Your Dynamic Snippet will be displayed here... This message is displayed because you did not provided both a filter and a template to use.

Monitoring

Každý server má nasazený základní systémový monitoring:

  • CPU, RAM, NET, disk I/O, zatížení systému, ...
  • Kontrola zda běží kritické služby a fungují (app, DB, fw, ...).

Nasazené základní logování anomálií v systému. Nejedná se o SIEM (Security information and event management), je nasazené lokální logování a alerovaní!

Fyzický přístup do DC je monitorován.

Architektura serverů

Služby jsou koncipované tak, aby vše bylo segmentované. Tj. Co služba, to VPS a příp. vlastní fyzický stroj.

VPS má vždy nižší privilegia jak hypervisor. Tj. když dojde ke kompromitováni jedné VPS, není triviálně možné eskalovat práva na hostu a převzít kontrolu nad jinými službami.

Všechny operační systémy (OS) jsou udržované aktuální. Žádná část nejede na nepodporované (EoL) distribuci. Systémový tým hlídá EoL systému a hlásí to aplikačnímu týmu včas (typicky 3/4 roku dopředu, aby mohly proběhnout přípravy).

Na každém OS jsou automaticky aplikovány bezpečnostní aktualizace. Týká se to všech VPS i hypervisorů. Pravidelně se provádí i aktualizace kernelu a test bootu systému.

Každá služba je nasazená podle principu "least-privilege access" a je na ně aplikovaný standardní "hardening". (Např. nic aplikačního neběží s vyššími právy než je potřeba, služby mají své vlastní systémové uživatele a práva jsou omezena pouze na činnosti, které jsou potřebné k dané funkci.)

Distribuce konfigurací je automatizovaná.

Síť

Každý prvek v síti má nastavený restriktivní firewall (packet filtering a traffic flow control):

  • Nikde v síti není DMZ (demilitarized zone). Vše je nastavené tak, že se vnitřní síť bere jako nedůvěryhodná (zero-trust architecture).
  •  To samé platí i pro VPS na jenom hypervisoru. Pokud to není potřeba VPS na sebe nevidí.
  • Tam, kde to dává smysl, je nasazený odchozí firewall (např. DB nepotřebují přistupovat na internet).
  •  Všechny lokální služby, ke kterým se přistupuje lokálně jsou explicitně bindované na localhost. Takže i v případě, že by selhal firewall, služby beztak nebudou dostupné ven.

Obecně je v LAN povolen pouze nezbytný přístup mezi jednotlivými prvky (tj. do DB má přístup jen a pouze ta část aplikace, která jej potřebuje. Různé DB se mezi sebou nevidí.)

(Vnitřní síť je fyzicky segmentovaná switchem. Tj. není možné provést útoky typu "VLAN hopping".)

Každý hypervisor vynucuje filtrování zdrojové IP adresy. Tj. je implementovaný anti-spoofing podle BCP 38 (RFC 2827).

Všechny servery jsou za velkým firewallem, který filtruje tok z internetu a příp. do internetu, pokud to pro danou službu dává smysl.

Ven do internetu jsou povolené jen porty potřebné pro komunikaci s klienty a pro vývoj. Vše ostatní je zavřené.

Komunikace s klienty je řešená vždy přes šifrovaný kanál (SSL/TLS, SSH/SFTP).