Um firewall configurado corretamente restringirá o acesso a tudo, exceto os serviços específicos que você precisa para permanecer aberto. Expor apenas algumas peças de software reduz a superfície de ataque do seu servidor, limitando os componentes vulneráveis à exploração.

Como implementar firewalls

Com qualquer um dos tutoriais mencionados aqui, certifique-se de que sua configuração de firewall é padrão para bloquear tráfego desconhecido. Dessa forma, todos os novos serviços que você implantar não serão inadvertidamente expostos à Internet. Em vez disso, você terá que permitir o acesso explicitamente, o que o forçará a avaliar como o serviço é executado, acessado e quem deve ser capaz de usá-lo.

Redes VPC

As redes VPC (Virtual Private Cloud, nuvem privada virtual) são redes privadas para os recursos da sua infraestrutura. As redes VPC fornecem uma conexão mais segura entre os recursos porque as interfaces da rede são inacessíveis da internet pública e de outras redes VPC na nuvem.

Como as redes VPC aumentam a segurança

O uso de rede privada em vez de rede pública para comunicação interna é preferível dada a escolha entre os dois, pois as redes VPC permitem isolar grupos de recursos em redes privadas específicas. As redes VPC só se conectarão entre si usando suas interfaces de rede privadas através de uma rede interna, o que significa que o tráfego entre seus sistemas não será roteado pela internet pública onde poderá ser exposto ou interceptado. As redes VPC também podem ser usadas para isolar ambientes de execução e inquilinos.

Além disso, você pode configurar gateways de internet como o único ponto de acesso entre os recursos da sua rede VPC e a internet pública, dando-lhe mais controle e visibilidade sobre o tráfego público conectando-se aos seus recursos.

Como implementar redes VPC

Muitos provedores de infraestrutura em nuvem permitem que você crie e adicione recursos a uma rede VPC dentro de seus data centers.

info

Se você estiver usando o DigitalOcean e quiser configurar seu próprio gateway VPC, você pode seguir nosso Como Configurar uma Gota como um guia do VPC Gateway para saber como em servidores baseados em Debian, Ubuntu e CentOS.

O DigitalOcean coloca cada recurso aplicável (Gotículas, balanceadores de carga, Clusters Kubernetes e bancos de dados) em um VPC após a criação sem custo adicional

Configurar manualmente sua própria rede privada pode exigir configurações avançadas de servidor e conhecimento de rede. Uma alternativa para configurar uma rede VPC é usar uma conexão VPN entre seus servidores.

Auditoria de Serviços

Uma grande parte da segurança envolve analisar nossos sistemas, entender as superfícies de ataque disponíveis e bloquear os componentes da melhor maneira possível.

A auditoria de serviços é uma forma de saber quais serviços estão sendo executados em um determinado sistema, quais portas estão usando para comunicação e quais protocolos são aceitos. Essas informações podem ajudá-lo a configurar quais serviços devem ser acessíveis publicamente, configurações de firewall e monitoramento e alerta.

Como a auditoria de serviços aumenta a segurança?

Os servidores podem executar processos para fins internos e lidar com clientes externos. Cada serviço em execução, seja ele interno ou público, representa uma superfície de ataque expandida para usuários mal-intencionados. Quanto mais serviços você tiver executado, maior a chance de uma vulnerabilidade afetar seu software.

Uma vez que você tenha uma boa ideia de quais serviços de rede estão sendo executados em sua máquina, você pode começar a analisar esses serviços. Ao realizar uma auditoria de serviço, faça-se as seguintes perguntas sobre cada serviço em execução:

  • Esse serviço deveria estar funcionando?
  • O serviço está sendo executado em interfaces de rede que não deveria estar sendo executado?
  • O serviço deve estar vinculado a uma interface de rede pública ou privada?
  • Minhas regras de firewall estão estruturadas para passar tráfego legítimo para este serviço?
  • Minhas regras de firewall bloqueiam o tráfego que não é legítimo?
  • Tenho um método de receber alertas de segurança sobre vulnerabilidades para cada um desses serviços?

Esse tipo de auditoria de serviço deve ser uma prática padrão ao configurar qualquer novo servidor em sua infraestrutura. Realizar auditorias de serviço a cada poucos meses também ajudará você a pegar quaisquer serviços com configurações que possam ter sido alteradas sem querer.

Como realizar auditorias de serviços

Para auditar os serviços de rede que estão sendo executados em seu sistema, use o comando para listar todas as portas TCP e UDP que estão em uso em um servidor. Um comando de exemplo que mostra o nome do programa, PID e endereços que estão sendo usados para ouvir o tráfego de TCP e UDP é:ss

sudo ss -plunt

 Cópia

Você receberá saída semelhante a esta:

OutputNetid       State        Recv-Q       Send-Q             Local Address:Port             Peer Address:Port      Process
tcp         LISTEN       0            128                      0.0.0.0:22                    0.0.0.0:*         users:(("sshd",pid=812,fd=3))
tcp         LISTEN       0            511                      0.0.0.0:80                    0.0.0.0:*         users:(("nginx",pid=69226,fd=6),("nginx",pid=69225,fd=6))
tcp         LISTEN       0            128                         [::]:22                       [::]:*         users:(("sshd",pid=812,fd=4))
tcp         LISTEN       0            511                         [::]:80                       [::]:*         users:(("nginx",pid=69226,fd=7),("nginx",pid=69225,fd=7))

As principais colunas que precisam de sua atenção são as colunas Netid, Endereço Local:Porta e Nome do Processo. Se o endereço local:porta estiver, o serviço está aceitando conexões em todas as interfaces de rede IPv4. Se o endereço for, o serviço aceitará conexões em todas as interfaces IPv6. Na saída de exemplo acima, SSH e Nginx estão ouvindo em todas as interfaces públicas, tanto em pilhas de rede IPv4 quanto IPv6.0.0.0.0[::]

Com esta saída de exemplo, você pode decidir se deseja permitir que SSH e Nginx ouçam em ambas as interfaces, ou apenas em uma ou outra. Geralmente, você deve desativar serviços que estão sendo executados em interfaces nãousadas. Por exemplo, se o seu site só deve ser acessível via IPv4, você impediria explicitamente um serviço de ouvir nas interfaces IPv6 para reduzir o número de serviços expostos.

Atualizações autônomas

Manter seus servidores atualizados com patches é uma obrigação para garantir um bom nível básico de segurança. Servidores que ficam desatualizados e versões inseguras do software são responsáveis pela maioria dos compromissos, mas atualizações regulares podem mitigar vulnerabilidades e impedir que os invasores ganhem uma posição em seus servidores.

As atualizações tradicionais exigem que um administrador verifique e instale manualmente atualizações para os vários pacotes em seu servidor; isso pode ser demorado e é possível esquecer ou perder uma grande atualização. Em contrapartida, atualizações autônomas permitem que o sistema atualize a maioria dos pacotes automaticamente.

Como atualizações autônomas aumentam a segurança?

A implementação de atualizações autônomas reduz o nível de esforço necessário para manter seus servidores seguros e reduz a quantidade de tempo que seus servidores podem estar vulneráveis a bugs conhecidos. No caso de uma vulnerabilidade que afeta o software em seus servidores, seus servidores ficarão vulneráveis por mais tempo que leve para executar atualizações. Atualizações diárias autônomas garantirão que você não perca nenhum pacote e que qualquer software vulnerável seja corrigido assim que as correções estiverem disponíveis.

Em conjunto com a auditoria de serviços mencionada anteriormente, a realização de atualizações automaticamente pode reduzir consideravelmente sua exposição a ataques e diminuir o tempo gasto na manutenção da segurança do seu servidor

Como implementar atualizações autônomas

Publicações Relacionadas

A maioria das distribuições de servidores agora apresentam atualizações autônomas como uma opção. Por exemplo, no Ubuntu, um administrador pode executar:

sudo apt install unattended-upgrades

 Cópia

Para obter mais detalhes sobre como implementar atualizações autônomas, confira estes guias para ubuntu (sob Atualizações Automáticas) e Fedora.

[nota]
Nota: Esses mecanismos só atualizarão automaticamente o software que é instalado através do gerenciador de pacotes do seu sistema. Certifique-se de que qualquer software adicional que você possa estar executando como aplicativos web estão configurados para atualizações automáticas ou verificados manualmente regularmente.

Desativar índices de diretório

A maioria dos servidores web são configurados por padrão para exibir índices de diretório quando um usuário acessa um diretório que não possui um arquivo de índice. Por exemplo, se você criasse um diretório chamado no seu servidor web sem qualquer configuração adicional, todos os arquivos seriam visíveis para qualquer um que navegasse no diretório. Para muitos casos, isso não é uma preocupação de segurança, mas é muito possível que algo confidencial possa ser exposto. Por exemplo, se você criar um diretório de índice em seu servidor web para o seu site, o diretório pode conter o arquivo para a página inicial do seu site e um arquivo de configuração que contém credenciais para o banco de dados backend do site. Sem desativar os índices do diretório, ambos os arquivos da pasta seriam visíveis para qualquer um que navegasse no diretório.downloads

Como os índices de diretórios desativação aumentam a segurança?

Os índices de diretório têm propósitos legítimos, mas muitas vezes expõem arquivos involuntariamente aos visitantes. Desativar índices de diretório como padrão para o servidor web elimina o risco de perda acidental de dados, vazamento ou exploração, tornando os arquivos do diretório invisíveis aos visitantes. Os visitantes ainda podem alcançar os arquivos se eles existirem no diretório, mas desativar a indexação torna os arquivos muito mais difíceis de descobrir sem querer.

Como desativar índices de diretório

Para a maioria dos casos, desativar índices de diretório é uma questão de adicionar uma linha à configuração do servidor web.

  • O Nginx desativa os índices de diretório por padrão, portanto, se você estiver usando o Nginx, você não precisará fazer nenhuma alteração.
  • página Diretórios no Apache Wiki explica como desativar listagens de diretórios. Certifique-se de usar a opção listada lá para qualquer um dos seus blocos de configuração Apache. Options -IndexesDirectory

Backup com frequência

Embora não seja estritamente uma medida de segurança, os backups podem ser cruciais para salvar sistemas e dados comprometidos e analisar como o sistema foi comprometido. Por exemplo, se o servidor for comprometido por ransomware (uma ferramenta ou vírus malicioso que criptografa arquivos e só os descriptografará se o invasor receber alguma quantia de dinheiro), a falta de backups pode significar que sua única escolha é pagar para recuperar seus dados. Se seus sistemas e dados estiverem regularmente e com segurança, você poderá acessar e recuperar seus dados sem interagir com o sistema comprometido.

Como backups frequentes aumentam a segurança?

Backups frequentes ajudam a recuperar dados em caso de exclusões acidentais e no caso de um ataque onde seus dados são excluídos ou corrompidos. Em ambos os casos, eles ajudam a mitigar o risco de perda de dados retendo cópias de dados antes de uma exclusão acidental ou antes de um ataque ocorrer.

Além de casos de ransomware, backups regulares podem ajudar na análise forense de ataques de longo prazo. Se você não tem um histórico de seus dados, pode ser difícil ou até impossível determinar quando um ataque começou e quais dados foram comprometidos.

Como implementar backups frequentes

Ao implementar backups para seus sistemas, trate a recuperação verificável de dados comprometidos ou excluídos como o objetivo. Pergunte a si mesmo: se meu servidor desaparecer amanhã, que medidas precisam ser tomadas para que ele volte a funcionar com segurança com a menor quantidade de trabalho?

Aqui estão algumas outras perguntas a serem consideradas ao desenvolver um plano de recuperação de desastres:

  • O backup mais recente deve ser sempre usado? Dependendo da frequência com que seus dados mudam e quando um compromisso ou exclusão ocorre, ele pode reduzir o risco para, em vez disso, padrão para um backup mais antigo.
  • Qual é o processo real para restaurar o backup? Você precisa criar um novo servidor ou restaurar sobre o existente?
  • Quanto tempo você pode sobreviver sem este servidor em ação?
  • Você precisa de backups fora do local?

VPNs e Redes Privadas

Redes privadas são redes que só estão disponíveis para determinados servidores ou usuários. Uma VPN, ou rede privada virtual, é uma maneira de criar conexões seguras entre computadores remotos e apresentar a conexão como se fosse uma rede privada local. Isso fornece uma maneira de configurar seus serviços como se estivessem em uma rede privada e conectar servidores remotos por conexões seguras.

Como eles aumentam a segurança?

Usar rede privada em vez de rede pública para comunicação interna é quase sempre preferível dada a escolha entre os dois. No entanto, como outros usuários dentro do data center podem acessar a mesma rede, você ainda deve implementar medidas adicionais para garantir a comunicação entre seus servidores.

Usar uma VPN é, efetivamente, uma maneira de mapear uma rede privada que só seus servidores podem ver. A comunicação será totalmente privada e segura. Outros aplicativos podem ser configurados para passar seu tráfego pela interface virtual que o software VPN expõe. Dessa forma, somente serviços que se destinam a ser consumíveis pelos clientes na internet pública precisam ser expostos na rede pública.

Quão difícil é implementar isso?

Usar redes privadas em um datacenter que tenha esse recurso é tão simples quanto habilitar a interface durante a criação do servidor e configurar seus aplicativos e firewall para usar a rede privada. Tenha em mente que as redes privadas de data center compartilham espaço com outros servidores que usam a mesma rede.

Quanto à VPN, a configuração inicial está um pouco mais envolvida, mas o aumento da segurança vale a pena para a maioria dos casos de uso. Cada servidor em uma VPN deve ter os dados de segurança e configuração compartilhados necessários para estabelecer a conexão segura instalada e configurada. Depois que a VPN estiver em funcionamento, os aplicativos devem ser configurados para usar o túnel VPN.

Infraestrutura de chaves públicas e criptografia SSL/TLS

A infraestrutura de chaves públicas, ou PKI, refere-se a um sistema projetado para criar, gerenciar e validar certificados para identificar indivíduos e criptografar a comunicação. Os certificados SSL ou TLS podem ser usados para autenticar diferentes entidades entre si. Após a autenticação, eles também podem ser usados para estabelecer comunicação criptografada.

Como eles aumentam a segurança?

Estabelecer uma autoridade de certificado (CA) e gerenciar certificados para seus servidores permite que cada entidade dentro de sua infraestrutura valide as identidades dos outros membros e criptografe seu tráfego. Isso pode evitar ataques man-in-the-middle onde um invasor imita um servidor em sua infraestrutura para interceptar tráfego.

Cada servidor pode ser configurado para confiar em uma autoridade centralizada de certificados. Depois, qualquer certificado que a autoridade assina pode ser implicitamente confiável. Se os aplicativos e protocolos que você está usando para comunicar a criptografia TLS/SSL de suporte, esta é uma maneira de criptografar seu sistema sem a sobrecarga de um túnel VPN (que também usa ssl internamente).

Quão difícil é implementar isso?

A configuração de uma autoridade de certificado e a criação do resto da infraestrutura de chaves públicas podem envolver um pouco de esforço inicial. Além disso, a gestão de certificados pode criar um ônus adicional de administração quando novos certificados precisam ser criados, assinados ou revogados.

Para muitos usuários, implementar uma infraestrutura de chave pública completa fará mais sentido à medida que suas necessidades de infraestrutura crescerem. Proteger as comunicações entre componentes usando VPN pode ser uma boa medida de stop-gap até chegar a um ponto onde o PKI vale os custos extras de administração.

Sistemas de auditoria e detecção de intrusões

Auditoria de arquivos é o processo de comparar o sistema atual com um registro dos arquivos e características de arquivos do seu sistema quando ele é um estado conhecido. Isto é usado para detectar alterações no sistema que podem ter sido autorizadas.

Um sistema de detecção de intrusões, ou IDS, é um software que monitora um sistema ou rede para atividades não autorizadas. Muitas implementações de IDS baseadas em host usam a auditoria de arquivos como um método para verificar se o sistema mudou.

Como eles aumentam a segurança?

Semelhante à auditoria acima do nível de serviço, se você está falando sério sobre garantir um sistema seguro, é muito útil ser capaz de realizar auditorias em nível de arquivo do seu sistema. Isso pode ser feito periodicamente pelo administrador ou como parte de um processo automatizado em um IDS.

Essas estratégias são algumas das únicas maneiras de ter certeza absoluta de que seu sistema de arquivos não foi alterado por algum usuário ou processo. Por muitas razões, os intrusos muitas vezes desejam permanecer escondidos para que possam continuar a explorar o servidor por um longo período de tempo. Eles podem substituir binários por versões comprometidas. Fazer uma auditoria do sistema de arquivos lhe dirá se algum dos arquivos foi alterado, permitindo que você tenha certeza na integridade do ambiente do servidor.

Quão difícil é implementar isso?

Implementar um IDS ou realizar auditorias de arquivos pode ser um processo bastante intensivo. A configuração inicial envolve dizer ao sistema de auditoria sobre quaisquer alterações não padronizais que você tenha feito no servidor e definir caminhos que devem ser excluídos para criar uma leitura de linha de base.

Também torna as operações diárias mais envolvidas. Isso complica a atualização dos procedimentos, pois você precisará re-verificar o sistema antes de executar atualizações e, em seguida, recriar a linha de base depois de executar a atualização para obter alterações nas versões do software. Você também precisará descarregar os relatórios para outro local para que um intruso não possa alterar a auditoria para cobrir seus rastros.

Embora isso possa aumentar sua carga de administração, ser capaz de verificar seu sistema contra uma cópia conhecida é uma das únicas maneiras de garantir que os arquivos não tenham sido alterados sem o seu conhecimento. Alguns sistemas populares de auditoria de arquivos / detecção de intrusões são Tripwire e Aide.

Ambientes isolados de execução

Isolar ambientes de execução refere-se a qualquer método em que os componentes individuais sejam executados dentro de seu próprio espaço dedicado.

Isso pode significar separar seus componentes discretos de aplicativos para seus próprios servidores ou pode se referir à configuração de seus serviços para operar em ambientes ou contêineres. O nível de isolamento depende muito das necessidades do seu aplicativo e da realidade da sua infraestrutura. chroot

Como eles aumentam a segurança?

Isolar seus processos em ambientes de execução individuais aumenta sua capacidade de isolar quaisquer problemas de segurança que possam surgir. Semelhante à forma como anteparos e compartimentos podem ajudar a conter violações do casco em navios, separar seus componentes individuais pode limitar o acesso que um intruso tem a outras peças de sua infraestrutura.

Quão difícil é implementar isso?

Dependendo do tipo de contenção que você escolher, isolar suas aplicações pode ter diferentes níveis de complexidade. Ao empacotar seus componentes individuais em contêineres, você pode rapidamente obter alguma medida de isolamento, mas note que o Docker não considera sua containerização um recurso de segurança.

A criação de um ambiente para cada peça pode fornecer algum nível de isolamento também, mas este também não é um método infalível de isolamento, pois muitas vezes há maneiras de sair de um ambiente. Mover componentes para máquinas dedicadas é o melhor nível de isolamento, e em muitos casos pode ser o menos complexo, mas incorre em custos adicionais devido à necessidade de máquinas adicionais.chrootchroot

Conclusão

As estratégias descritas neste tutorial são uma visão geral de algumas das etapas que você pode tomar para melhorar a segurança de seus sistemas. É importante reconhecer que as medidas de segurança diminuem em sua eficácia quanto mais você esperar para implementá-las. Assim, a segurança não deve ser uma reflexão posterior e deve ser implementada quando você forvia sua infraestrutura pela primeira vez. Uma vez que você tenha uma base segura para construir, você pode então começar a implantar seus serviços e aplicativos com algumas garantias de que eles estão sendo executados em um ambiente seguro por padrão.

Mesmo com um ambiente de partida seguro, tenha em mente que a segurança é um processo contínuo e iterativo. Uma boa segurança requer uma mentalidade de vigilância e conscientização constantes. Certifique-se sempre de se perguntar quais podem ser as implicações de segurança de qualquer mudança e quais medidas você pode tomar para garantir que você está sempre criando configurações e ambientes padrão seguros para o seu software.

você pode gostar também