Audit bảo mật máy chủ là việc rà soát có hệ thống mức độ phơi nhiễm và cấu hình của một máy chủ để tìm ra nơi kẻ tấn công có thể xâm nhập và những gì chúng có thể làm một khi đã vào bên trong. Nếu bạn được yêu cầu đặt hàng một cuộc audit, hoặc muốn tự thực hiện một cuộc rà soát nội bộ, hướng dẫn này giải thích chính xác một cuộc audit kỹ lưỡng sẽ kiểm tra những gì và tại sao mỗi lĩnh vực lại quan trọng.

Audit mang tính chẩn đoán: nó cho bạn biết bạn đang ở đâu. Nó kết hợp tự nhiên với hardening , tức là công việc khắc phục những gì audit tìm ra.

Tóm tắt (TL;DR)

  • Một cuộc audit máy chủ rà soát bề mặt tấn công, cấu hình OS và dịch vụ, tình trạng vá lỗi, kiểm soát truy cập, thiết lập mạng và firewall, cùng với giám sát
  • Nó thường đối chiếu máy chủ với một tiêu chuẩn được công nhận như CIS Benchmark
  • Nó bao gồm quét malware và rootkit cùng việc rà soát ghi log để các cuộc xâm nhập thực sự bị phát hiện
  • Kết quả đầu ra nên là một danh sách phát hiện được ưu tiên và xếp hạng theo rủi ro mà bạn có thể hành động, chứ không phải một bản dump thô của scanner

1. Rà soát bề mặt tấn công

Nhiệm vụ đầu tiên là xác định máy chủ thực sự phơi bày những gì.

  • Liệt kê tất cả các dịch vụ đang lắng nghe và các cổng đang mở, và xác nhận rằng mỗi cái đều có chủ đích.
  • Xác định các dịch vụ hướng ra internet so với những dịch vụ chỉ nên dùng nội bộ.
  • Đánh dấu các dịch vụ lỗi thời hoặc không cần thiết làm mở rộng bề mặt tấn công mà không mang lại giá trị.

2. Audit hệ điều hành và cấu hình

  • Kiểm tra phiên bản OS và tình trạng hỗ trợ; một OS đã hết vòng đời (end-of-life) là một rủi ro thường trực.
  • Rà soát cấu hình theo một tiêu chuẩn được công nhận, thường là CIS Benchmark cho bản phân phối đó.
  • Đánh giá tình trạng vá lỗi cho OS và phần mềm đã cài đặt, và kiểm tra xem các bản cập nhật bảo mật tự động đã được thiết lập chưa.

3. Kiểm soát truy cập và xác thực

  • Rà soát các tài khoản người dùng và dịch vụ, loại bỏ các tài khoản cũ, mặc định và không sử dụng.
  • Audit các phân quyền sudo và đặc quyền theo nguyên tắc đặc quyền tối thiểu.
  • Kiểm tra cấu hình SSH: xác thực dựa trên khóa, tắt đăng nhập root, tắt xác thực bằng mật khẩu và bảo vệ chống brute-force.
  • Kiểm tra xác thực đa yếu tố (MFA) trên truy cập quản trị.

4. Firewall và phân đoạn mạng

  • Xác nhận firewall tuân theo chính sách từ chối mặc định (default-deny) và chỉ mở các cổng cần thiết.
  • Rà soát phân đoạn mạng để việc xâm phạm một máy chủ không cho phép di chuyển tự do khắp mạng.
  • Kiểm tra rằng các giao diện quản lý bị giới hạn ở những nguồn đáng tin cậy hoặc qua VPN.

5. Phát hiện malware và rootkit

  • Chạy quét malware và rootkit để phát hiện tình trạng xâm phạm đang tồn tại.
  • Thực hiện kiểm tra tính toàn vẹn tệp để nhận diện các thay đổi bất ngờ đối với các tệp nhị phân hệ thống và cấu hình.

6. Ghi log, giám sát và phát hiện

  • Xác minh rằng các sự kiện liên quan đến bảo mật được ghi log (ví dụ qua auditd) và được lưu giữ.
  • Xác nhận log được chuyển ra khỏi máy chủ để kẻ tấn công không thể xóa chúng một cách dễ dàng.
  • Kiểm tra rằng hoạt động đáng ngờ tạo ra cảnh báo, để một cuộc xâm nhập thực sự được nhận thấy.

7. Bảo vệ dữ liệu và sao lưu

  • Xác nhận dữ liệu nhạy cảm được mã hóa khi lưu trữ và khi truyền.
  • Xác minh rằng các bản sao lưu tồn tại, được lưu ngoài máy chủ và đã được kiểm thử bằng cách khôi phục.
  • Kiểm tra rằng có một quy trình phục hồi và nó được tài liệu hóa.

Một kết quả tốt trông như thế nào

Một cuộc audit hữu ích không đưa cho bạn một báo cáo scanner thô. Nó cung cấp các phát hiện được xếp hạng theo rủi ro và ưu tiên cùng các bước khắc phục rõ ràng, để bạn biết cần sửa gì trước và tại sao. Ai cũng có thể chạy một scanner; giá trị nằm ở sự diễn giải của chuyên gia, việc loại bỏ dương tính giả và việc ưu tiên theo rủi ro thực tế.

Những điểm chính

  • Một cuộc audit bảo mật máy chủ rà soát bề mặt tấn công, cấu hình, vá lỗi, kiểm soát truy cập, thiết lập mạng, malware và giám sát.
  • Hãy kỳ vọng nó đối chiếu với một tiêu chuẩn được công nhận như CIS và bao gồm quét malware và rootkit.
  • Sản phẩm bàn giao nên là các phát hiện được ưu tiên và xếp hạng theo rủi ro kèm hướng dẫn khắc phục, chứ không phải một bản dump scanner.
  • Audit chẩn đoán; hardening khắc phục. Hãy dùng chúng cùng nhau.

Nhận một cuộc audit bảo mật máy chủ chuyên nghiệp

Một cuộc audit kỹ lưỡng hưởng lợi từ con mắt giàu kinh nghiệm biết phát hiện nào thực sự quan trọng. Dịch vụ audit bảo mật máy chủ bao gồm rà soát bề mặt tấn công đầy đủ, căn chỉnh theo CIS Benchmark, phát hiện malware và rootkit, rà soát phân đoạn mạng và một báo cáo hardening được ưu tiên. Một khi bạn biết mình đang ở đâu, dịch vụ hardening máy chủ Linuxhướng dẫn hardening sẽ lo phần khắc phục.

Câu hỏi thường gặp (FAQ)

Audit bảo mật máy chủ là gì? Một cuộc rà soát có hệ thống mức độ phơi nhiễm và cấu hình của một máy chủ để nhận diện các điểm yếu bảo mật, bao gồm bề mặt tấn công, cấu hình OS và dịch vụ, tình trạng vá lỗi, kiểm soát truy cập, thiết lập mạng, malware và giám sát. Nó cho bạn biết bạn dễ bị tấn công ở đâu và cách khắc phục.

Audit khác với hardening như thế nào? Audit mang tính chẩn đoán: nó tìm ra và ưu tiên các điểm yếu. Hardening là công việc khắc phục để sửa chúng. Bạn audit để biết mình đang ở đâu, rồi hardening để bịt các lỗ hổng.

Audit máy chủ có bao gồm quét malware không? Một cuộc audit kỹ lưỡng thì có. Bên cạnh rà soát cấu hình, nó nên bao gồm quét malware và rootkit cùng kiểm tra tính toàn vẹn tệp để phát hiện bất kỳ tình trạng xâm phạm nào đang tồn tại, chứ không chỉ rủi ro tương lai.

Audit máy chủ nên được đo lường theo tiêu chuẩn nào? CIS Benchmark cho hệ điều hành của bạn là chuẩn cơ sở phổ biến. Nó cung cấp một tiêu chuẩn khách quan, dành riêng cho bản phân phối, để các phát hiện có thể đo lường và lặp lại được thay vì chủ quan.

Chúng ta nên audit máy chủ bao lâu một lần? Định kỳ, và sau các thay đổi đáng kể, vì cấu hình bị trôi lệch và các lỗ hổng mới xuất hiện. Nhiều tổ chức kết hợp một cuộc audit chuyên sâu hằng năm hoặc nửa năm với việc vá lỗi và giám sát tự động liên tục ở giữa các lần đó.