هاردنینگ سیستم عامل و سخت افزارها

امروزه و در دنیای فناوری و ارتباطات راه دور شکل زندگی و تجارت ما عوض شده است، دیگر خبری از صف های طولانی برای پرداخت قبوض، مسافرت‌های درون و برون شهری برای خرید و …. خبری نیست. همه چیز با چند کلیک و به‌صورت آنلاین انجام می پذیرد در واقع شکل و ماهیت تجارت عوض شده و همه چیز به‌صورت آنلاین انجام می گردد.

حتی دولت‌ها هم به سمت دیجیتالی شدن رفته و در رقابت برای خدمات رسانی راحت‌تر و بهینه به شهروندان خود می‌باشند. اما برای انجام این کارها نیاز به زیرساخت می‌باشد. مانند سرورهای وب، دیتابیس، دیتاسنترها و … که انجام فعالیت‌های مورد نظر را امکان پذیر می‌کنند. زمانی که بحث از ارتباطات آنلاین (برخط) به زبان می‌آید ناخودآگاه ذهن به سمت خطرات و مشکلات امنیتی هم خواهد رفت. در دنیای آنلاین همه چیز خوب و فرشته‌وار نیست. کسانی که به وب‌سایت شما می‌آیند لزوما افرادی که به‌دنبال خرید، گرفتن خدمات و … از سایت شما هستند نیستند! در این میان شیاطین نیز وجود دارند، افرادی که در تلاش برای ضربه زدن به تجارت و خدمات شما هستند.

دلایل زیادی برای ضربه زدن به تجارت آنلاین شما وجود دارد مانند:

رقبای تجاری

دلایل سیاسی

هکرها

تروریست‌ها

مجرمان

کارمندان ناراضی

هر دلیل دیگری که ممکن است وجود داشته باشد

حال با توجه به مخاطرات بالا و درصورتی که تجارت و خدماتتان برای شما از اهمیت ویژه‌ای برخوردار است مطمئنا نمی‌خواهید خدمات آنلاین شما از سرویس‌دهی باز بماند و یا اینکه اطلاعات حساس سازمان و شرکتتان در اختیار رقیبان تجاری و یا شخص ثالثی قرار گیرد. اینجاست که به فکر امنیت اطلاعات خود خواهید افتاد. در بحث امنیت شبکه تجهیزات زیادی هستند که به شما در برقراری امنیت کمک می‌کنند.  همچنین روش‌هایی برای جایگذاری تجهیزات امنیتی در شبکه وجود دارد که نسبت به هم مزایا و معایبی دارند اما، یکی از روش‌های امن سازی شبکه که اتفاقا یکی از بهترین متدولوژی‌های ارائه شده می‌باشد راهکار دفاع در عمق (defence in depth) می‌باشد.

در این متدولوژی به این نکته اشاره می‌شود که برای دفاع از اطلاعات و سرویس‌های با اهمیت خود در شبکه نیاز به چندین سطح دفاعی خواهیم داشت، زیرا هر تک نقطه‌ای دچار ضعف و احتمال شکست خواهد بود. برای درک راحت‌تر مثال مناسب مثال یک قلعه قدیمی می‌باشد:

خندق

دیوار بلند

یک قلعه کوچک‌تر برای پادشاه در دل قلعه بزرگ‌تر و برای زمانی که دشمن از خندق و دیوارهای اولیه عبور کرده است و همچنین حفاظت در برابر دشمنان درون قلعه

و …

در واقع با چندین مکانیزم دفاعی تو در تو سعی داشتند تا خود را از گزند دشمن در صورت عبور از یکی از این مکانیزم‌ها حفظ نمایند.

در شبکه هم، برای برقراری امنیت ما باید چندین سطح دفاعی داشته باشیم ، از جمله فایروال ، سیستم‌های ممانعت از نفوذ ، فایروال برنامه‌های کاربردی یا همان WAF و ضد بد افزارها و …. که پیاده‌سازی این ها کاری زمان‌بر و هزینه‌بر خواهد بود. اما به هر حال برای دفاع از سازمان و یا تجارت که وجودش به خدمات آنلاین ما وابسته است، انجام هزینه در این جهت خود نوعی سرمایه گذاری حساب خواهد شد. اما یکی دیگر از مکانیزم‌های دفاعی که علی رغم کم هزینه بودن نسبت به بقیه مکانیزم‌ها به آن بی‌توجهی می‌شود Hardening سیستم عامل و سرویس‌ها می‌باشد.

باید این نکته را توجه داشته باشید که درست است که سیستم‌عامل‌های امروزی به امنیت کاربران خود اهمیت می‌دهند اما، هدف از پیکربندی اولیه آن‌ها کاربرد عمومی و راحتی در استقرار می‌باشد. چرا که دلیلی وجود ندارد تا کسی که مثلا می‌خواهد لینوکس را به عنوان ایستگاه کاربری نصب کند دغدغه‌های شخصی را داشته باشد که از لینوکس به عنوان سیستم‌عامل سرور استفاده می نماید! پس کاملا واضح هست که کسانی که کار نگهداری و توسعه یک توزیع از لینوکس را انجام می‌دهند، دغدغه‌های هر دو این گروه از افراد را در نظر داشته باشند.

پس این نکته را توجه داشته باشید که سیستم عامل‌ها به هدف کاربری عمومی نوشته و پیکربندی اولیه می‌شوند، اما ما به عنوان افراد متخصص باید در زمان استفاده از سیستم عامل‌ها و یا سرویس‌ها حواسمان به این نکات بوده و براساس نیاز خود به پیکربندی و امن سازی سیستم اهمیت بدهیم. هاردنینگ سرویس‌ها و یا سیستم‌عامل کاری سخت و حرفه‌ای بوده و برای انجام این کار شما نیاز به فردی دارید که شناخت خوبی نسبت به امنیت ، راه‌های نفوذ به شبکه  و سیستم عامل‌ها و سرویس‌ها داشته باشد، که مطمئنا چنین شخصی فردی با تجربه و قوی در حوزه IT و امنیت اطلاعات خواهد بود. به دلیل اینکه برخی از مکانیزم‌های هاردنینگ پیاده سازی ساده‌ای دارند اما برخی دیگر بر روی عملکرد (performance) و یا کارایی سیستم تاثیر خواهند گذاشت پس بنابراین شخص مورد نظرتان باید بداند که چه کاری با توجه به تجارت و خدمات شما انجام بدهد و چه کاری را نه!

هاردنیگ بسیار فراتر از نصب وصله‌های امنیتی و انتخاب کلمه عبور مناسب و … هست که برخی از افراد به آن اشاره می‌کنند. در این بین مستندات زیادی از طرف موسسات امنیتی مطرح و بزرگ مانند CIS در مورد هاردنینگ سرویس‌ها و یا سیستم‌عامل‌های مختلف وجود دارد.

اگر تجربه یا دانش کافی در این زمینه را ندارید می‌توانید از خدمات تیم “داده پردازی هوشمند کندو” جهت انجام هاردنینگ، بدون دغدغه‌های قطعی سرویس استفاده نمایید. لازم به ذکر است در برخی از شرایط زدن این دستورات ممکن است باعث بالا نیامدن سیستم گردد.

هاردنیگ یکی دیگر از خطوط دفاعی شما در برابر خرابکاران می‌باشد و باید برای آن ارزش بسیار زیادی قائل گردید. از طرف دیگر نسبت به راه‌حل‌های دیگر هزینه بسیار کمتری بر روی دوش شما تحمیل می‌کند. البته سایر مکانیزم‌ها باید در جای خود پیاده‌سازی شوند اما این مکانیزم نیز می‌بایست پیاده‌سازی و در شبکه به یک اصل تبدیل گردد. هاردنینگ مختص به سیستم عامل نیست:

سرویس‌ها مثل HTTP Server

Database Server ها

سیستم‌عامل ایستگاه‌های کاری و سرورها (لینوکس ، ویندوز و…)

فایروال‌ها

روترها

سوئیچ‌ها

اندروید

اپل IOS

و هر آن‌چیزی که سیستم‌عامل داشته باشد و یا سرویسی ارائه دهد قابلیت امن‌سازی خواهد داشت.

CIS در مورد همه موارد بالا مستندات کامل و جامعی داشته که به صورت دوره‌ای به‌روز می‌شود.