Reading Time: 6 minutes

Bảo mật cloud là việc bảo vệ dữ liệu, ứng dụng và cơ sở hạ tầng khỏi các truy cập trái phép, sử dụng, tiết lộ, sửa đổi, phá hủy hoặc gián đoạn trong môi trường điện toán đám mây. Việc bảo mật cloud là vô cùng quan trọng vì nó giúp bảo vệ tài sản trí tuệ, thông tin nhạy cảm và dữ liệu quan trọng của doanh nghiệp.

Làm thế nào để bảo mật server?

Bảo mật cloud hoạt động bằng cách sử dụng nhiều biện pháp kỹ thuật và phi kỹ thuật để bảo vệ dữ liệu, ứng dụng và cơ sở hạ tầng. Một số biện pháp bảo mật cloud phổ biến bao gồm:

• Kiểm soát truy cập: Chỉ cho phép những người dùng được ủy quyền truy cập vào dữ liệu, ứng dụng và cơ sở hạ tầng.
• Mã hóa: Mã hóa dữ liệu khi lưu trữ và khi truyền tải để bảo vệ dữ liệu khỏi truy cập trái phép.
• Giám sát: Theo dõi hoạt động của hệ thống để phát hiện các hoạt động đáng ngờ.
• Quản lý rủi ro: Xác định, đánh giá và giảm thiểu rủi ro bảo mật.

Xem thêm: Báo cáo tình hình lộ lọt dữ liệu và thông tin nhạy cảm 6 tháng đầu năm 2024

Các tip bảo mật cloud server

Dưới đây là một số tip bảo mật cloud server hữu ích dành cho system admin:

1. Sử dụng mật khẩu an toàn

Mật khẩu yếu là kẻ thù số một của an ninh mạng. Sử dụng mật khẩu mạnh là điều tiên quyết để bảo mật server của bạn. Hãy chỉnh sửa file /etc/login.defs để thiết lập thêm các ràng buộc về mật khẩu cho hệ thống. Điều này sẽ giúp tăng độ phức tạp của mật khẩu. Từ đó, giúp nâng cao tính bảo mật cho hệ thống và giảm thiểu nguy cơ bị tấn công.

Nguyên tắc tạo mật khẩu an toàn:

• Sử dụng tối thiểu 8 ký tự, kết hợp cả chữ hoa, chữ thường và số.
• Tránh sử dụng từ ngữ trong từ điển hoặc ngày tháng dễ đoán.
• Sử dụng công cụ như JTR cracker để kiểm tra độ an toàn của mật khẩu.
• Cài đặt pam_passwdqc để đo độ mạnh của mật khẩu.

Hãy nhớ rằng, mật khẩu chính là chìa khóa bảo vệ dữ liệu và hệ thống của bạn. Hãy đầu tư thời gian để tạo mật khẩu mạnh và bảo mật server của bạn một cách hiệu quả nhất.

Cần thực hiện:

• Thay đổi mật khẩu thường xuyên, tốt nhất là sau mỗi 3 tháng.
• Không sử dụng cùng một mật khẩu cho nhiều tài khoản khác nhau.
• Sử dụng xác thực hai yếu tố (2FA) để tăng cường bảo mật.
• Lưu trữ mật khẩu an toàn, tránh ghi chép trực tiếp.

Các mật khẩu hiện tại bạn đang sử dụng liệu có an toàn, hãy sử dụng công cụ Password health checker miễn phí của Locker để kiểm tra

2. Bảo mật SSH

Để bảo mật cloud tốt hơn, hãy chuyển đổi truy cập SSH sang một cổng khác. Điều này sẽ làm hacker khó phát hiện và bảo mật cổng SSH hơn. Thay đổi cổng mặc định bằng cách chỉnh sửa file cấu hình /etc/ssh/sshd_config.

Lưu ý khi lựa chọn cổng mới:

• Sử dụng cổng có số nhỏ hơn 1024, đảm bảo chưa được sử dụng cho dịch vụ khác. Lý do: Cổng dưới 1024 là “cổng đặc quyền”, chỉ root user mới có thể truy cập. Cổng từ 1024 trở lên là “cổng không đặc quyền”, ai cũng có thể sử dụng.
• Bắt buộc sử dụng SSHv2 vì SSHv1 không còn an toàn.
• Chỉnh sửa file /etc/ssh/sshd_config, thay đổi dòng #Protocol 2,1 thành Protocol 2.

Bằng cách thực hiện các bước trên, bạn sẽ:

• Giảm nguy cơ bị quét tự động tấn công SSH.
• Hạn chế truy cập trái phép từ những người dùng không có thẩm quyền.
• Nâng cao mức độ bảo mật cho server của bạn.

Lưu ý:

• Sau khi thay đổi cổng, hãy cập nhật thông tin cổng mới cho các client thường xuyên truy cập SSH server của bạn.
• Kết hợp với các biện pháp bảo mật khác như sử dụng mật khẩu mạnh, bật tường lửa để bảo vệ server toàn diện hơn.

3. Bảo mật Apache

• Sử dụng ModSecurity™ để bảo vệ Apache khỏi các cuộc tấn công phổ biến như tấn công chèn mã độc (XSS), tấn công SQL injection,…
• Cấu hình ModSecurity™ trong WHM: Home >> Security Center >> ModSecurity™ Configuration.
• Sử dụng suEXEC hoặc suPHP để đảm bảo các ứng dụng CGI và script PHP chạy dưới quyền hạn của người dùng đã đăng ký, giúp truy vết nguồn gốc và hạn chế thiệt hại khi có script độc hại.
• Cấu hình suEXEC trong WHM: Home >> Software >> EasyApache (Apache Update).
• Cấu hình suPHP trong WHM: Home >> Software >> EasyApache (Apache Update) hoặc chạy script /scripts/easyapache từ command line.

4. Gia cố hệ thống (phân vùng /tmp)

• Gắn một phân vùng /tmp riêng biệt với tuỳ chọn nosuid để hạn chế việc chạy các chương trình độc hại với quyền root.
• Gắn thư mục /tmp với noexec sau khi cài đặt cPanel và WHM để ngăn chặn việc thực thi các tập lệnh độc hại.
• Sử dụng script /scripts/securetmp để tạo một file tạm thời cho phân vùng /tmp nhằm mục đích dự phòng.
• Nếu không muốn sử dụng script /scripts/securetmp, hãy tạo file /var/cpanel/version/securetmp_disabled để vô hiệu hóa script này. Lưu ý: Không nên vô hiệu hóa script /scripts/securetmp hoàn toàn.

Lưu ý:

• Cập nhật Apache và các module thường xuyên để vá các lỗ hổng bảo mật.
• Sử dụng mật khẩu mạnh cho các tài khoản truy cập Apache.
• Giám sát hoạt động của Apache để phát hiện các hoạt động đáng ngờ.

5. Hạn chế các trình biên soạn hệ thống

• Trình biên soạn C và C++ thường không cần thiết cho hầu hết người dùng.
• Vô hiệu hóa quyền truy cập trình biên soạn cho các tài khoản không thuộc nhóm “compiler” bằng file /etc/group.
• Sử dụng giao diện WHM’s Compiler Access (Home>>Security Center>>Compiler Access) hoặc lệnh /scripts/compilers off để tắt trình biên soạn.

6. Bật tường lửa

• Cài đặt tường lửa để giới hạn truy cập đến server và ngăn chặn truy cập trái phép.
• Gỡ cài đặt các phần mềm không sử dụng trước khi bật tường lửa để tránh truy cập không mong muốn.

7. Tắt service và daemon không dùng đến

• Vô hiệu hóa các service và daemon không sử dụng để giảm nguy cơ bị tấn công.
• Sử dụng giao diện WHM’s Service Manager (Home >> Service Configuration >> Service Manager) để quản lý service và daemon.

8. Cập nhật thường xuyên

• Sử dụng phần mềm phiên bản mới nhất để tránh các lỗi bảo mật và đảm bảo an toàn cho hệ thống.
• Cập nhật thường xuyên các thành phần sau:
  • Kernel
  • Phần mềm hệ thống
  • Ứng dụng người dùng (bulletin boards, CMS, blog engines,…)
  • cPanel & WHM
• Sử dụng giao diện WHM’s Manage cPAddons Site Software (Home >> cPanel >> Manage cPAddons Site Software) hoặc WHM’s Update Preferences (Home >> Server Configuration >> Update Preferences) để cập nhật phần mềm.

9. Giám sát hệ thống

• Theo dõi hoạt động của hệ thống để phát hiện các dấu hiệu bất thường và mối đe dọa tiềm ẩn.
• Sử dụng các lệnh sau thường xuyên để kiểm tra hệ thống:
  • netstat –anp: Kiểm tra các cổng và chương trình lạ.
  • find / \\( -type f -o -type d \\) -perm /o+w 2>/dev/null | egrep -v ‘/(proc|sys)’ > world_writable.txt: Tìm kiếm các file có quyền truy cập “world writable”.
  • ls /var/log/: Kiểm tra các log hệ thống, log Apache, log mail và các log khác để phát hiện lỗi và truy cập trái phép.
  • find / -nouser -o -nogroup >> no_owner.txt: Tìm kiếm các file không có chủ sở hữu hoặc nhóm sở hữu.

Để bảo mật các thông tin truy cập quan trọng như SSH, API key, port, certificate,… hệ thống của bạn, hãy tham khảo các công cụ quản lý dữ liệu bí mật chuyên nghiệp như Locker Secrets Manager.

Kết luận

Bảo mật cloud là một công việc không hề dễ dàng và đòi hỏi rất nhiều công sức. Tuy nhiên, bằng cách thực hiện các phương pháp được đề cập trong bài viết này, bạn có thể giúp bảo mật server và dữ liệu quan trọng của mình khỏi các mối nguy hại trên mạng.

Nội dung liên quan: Tiềm ẩn nguy cơ an ninh mạng do API lưu hardcode