- בלוג
- אחסון אתרים בטוח
אחסון אתרים בטוח
אחסון אתרים בטוח
פורסם ב 03-09-2019
אחסון אתרים בטוח הינו אחד משיקולי הדעת הקריטיים ביותר עבור לקוח אחסון אתרים בכל צורה: אחסון אתרים שיתופי, אחסון אתרים ריסלר, אחסון אתרים VPS ואחסון אתרים בשרת ייעודי. מלבד העלות והמפרט, כל תכניות אחסון אתרים אלו מבוססות על אמון הלקוח בחברת האחסון.
אחסון אתרים שהוא בטוח, מהווה אבן בוחן ואבן יסוד לשקט הנפשי הדרוש ללקוח אחסון אתרים על מנת לקדם את מטרותיו העסקיות כשהוא סמוך ובטוח כי חברת האחסון מאבטחת פרו אקטיבית הן את מערך השרתים שלה והן את היישומים המקוונים שהיא מאחסנת וברגע האמת, גם תדע ותוכל לתת מענה אבטחה יעיל לאיומים וסיכונים. יחד עם זאת, יש לקחת בחשבון כי מושג “בטוח” אינו מתייחס אך ורק לסיכוני אבטחה חיצוניים כגון פריצה לשרת או לאתר, אלא גם לסיכונים הקשורים, בעיקר באחסון אתרים שיתופי, למצבים בהם עלולה פעילות של אתר אחד לסכן את המשך הפעילות של יתר האתרים המאוחסנים באותו שרת.
אחסון אתרים מאובטח הינו אחריות הדדית של בעל האתר ושל חברת האחסון. באחריות בעל האתר לפעול באופן יעיל ושוטף לאבטחת האתר או היישום המקוון שלו: התקנת עדכוני אבטחה, שימוש בתוספים בטוחים ועדכניים, הטמעת מעגלי אבטחה ומידור משתמשים רשומים, בקרה שוטפת וכדומה. באחריות חברת האחסון לפעול באופן יעיל ושוטף לאבטחת שרתי האחסון שלה ולנקיטת אמצעים פרו אקטיביים ואמצעים בזמן אמת לסילוק סיכוני אבטחה הן בצד השרתים והן בצד אתר הלקוח.
אין ספק כי המוניטין של חברת אחסון אתרים עשוי לשמש קרקע נוחה להתקשרות עסקית עימה, אולם יחד עם זאת קיימים גורמים נוספים אשר מומלץ לבחון על מנת להסיק כי חברת האחסון מספקת אחסון אתרים בטוח. במאמר זה נסקור את הגורמים אשר יש לבדוק על מנת לאשר כי חברת אחסון אתרים אכן מספקת אחסון אתרים בטוח.
מוניטין חברת האחסון
אחסון נמדד בראש ובראשונה במוניטין של חבת האחסון וכן בוותק שלה בתחום אחסון אתרים. מומלץ מאד לבדוק כמה זמן פעילה חברה בתחום אחסון אתרים היות והדבר עשוי להעיד על הניסיון המצטבר שלה בהתמודדות עם סיכוני אבטחה ועל היכולת של צוות התמיכה הטכנית שלה לנטר ולהגיב בזמן אמת לסיכוני אבטחה.
אחסון אתרים אמין ובטוח ניתן לבדיקה באמצעות אתרים ייעודיים לביקורות אודות חברות אחסון אתרים וכן על ידי פנייה ישירה ללקוחות החברה לצורך קבלת חוות דעת ממקור ראשון. כמו כן, מומלץ לשאול את חברת האחסון שאלות אודות אופן ההתמודדות של צוות התמיכה הטכנית עם סיכוני אבטחה ואופן הטיפול של הצוות בסיכונים כאלו. למשל, ניתן לשאול: “אילו אמצעים או מנגנונים אתם מפעילים כדי להבטיח ללקוחות שלכם אחסון אתרים מאובטח?”, “מהן הפעולות בהן אתם נוקטים במידה ומתגלה פרצת אבטחה בשרת או באתר?”, “האם כלקוח אני יכול להיות בטוח מפני גישה לשרת ולאתר ממדינות עוינות לישראל ובה בעת, במידה ואזדקק לגישה מחוץ לישראל – אוכל לבצע זאת?”. יש לציין כי חברת אחסון אתרים ותיקה ובעלת מוניטין טוב, תענה על שאלות אלו ואף שאלות נוספות, באופן מקצועי ומפורט על מנת להבטיח ללקוח כי תכנית האחסון שלו מבוססת על אחסון אתרים בטוח בצד השרת. כמו כן יש לצפות כי חברת האחסון תשאל אודות האתר או היישום המקוון של הלקוח ותוודא כי הוא עומד בסטנדרטים הדרושים לאבטחה.
אחסון אתרים אמין ובטוח מתבסס על שאלות קדם מכירה רבות מאלו שצוינו לעיל. חברות אחסון אתרים מנוסות תצגנה באתרן מאגר ידע הכולל את כל השאלות הנוגעות לתחום וכמובן, את התשובות לשאלות אלו. בצורה זו יכולים לקוחות החברה בפועל וכן לקוחות פוטנציאליים לקבל מענה מפורט לכל שאלת אבטחה העולה על דעתם. לרשותכם מאגר ידע באתר ג’טסרבר הכולל שאלות נפוצות בתחום אבטחת אתרים וכן תשובות מפורטות לשאלות אלו.
ניטור, בקרה ומידור
אחסון אתרים בטוח בצד חברת האחסון חייב לכלול מערכת יעילה לניטור ובקרת האבטחה, הן של השרת והן של אתרי האינטרנט המאוחסנים בו – מפני סיכוני אבטחה חיצוניים וגם סיכוני אבטחה פנימיים. נסביר להלן את היבט הניטור והבקרה:
1) ניטור ובקרת התעבורה בשרת האחסון: על מנת לעמוד בסטנדרטים של אחסון אתרים אמין ובטוח, על חברת האחסון להפעיל מערכת ניטור אוטומטית המבקרת באופן קבוע את התעבורה היוצאת מהשרת ובייחוד את התעבורה הנכנסת אליו. ניסיונות פריצה לשרת יאופיינו בתעבורה גבוהה המנסה לגשת לשרת האחסון, לרוב על ידי מתקפות Brute Force, מתקפות DDoS, הזרקת SQL ומתקפות XSS. על מערכת הניטור להתריע לצוות התמיכה הטכני של חברת האחסון ובתגובה, עליו לבדוק ולוודא את הלגיטימיות של תעבורה נכנסת זו. במידה והיא אינה לגיטימית, יש לקטוע אותה ולחסום את מקורות הגישה.
2) מניעה מראש של גישה לשרת ולאתרים ממדינות עוינות לישראל: ידוע כי קיימות לא מעט מדינות עוינות לישראל ורוב מתקפות הרשת מגיעות מהן. על מנת ליישם סטנדרטים הגבוהים של אחסון ,על חברת האחסון למנוע מראש גישה לשרת ולאתרים המאוחסנים בו, ממדינות אלו. יחד עם זאת, קיימים מצבים בהם על בעל אתר או יישום מקוון לאפשר גישה ממדינה (לאו דווקא עוינת), על מנת לבצע פעולות תכנות או תחזוקה באתר שלו או ביישום המקוון שלו. אחסון אתרים שדואג לאבטחה יאפשר ללקוח לתת גישה זמנית לכתובת IP מסוימת, תוך רישום הסיבה למתן גישה זו. כמו כן, יתאפשר ללקוח לבטל את הגישה באופן עצמאי בסיום העבודה.
3) מניעת גישה לתיקיות ניהול האתר מחוץ לישראל: אחסון אתרים טוב ימנע מראש גישה לתיקיות הניהול של מערכות ניהול תוכן (בג’ומלה למשל, לתיקיית administrator). רוב הסיכויים שאתר המאוחסן בישראל גם ינוהל מישראל ולכן אין סיבה לאפשר גישה לתיקיית הניהול מחוץ לישראל. פעולה פרו אקטיבית זו עשויה למנוע באופן מוצלח ניסיונות פריצה לפאנל ניהול האתר.
4) ניהול ותחזוקה שוטפת של חומרה ותוכנה: על חברת האחסון לנהל שגרה של התקנת עדכוני אבטחה במערכות ניהול השרתים, ניהול חומת אש ושדרוג תוכנות אבטחה הפועלות בסביבת שרת האחסון.
5) ניטור ובקרת אבטחה של אתרים המאוחסנים בשרת: כפי שצוין קודם, מתחלקת האחריות בין בעל האתר לבין חברת האחסון. תפקידו של בעל האתר הינו לפעול באופן יעיל ורצוף בכל האמצעים הדרושים לאבטח את האתר שלו או את היישום המקוון שלו מפני פריצה. חשוב להבין כי פריצה לאתר אחד בשרת אחסון אתרים שיתופי, אפילו עקב מתן הרשאות גישה שגויות לתיקיות וקבצים, עלולה להוביל לפריצה ליתר האתרים ולשרת האחסון. לפיכך, תפקידה של חברת האחסון במישור זה, על מנת להבטיח אחסון אתרים בטוח לכלל האתרים בשרת האחסון השיתופי, הינה לנטר ולבקר את האתרים עצמם ואת היישומים המקוונים ולזהות פרצות אבטחה פוטנציאליות וכן פרצות אבטחה בפועל. מכאן, לאחר הבאת הדברים לידיעת בעל האתר, על חברת האחסון לוודא כי אכן ביצע את הדרוש למניעת הסיכונים הללו.
6) ניטור ובקרת ניצול משאבים על ידי אתרים המאוחסנים בשרת: מעבר לניטור ובקרת האבטחה של האתרים, תפקידה של חברת אחסון אתרים במסגרת פעילותה לשימור אחסון אתרים בטוח, הינו לבקר את ניצול משאבי השרת (זיכרון, מעבד, תעבורה) על ידי אתרים באחסון אתרים שיתופי. חשוב להבין כי אתר אחד החורג באופן קיצוני בניצול משאבי השרת השיתופי, עלול להפיל את השרת כולו ולגרום בכך להשבתה של כל אתרי האינטרנט המאוחסנים בשרת זה.
7) על מנת לשמר אחסון בטוח, על חברת האחסון לנטר ולבקר את צריכת משאבי השרת של האתרים ובמידה ומתגלה אתר אשר פעילותו מסכנת את יתר האתרים – להפסיק את פעילותו עד לתיקון המצב.
8) סריקות לאיתור נוזקות: ניטור ובקרה על ידי חברת אחסון אתרים יכללו גם סריקות קבועות של אתרי האינטרנט המאוחסנים אצלה, לגיבוי נוזקות וסקריפטים זדוניים העלולים להפעיל דלתות אחוריות או פצצות זמן. אחסון אתרים בטוח אצל חברת אחסון אתרים מקצועית ישען במידה רבה על היכולת שלה לגלות מבעוד מועד נוזקות, פרצות אבטחה וסיכוני אבטחה נוספים שהגיעו לשת האחסון ולאתרים שבו בדרך זו או אחרת.
טיפול בסיכונים
אחסון אתרים בטוח מהווה הן עבור הלקוח והן עבור חברת האחסון, בסיס איתן להתקשרות ארוכת טווח. בסעיף הקודם תואר ההיבט הפרו אקטיבי של אחסון אתרים בטוח וכעת נתייחס לאופן הטיפול בזמן אמת בסיכוני אבטחה המאיימים על שרתי אחסון אתרים ועל אתרי אינטרנט.
אחסון אתרים בטוח נשען על מערכות הניטור והבקרה ובזמן אמת דואג לנטרול האיום באמצעות חסימת כתובת ה – IP ממנה הוא מגיע. חסימת הגישה העוינת לשרת האחסון או, לאתר אחד או למספר אתרים המאוחסנים בו, תפסיק מיידית את ניסיון הפריצה או תעצור את הפריצה לפני גרימת נזק. השלב הבא של חברת האחסון יהיה לתחקר את האירוע ולהפיק ממנו לקחים על מנת להוסיף לניסיון המצטבר של צוות התמיכה הטכני ולמנוע (ככל האפשר) הישנות של מקרה כזה או דומה לו.
אחסון אתרים, עלול שלא לעמוד במתקפות מסוימות או להצליח להדוף אותן באופן חלקי. יש לציין כי גם אחסון אתרים בטוח ב- 99% לא יהיה מסוגל לעמוד – תמיד – בכל מתקפה – בכל סדר גודל – מכל סוג. לפיכך, אחד התפקידים של חברת אחסון אתרים הינו להעמיד לרשות לקוחותיה מערכת גיבויים אוטומטית אשר מגבה באופן שוטף את כל קבצי האתר, את בסיסי הנתונים של האתר ואת תיבות הדוא”ל בחשבון. במצב זה, גם אם קרה הגרוע מכל, ניתן יהיה לשחזר במהירות את האתר או את היישום המקוון ולהשיבו לפעילות סדירה ברשת האינטרנט.