web-dev-qa-db-ja.com

安全なウェブサイトを設定するためのベストプラクティス

昨秋、JeffとStackOverflowチームがHanselminutesでインタビューを受けたとき、ScottはStackOverflowサーバーのセキュリティ保護に関して下された決定のいくつかに批判的でした。

私の質問は、ウェブサイトを保護するための推奨されるアプローチは何ですか?別の物理マシン上にSQLServerデータベースを使用してASP.Netアプリケーションを開発しているとすると、環境を攻撃から保護するためにどのような手順を実行する必要がありますか?

windowsiisfirewallasp.net
4
Tim Lentine

頭に浮かぶいくつかのこと:

  • DMZハードウェアファイアウォールの背後にあるWebサーバー
  • ハードウェアファイアウォールによってWebサーバーから分離された別個のDMZ /プライベートネットワーク内のSQLServer
  • Webサーバー上の不要なサービスをすべてアンインストール/無効にします。
  • ドメイン上にないWebサーバー。
  • Webサーバー上のローカルアカウントを最小化します。
  • webサーバーのフィンガープリントのため、URLScanを使用します(IIS 6.0の場合でも))
  • WebサーバーでIPSECポリシーを使用して、SQLServerにインバウンド/バウンドするすべてのトラフィックを必要なポートのみにブロックします。
  • SQL Serverに接続し直すためのログインとして、最小限の権限(アプリケーションのデータベースにアクセスするために必要なものは何でも)を使用した非特権SQLServerログインを使用します。
  • デフォルトのユーザーアカウントを無効にします。非標準の名前で新しいアカウントを作成します。それらを使用してサービスなどを実行します。
4
K. Brian Kelley