iT邦幫忙

0

關於架設web server 問題

目前我司計劃在未來將會架一個web server
但由於小弟我己經很久沒有架設了
想問一下各位大大,架設web server 要如何去管制資安的問題
因為db中將會存在敏感資訊
目前預計會有的硬體架構
1.fortigate firewall
2.esxi server(兩個VM:ap/db)

而整個需求是
1.會約1000人同時上線的可能
2.約100人同時上傳檔案

而在安全規劃上
1.不註冊dns,只給相關單位連線的ip
2.使用者要連網時,使用sslvpn進行連線
3.建立client ip白名單,除了這些IP以外,其他都不能訪問
4. 只允許使用https 連線
5. 利用mcafee 存取保護防止網頁被修改
6. 申請中華電信IPS服務以及開啟fg的ips

不知這樣的防護是否足夠
又有什麼地方需要加強的呢?
再麻煩各位大大給我意見,謝謝

1 個回答

4
raytracy
iT邦大神 1 級 ‧ 2014-10-23 00:12:50
最佳解答

這是個很大的議題, 通常你所付出的代價, 應該要跟你 (遺失資料的代價 x 風險發生機率) 成正比, 如果花費 1000 萬去保護 (價值只有 100 萬的資料 x 風險機率只有 0.0001%), 這樣是一種過當且沒有意義的保護.

所以, 在了解你所面對的資料價值與風險機率之前, 我沒有辦法做出精確的建議.

只不過, 就您的想法來看, 這裡提供一些不同的意見, 您可以再想想對策:

  1. 您要用戶以 SSLVPN 先連線, 如此一來, Hinet 外層的 IPS 就當場失效了, 因為 IPS 無法幫你檢查: 已經被 VPN 加密過的傳輸內容, 當然就無法辨別是否有不當的行為

  2. 原理同上, 我也不確定 Fortigate 的 IPS, 能否檢查被 SSLVPN 加密過的傳輸?

  3. 即便你層層加密, 但若用戶端中了木馬程式, 從他的PC側錄到他登入時所敲入的鍵盤 Keystroke, 那加密還有用嗎? 是否考慮採用:只能用滑鼠點選的動態鍵盤?

  4. 如果您的服務協定是 HTTP/HTTPS 的話, IPS 可能會跑出太多的假警報把你整到翻, 為何不考慮用 Web Application Firewall (WAF) 做更深度且精準的保護? 這裡有簡單的說明:Intrusion Detection FAQ: What is the difference between an IPS and a Web Application Firewall?

  5. Client IP 白名單當然可以降低很多風險, 但您確定所有 User 都可以用他專屬的固定 IP 上來嗎? 中間都沒有經過 NAT 設備嗎? (例如: 同一個單位內的不同人要來連線? 現在要上 Internet 很少不經過 NAT 設備的)

  6. 只用 ID/PW 一種方式來驗證身分嗎? 有沒有考慮發放每個 Client 專用的 PKI 數位憑證? (你可以自己發憑證, 或採用現成的 PKI 如自然人憑證, 健保卡...等) 或是採用雙因認證? (Two-factor Authentication)

  7. 要驗證整個 Web site 是否有漏洞, 有很多專門做弱點檢測的公司或軟體可以幫你檢查, 雖然也有免費的, 不過通常免費的查不出太多漏洞, 有用的,要錢的又很貴; 所以這又回到最前面的問題: 你應該要花多大的代價, 去保護這些資料?

  8. 你的敏感資料是在 DB 內, 不是在網頁內, 有沒有考慮在 AP <-> DB 之間, 多加一道防火牆? 你是否有工具可以防止 AP 被操縱成 SQL Injection 或 XSS 攻擊?

  9. 你願意花比較多的代價在: 精確辦認 Client 身分? 還是用在: 防止惡意的存取? 通常只要特別加強其中一項, 另一項就可以稍微放鬆一點, 這樣可以達到預算的平衡; 否則, 如果你兩方面都想抓到最高標準的話, 可能會付出兩倍的代價, 卻只得到一倍的效果...

你用過銀行給公司行號使用的 EDI 電子轉帳嗎? 那個轉帳如果被破解, 損失可不小, 公司的錢可能都被轉走了; 可是, 大部分銀行, 只用了一個單純的 PKI 架構, 就足以杜絕掉被惡意轉帳的問題.

這個問題沒有絕對唯一的答案, 任何方案是否適用, 取決於你們對資料價值的認定.

看更多先前的回應...收起先前的回應...
dicky9055 iT邦新手 5 級 ‧ 2014-10-23 08:46:10 檢舉

感謝大大的熱心回覆..真是受益良多...
首先,資料對我們來說是非常重要的,但公司整個建置經費,軟/硬體約只有100多萬(含SERVER/FIREWALL/OS/MSSQL LICENSE)
1.所以若走sslvpn看來那些IPS應都會失效了...
2.大大真的提供了我沒有想到的建議,利用動態鍵盤去輸入帳密
3.WAF 這個我們也有考慮,但好像聽說都蠻貴的,要五十以上,我司可能較負擔不起..不知有沒有便宜又大碗的..
4.只用 ID/PW 一種方式來驗證身分嗎? 有沒有考慮發放每個 Client 專用的 PKI 數位憑證? (你可以自己發憑證, 或採用現成的 PKI 如自然人憑證, 健保卡...等) 或是採用雙因認證? (Two-factor Authentication)<=======這個部份要怎麼實現呢?因為我只是網管,想了解一下程式面要怎麼實現,以利我去和程式人員討論..

5.在DB/AP之間再加裝防火?這部份想問一下,主要的目的是?因為ap與db會在同一個肚子裡..也就是我們SERVER會變成VMWARE HOST,DB/AP會在同一台同一位置..只是我在想需要需要在db/ap之間的連線是用HOST-ONLY來連,而AP/FIREWALL之間是用綁在網路卡上的方式,這樣是否會比較安全呢?...目前沒有設備可以去防止大大說的攻擊...所以昨天才跑去問廠商waf的價格..但聽說都蠻貴的...

6.目前公司最想要防止的是惡意的存取,所以也想要了解一下在db端我可以怎麼做呢?

Kevin iT邦新手 4 級 ‧ 2014-10-23 09:56:11 檢舉

不知道您是用什麼語言去寫網頁
若以c#來說
不知道webservice能不能降低網頁與資料庫的風險?
用丟跟接的方式

http://www.dotblogs.com.tw/marcus116/archive/2011/08/28/34524.aspx

dicky9055 iT邦新手 5 級 ‧ 2014-10-23 10:46:28 檢舉

to mvadio
我若沒看錯的話他們應是用C#開發的
但因為那不是我開發的,所以可能要問一下他們才知他們是走什麼方式

tibandyli iT邦新手 2 級 ‧ 2014-10-23 11:01:38 檢舉

iT邦幫忙MVPraytracy提到:
SSLVPN

FG是可以定義開啟IPS在SSLVPN連入後的連線,只要Server有正確定義在dmz端區隔開來。

dicky9055 iT邦新手 5 級 ‧ 2014-10-23 13:45:41 檢舉

to tibandyli
sslvpn我們也是有想過,但我們公司的model目前最多只能允許300人連線

我要發表回答

立即登入回答