Sicherheitsempfehlungen für Ihren Managed Server

Die Integrität und Vertraulichkeit von Daten ist für jede Anwendung und jede Umgebung entscheidend. Daher möchten wir Ihnen einen Überblick über Empfehlungen und bewährte Verfahren geben, die sich leicht in die üblichen Arbeitsabläufe einfügen lassen, ohne grossen Aufwand zu etablieren sind, aber dennoch die Sicherheit Ihrer Umgebung deutlich erhöhen können.

Passwortlose Authentifikation

Eine bewährte Methode für den Zugriff mittels ssh und sftp ist die Verwendung des public / private key Verfahrens.

Nachdem Sie Ihre ssh- und sftp-Umgebung für die schlüsselbasierte Authentifizierung vorbereitet haben, schaltet Nine gerne die passwortbasierte Authentifizierung ab. Dies wird auch alle ssh- und sftp-Brute-Force-Angriffe auf Ihr System verhindern, was eine Verbesserung gegenüber dem Brute-Force-Schutz darstellt, der bereits für alle Managed Systeme aktiv ist.

Verwendung unterschiedlicher SSH-Benutzer für Projekte und Umgebungen

Wir stellen Ihnen den Benutzer www-data zur Verfügung, der für administrative Zwecke verwendet wird. Für eine einzelne Projektumgebung ist es völlig in Ordnung, diesen Benutzer als einzigen Benutzer zu verwenden. Wenn Sie planen, verschiedene Projekte oder Projektversionen zu betreiben oder Auftragnehmern Zugang zu gewähren, empfehlen wir, für jedes Projekt oder jede Umgebung zusätzliche Benutzer anzulegen, z.B. separate "Staging"- oder "Test"-Benutzer.

Das Anlegen zusätzlicher Benutzerkonten ist in diesem Support-Artikel dokumentiert.

Verwendung unterschiedlicher Datenbanken und Datenbankbenutzer für jede Umgebung

Eines der risikoreichsten Angriffsziele ist Ihr Anwendungs-Frontend. Um zu verhindern, dass ein erfolgreicher Angriff schädliche Auswirkungen auf andere Umgebungen hat, ist es sehr empfehlenswert, für jede Umgebung unterschiedliche Datenbanken und Datenbankbenutzer zu verwenden.

Es gelten die selben Grundsätze wie bei den zuvor beschriebenen SSH-Benutzern, wobei das übergeordnete Ziel darin besteht, so wenige Privilegien wie möglich zu gewähren.

Beschränkung des Zugriffs auf bestimmte IP-Adressen

Wenn Sie einen eigenen IP-Adressbereich oder ein VPN verwenden, können wir den Zugang zu bestimmten Diensten oder Ihrer gesamten Umgebung auf Ihre dedizierte(n) IP-Adresse(n) beschränken.

Vermeiden Sie die Verwendung von unsicheren Verbindungen und Protokollen

Die Vertraulichkeit von Daten kann nur gewährleistet werden, wenn eine sichere Datenübertragung gewährleistet ist. Daher sollten stets TLS-gesicherte Verbindungen zum Einsatz kommen.

Eines der am weitesten verbreiteten unsicheren Protokolle ist FTP. Ohne Protokoll-Erweiterungen überträgt FTP Anmeldedaten und Daten im Klartext, was es Dritten ermöglicht, diese Informationen auszuspähen. Wir empfehlen dringend, die TLS-Erweiterungen FTPS oder FTPES anstelle des Klartextprotokolls FTP zu verwenden.

Wenn Sie unseren Managed Service FTPAdmin2 nutzen, deaktivieren wir das Klartextprotkoll FTP gerne für Sie.

Verwenden Sie TLS-Zertifikate für alle Ihre Webprojekte

Wir empfehlen die Verwendung von TLS-Verbindungen für alle Webprojekte, einschliesslich Testumgebungen. Wir decken die grosse Mehrheit der Anwendungsfälle mit der kostenlosen Let's Encrypt-Integration ab und bieten eine Vielzahl von TLS-Zertifikaten für spezifischere Anwendungsfälle.

HTTP-Header für Ihre Anwendung

Origin / Access-Control-Allow-Origin

Der Origin und Access-Control-Allow-Origin gehen Hand in Hand und ermöglichen die Kontrolle darüber, welche Quellen Ihre Webanwendung einbinden und darauf zugreifen können.

Content-Security-Policy

Die Content-Security-Policy steuert die Ressourcen, die der Benutzer-Agent für eine bestimmte Seite laden darf, was als Schutz gegen Cross-Site-Scripting (XSS)-Angriffe eingesetzt werden kann.

Strict-Transport-Security (HSTS)

Die Strict-Transport-Security weist Web-Browser an, Ihre Webseite ausschliesslich über das https-Protokoll aufzurufen.

Yelp hat einen interessanten Blogpost zu diesem Thema veröffentlicht. Wir empfehlen die Lektüre des Artikels für grössere Implementierungen und insbesondere, wenn Sie planen, Subdomains in die Richtlinie aufzunehmen.

Cloudflare - Angriffserkennung und -vermeidung, Leistungsverbesserungen

Das wichtigste Angriffsziel, Ihr Web-Frontend / Ihre Webanwendung, kann durch ein CDN geschützt werden. Neben der automatischen Angriffserkennung und -abwehr einer Vielzahl von Angriffsvektoren, verbessert ein weltweit operierendes CDN die Auslieferungszeiten Ihrer Inhalte in der ganzen Welt. Caching-Mechanismen ermöglichen es dem CDN, Inhalte direkt auszuliefern, ohne dass Anfragen vom Webserver verarbeitet werden, was die Ladezeiten und die Systemlast effektiv reduziert.

Cloudflare erkennt eine breite Palette von Angriffsvektoren und implementiert Abwehrmechanismen für weit verbreitete CMS / CRM wie Wordpress, Drupal, Joomla, Typo3 oder Magento.

Nine als Cloudflare-Partner berät Sie gerne und unterstützt bei der Einrichtung des weltweit meistgenutzten CDN.

Passwortlose Authentifikation​

Verwendung unterschiedlicher SSH-Benutzer für Projekte und Umgebungen​

Verwendung unterschiedlicher Datenbanken und Datenbankbenutzer für jede Umgebung​

Beschränkung des Zugriffs auf bestimmte IP-Adressen​

Vermeiden Sie die Verwendung von unsicheren Verbindungen und Protokollen​

Verwenden Sie TLS-Zertifikate für alle Ihre Webprojekte​

HTTP-Header für Ihre Anwendung​

Cloudflare - Angriffserkennung und -vermeidung, Leistungsverbesserungen​