Межсетевое экранирование

Поддержка аутентичной копии web-содержимого


Следует поддерживать аутентичную (проверенную, доверяемую) копию web-содержимого на хосте, который не доступен из Интернета. Это дополняет, но не заменяет соответствующую политику backup’а. Например, в отношении статических web-сайтов это должна быть простая копия web-сайта на устройстве только для чтения (CD-R). Аутентичная копия web-сайта должна поддерживаться на безопасном хосте. Такой хост обычно расположен позади firewall’а во внутренней сети, а не в DMZ. Цель создания аутентичной копии состоит в том, чтобы предоставить способы восстановления информации на web-сайте, если он был скомпрометирован в результате случайных или преднамеренных действий. Аутентичная копия web-сайта позволяет быстро восстановить изуродованный web-сайт.

Для успешного выполнения данной цели должны быть выполнены следующие требования:

  • Защита аутентичной копии от неавторизованного доступа. Следует:

    • использовать устройства, которые допускают только однократную запись (подходит для относительно статичных web-сайтов);
    • размещать хост с аутентичной копией позади firewall’а и гарантировать, что к хосту не существует доступа извне;
    • минимизировать количество пользователей, которые имеют доступ к хосту;
    • управлять доступом пользователей максимально точным способом;
    • обеспечить строгую аутентификацию пользователей;
    • развернуть соответствующие процедуры создания логов и мониторинга;
    • предусмотреть дополнительные аутентичные копии в различных физических местах для обеспечения большей защиты.

  • Установить соответствующие процедуры обновления аутентичных копий:

    • выполнять обновление аутентичной копии первым (любое тестирование кода должно выполняться перед обновлением аутентичной копии);
    • установить политику и процедуры, определяющие, кто может выполнять обновление, когда может выполняться обновление и т.п.

  • Установить процесс копирования аутентичной копии на производственный web-сервер:

    • данные могут передаваться с использованием физически безопасной среды (например, шифрование и/или устройства только однократной записи, такие как CD-R);
    • использовать безопасный протокол (например, SSH) для передач по сети.

  • Включить процедуры восстановления с аутентичной копии в организационные процедуры реакции на инцидент.



Содержание раздела