Bezpieczny hosting: jak wybrać? Na co zwrócić uwagę?
Być może dotychczas sądziłeś, że zapewnienie bezpieczeństwa Twojej strony internetowej przez firmę hostingującą to kwestia raczej drugorzędna, znajdująca się daleko w tyle za płynnością i szybkością przepływu danych, czy za oferowanymi technologiami, jak MySQL. Warto jednak przez moment pochylić się nad tą kwestią i pomyśleć: firma hostingowa, przechowując informacje i udostępniając je w sieci, ma wszystkie dane samej witryny, a tym samym Twoje dane, ale i dane wrażliwe Twoich Klientów. Jeśli jest to sklep internetowy, to poza adresem e-mail w grę wchodzą numery telefonów, nazwiska i adresy zamieszkania, przez co sprawa się nieco komplikuje, gdy dojdzie do cyberataku na stronę i dane — niedostatecznie chronione — po prostu z niej wyciekną.
Biorąc pod uwagę zwiększającą się ilość takich ataków na poufne informacje o klientach, przebiegłość hakerów oraz ich zwiększające się możliwości i umiejętności, chcąc prowadzić stronę www, trzeba rozsądnie podejść również do zagadnienia bezpiecznego hostingu.
Co należy rozumieć przez pojęcie „bezpieczny hosting”?
Aby można w ogóle zacząć mówić o bezpiecznym hostingu plików, trzeba wiedzieć, jakie główne obszary trzeba zabezpieczać oraz w jaki sposób robić to najlepiej. Tę ostatnią kwestię oczywiście można pozostawić specjalistom od zabezpieczeń, których zatrudniają wszystkie szanujące się firmy hostingowe.
Strona internetowa jako taka składa się z wielu elementów i każdy z nich wymaga pod względem bezpieczeństwa innego potraktowania. Chodzi tu między innymi o zabezpieczenie poczty e-mail, a więc całej poufnej korespondencji z klientami, niezakłócony niczym transfer plików na serwer, panel sterujący, no i oczywiście prawnie wymagana zgodność z europejskim RODO. To jednak dopiero czubek góry lodowej, jeśli chodzi o ochronę, jakiej wymaga dzisiaj każda podstawowa strona www.
Różne formy zabezpieczenia hostingów
Korzystanie z niektórych rozwiązań i technologii jest dzisiaj rozumiane jako standard, o wszystkich innych musisz pomyśleć samodzielnie lub znaleźć firmę hostingową, która zadba o odpowiedni poziom zabezpieczeń i zaproponuje optymalne rozwiązania. Rozmawiając o formach zabezpieczenia hostingów, warto zacząć od najbardziej oczywistych i ogólnych kwestii.
Szyfrowane połączenia, czyli certyfikat SSL
Coraz więcej firm hostingowych umożliwia swoim klientom korzystanie z darmowych certyfikatów Let’s Encrypt. Szyfrowane połączenie, jakie kryje się pod nazwą „certyfikat SSL”, w praktyce oznacza, że w czasie przesyłu danych z serwera do serwisu i między serwisem a przeglądarką gości strony www, treści zamieszczone na niej nie będą mogły zostać zmienione ani wykradzione. Każda szyfrowana za pomocą certyfikatu SSL strona w pasku przeglądarki będzie się zaczynać od: https://. Czy warto decydować się na ten krok? W dobie rosnącej świadomości konsumentów dotyczącej bezpieczeństwa danych może być to niezbędne, aby w ogóle funkcjonować w sieci – szczególnie dlatego, że przed wejściem na niezabezpieczone certyfikatem strony wyświetla się informujący o tym fakcie komunikat. To punkt, w którym pewnie część przeglądających w ogóle zrezygnuje z zajrzenia na stronę.
Zabezpieczenia serwerów DNS
Domain Name System, czyli w skrócie DNS, pozwala korzystającemu z sieci użytkownikowi znaleźć się na konkretnej stronie dzięki wpisaniu w pasku przeglądarki konkretnej nazwy, a nie IP witryny, co znacznie ułatwia i przyspiesza poruszanie się po internecie. Przeciętnemu użytkownikowi pewnie nawet trudno sobie wyobrazić konieczność pamiętania IP stron, które chce odwiedzić.
Co jednak trzeba rozumieć pod pojęciem zabezpieczenia domeny DNS, oferowanej dzisiaj przez firmy hostingowe głównie w dwóch wariantach? Jedną z metod zabezpieczenia jest ochrona DNSSEC, wykorzystywana w przeważającej ilości przypadków. Celem jest uniemożliwienie przekierowania strony na inną, na przykład fałszywą, co często się dzieje w przypadku stron banków. Działa to na zasadzie uwierzytelnienia, czyli DNSSEC — zanim pozwoli na przekierowanie do wpisanego adresu, upewnia się, że IP strony się zgadza i jest poprawnie zlokalizowane. Druga możliwość działa bardziej globalnie – DNS Anycast gwarantuje nieprzerwany dostęp do treści na stronie nawet w chwili, gdy jeden z serwerów ulegnie awarii, inny natychmiast przejmuje jego rolę.
Ochrona WAF i separacja stron
Do ochrony witryny można wykorzystać jeszcze dwa inne narzędzia, w tym ochronę Web Application Firewall, polegającą na blokowaniu nieodpowiednich treści. Nieodpowiednich, czyli tak zwanych niepożądanych, rozsyłanych za pomocą nieszyfrowanego protokołu HTTP, ale czasem i HTTPS. Zadaniem takich zabezpieczeń jest niedopuszczenie do wykradzenia danych, czy wykorzystania Twojej strony do działań przestępczych dzięki filtrowaniu, a następnie blokowaniu złośliwych zapytań, które trafiają pod Twój adres www. Ochrona ta jest skuteczna w przypadku takich ataków, jak SQL Injection, Cross Site Scripting czy Directory Traversal.
Równie ważna jest separacja stron. Jeśli dojdzie już do zainfekowania złośliwym oprogramowaniem przez niezaktualizowaną wtyczkę, czy stary szablon, „infekcja” nie rozniesie się na całą stronę. Jest to możliwe dzięki indywidualnemu, separatystycznemu traktowaniu każdego katalogu, jaki przynależy do danej domeny. Trzeba jedynie pamiętać, że podczas wykonywania aktualizacji, czy przy wszelkiego rodzaju instalacjach, konieczne będzie wyłączenie tej bariery ochronnej.
Bezpieczna poczta e-mail
Ta kwestia jest szczególnie ważna dla sklepów internetowych oraz firm, dla których wirtualna skrzynka pocztowa jest bazą utrzymywania kontaktu z klientami. To podstawowe miejsce „pracy” hakerów, wykorzystujących pocztę do ataków phishingowych. Wysyłane przez nich wiadomości trafiające do skrzynek Twoich klientów do złudzenia przypominają te autentyczne, rozsyłane przez powszechnie znane, duże przedsiębiorstwa, np. dystrybuujące prąd lub gaz. Bardziej złośliwym rodzajem działania ze strony przestępców będzie podszywanie się pod Twój własny adres pocztowy i rozsyłanie z niego fałszywych wiadomości.
Właśnie dlatego witryna musi mieć zabezpieczenia. Do popularnie stosowanych należy Sender Policy Framework, czyli bardzo konkretny i specyficzny wpis w systemie DNS. Wykorzystać można też DomainKeys Identified Mail, dzięki któremu wiadomości wysyłane przez Ciebie będą cyfrowo podpisywane i niemożliwe do podrobienia. Sumą dwóch wcześniejszych rozwiązań jest Domain-based Message Authentication, Reporting and Conformance – po wpisaniu odpowiednich komend narzędzie będzie decydowało, co zrobić z konkretnymi wiadomościami e-mail – na przykład tymi, pod którymi nie widnieje Twój cyfrowy podpis.
Jeśli korzystasz z opcji zbierania danych od swoich klientów czy użytkowników strony, automatycznie musisz zadbać też o zgodność hostingu z wymaganiami narzuconymi przez RODO. W telegraficznym skrócie to wszystkie okienka, jakie pojawiają się zaraz po wejściu na wybraną stronę internetową. Jeśli przetwarzasz dane osobowe, Twoim obowiązkiem jest podpisanie umowy o powierzeniu przetwarzanych danych.
Bezpieczny transfer plików na hosting i panel hostingowy
Jeśli jesteśmy już przy kwestii zapewnienia ochrony danych, nie można pominąć bezpiecznego transferu plików na hosting. Popularnie stosowanym protokołem służącym przesyłowi danych jest File Transfer Protocol. Trzeba się jednak dwa razy zastanowić przed wybraniem tej opcji, zamiast SFTP, czyli SSH File Transfer Protocol. Różnica niby niewielka, ale w praktyce pierwsze rozwiązanie oznacza nieszyfrowane przesyłanie wszystkich danych, w tym Twoich loginów, haseł i absolutnie wszystkich danych, jakie są związane z Twoją domeną. Druga opcja jest więc wyjściem znacznie bezpieczniejszym, ponieważ w pełni szyfrowanym, a więc niejawnym dla osób postronnych. Aby korzystać z bezpiecznego transferu plików na hosting, wystarczy, aby firma hostingująca udostępniła Ci linię poleceń.
Warto pamiętać także o bezpieczeństwie panelu hostingowego. Znacznie pewniejsze i zmniejszające ryzyko włamania do panelu są dwupoziomowe uwierzytelnienia dostępu do panelu, czyli Two Factor Authentication. Pierwszym poziomem zabezpieczenia jest standardowo login oraz hasło, a drugim może być wysyłany na Twój numer telefonu kod SMS — zawsze jednorazowy, przekazywany za pomocą stworzonej do tego aplikacji lub klucz U2F.
Ostatnie, ale nie najmniej ważne – kopia zapasowa
Pamiętasz, aby regularnie wykonywać kopię zapasową danych na swoim komputerze? To samo dotyczy Twojej domeny i gromadzonych za jej pośrednictwem danych. W przypadku profesjonalnych firm hostingowych takie sytuacje nie mogą mieć miejsca, ale jeśli dojdzie do – nawet przypadkowego – usunięcia danych z serwerów przez firmę hostingujacą, zostajesz dosłownie z niczym. Zadbanie o posiadanie aktualnej kopii zapasowej danych leży również w Twoim interesie, ponieważ to Twoje zabezpieczenie na wszelkie bliżej nieokreślone ewentualności. Backup możesz wykonać samodzielnie i przechowywać go na komputerze lub w chmurze. Musisz jedynie dowiedzieć się, czy firma hostingująca nie wskazuje konkretnej pory dnia, kiedy możesz takiego zapisu dokonać. Jak często powinno się przeprowadzać zapis kopii zapasowej? Żeby móc spać spokojnie, musisz to robić nie rzadziej, niż raz na dobę, a firma hostingująca powinna takie dane przechowywać przez okres minimum tygodnia.