Вопросы по безопасности IT инфраструктуры (VPS сервер)

rownong

Новый пользователь
Сообщения
3
Симпатии
0
Баллы
1
#1
Здравствуйте.

Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).

VPS сервер 1.
На нем:
- Несколько баз данных MySQL
- Папки (с сайтами, веб-приложениями, скриптами)
- Установленные программы
> Панель управления Vesta
> MySQL-сервер
> PhpMyAdmin
> FTP-сервер
- Задачи крона

VPS сервер 2.
На нем:
- Asterisk (с конфигурациями)

В перспективе VPS сервер 3.
На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).

Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д.

Вопросы:

1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT?

2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
- аудит (когда будут выписаны замечания)
- реализация мер по устранению замечаний
??

3. Как выбрать аудиторов?
Достаточно фрилансеров или нужно обращаться в организацию?

4. Как определить компетенции аудиторов в обеспечении безопасности в IT?

5. Имеет смысл нанимать сразу 2-х аудиторов?
Потом реализовывать замечания обоих аудитов?

6. В какой формате проводятся аудиты по безопасности?
Нужно будет прислать специалистам доступы ко всем системам?

7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.
 

akok

Команда форума
Администратор
Сообщения
15,784
Симпатии
12,726
Баллы
2,203
#2
Добрый день.
Все сервера будут иметь "открытый" выход в интернет? В идеале на "служебные" VPS "не выпускать" в интернет и подключаться через VPN
Шифрование?
Резервное копирование?
Будет использоваться WAF?

1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT?
Отдельные специалисты, они будут квалифицированы и в php и в системном администрировании. Специалисты понадобятся на этапе внедрения изменений по итогам аудита

2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
В общем и целом да.

3. Как выбрать аудиторов?
Сложно ответить, я не слежу за рынком. Смотрите по цене и объему аудита

4. Как определить компетенции аудиторов в обеспечении безопасности в IT?
Сертификация
Сертификаты CISSP, CISA, CISM: как получить и стоит ли овчинка выделки?
5. Имеет смысл нанимать сразу 2-х аудиторов?
Все зависит от того с кем заключите договор, может работать команда. Смысла привлекать две разные команды нет. Лучше подойти со стороны:
Аудит => Внедрение => Аудит => Внедрение

6. В какой формате проводятся аудиты по безопасности?
Форматов несколько, от изучения документации, до попыток взломать систему. Но доступ скорее всего нужен, обычно запрашивается "только на чтение", в остальном по необходимости

7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
Это два разных аудита. Не стоит их мешать в одну кучу.

Для ознакомления: Курс MIT «Безопасность компьютерных систем». Лекция 1: «Вступление: модели угроз», часть 1
 

Lunik

Практикант
Сообщения
464
Симпатии
98
Баллы
78
#3
1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT?
Аудит делается независимыми экспертами в области информационной безопасностью.

Как минимум делается Аудит ИТ инфаструктуры
Делается Тест на проникновение (pen-test)
После чего, разрабатываются действия по устранение и закрытие уязвимостей.
Дальше подготавливается документ внутри компании о предоставление и разграничений доступов и т.д. ти что-то (ФЗ-152, 21-й приказ ФСТЭК и др )

3. Как выбрать аудиторов?
Достаточно фрилансеров или нужно обращаться в организацию?
Судя по всему что вы хотите обращаться стоит только к организациям, но надо понимать что данный аудит вставит вам в хоршую сумму.
За частую фрилансеры тест заканчивается на сканирование сканером уязвимости или что-то подобное. В вашем случае тест должен проходить включая включая ПО и скрипты которые вы используете для работы.

Личное мое мнение, используя VPS уже как мининму это уже уязвимость)) Использовать сторонние сервера.
Имеет смысл нанимать сразу 2-х аудиторов?
Потом реализовывать замечания обоих аудитов?
То есть вы изначально уже не уверены в первом аудите?
В какой формате проводятся аудиты по безопасности?
Нужно будет прислать специалистам доступы ко всем системам?
Все зависит от того, какой мининму вы будет исследовать.

Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.
Как я писал выше если подходить основательно к этому, аудит делается всей инфаструктуры..
С вирусами как мининму должен бороться ваш Системный администратор и если он у вас есть, то изначальная стадия защиты должна исходить от него. Если у Вас есть целый ИТ отдел безопасности то то гда от них.
 

rownong

Новый пользователь
Сообщения
3
Симпатии
0
Баллы
1
#4
Все сервера будут иметь "открытый" выход в интернет? В идеале на "служебные" VPS "не выпускать" в интернет и подключаться через VPN
Удобней сделать допуск для опред. ip
Сообщения объединены:

Отдельные специалисты, они будут квалифицированы и в php и в системном администрировании. Специалисты понадобятся на этапе внедрения изменений по итогам аудита
В общем сначала системного администратора надо?
Сообщения объединены:

Все зависит от того с кем заключите договор, может работать команда. Смысла привлекать две разные команды нет. Лучше подойти со стороны:
Аудит => Внедрение => Аудит => Внедрение
Ок понял, спасибо
Сообщения объединены:

Форматов несколько, от изучения документации, до попыток взломать систему. Но доступ скорее всего нужен, обычно запрашивается "только на чтение", в остальном по необходимости
Ок понял
Сообщения объединены:

Это два разных аудита. Не стоит их мешать в одну кучу.
ок, хоть немного начала складываться картина
Сообщения объединены:

Личное мое мнение, используя VPS уже как мининму это уже уязвимость)) Использовать сторонние сервера.
Какие есть предложения? Использовать выделенный сервер?
Но даже выделенный сервер я бы хотел заказывать у хостера, т.к. это удобней, чем самому комп в офисе обслуживать.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,784
Симпатии
12,726
Баллы
2,203
#5

Lunik

Практикант
Сообщения
464
Симпатии
98
Баллы
78
#6
Только мне кажется, что за такую стоимость под ваши работу, проще купить сервер в организацию, можно 2)
если есть системный администратор, пусть занимаеться. Вся инфраструктура будет находиться у Вас под присмотром. А дальше настроить все как единое целое, уже дело техники.
 

rownong

Новый пользователь
Сообщения
3
Симпатии
0
Баллы
1
#7
Тогда выбирайте крупного, например Azure, на их инфраструктуре можно настроить довольно серьезную защиту. В том числе и зашифровать диски.
Timeweb крупный? Просто планирую там размещаться.
 
Сверху Снизу