メインコンテンツにスキップ
すべての製品を見る
コンピュート
ストレージ
ネットワーク
Databases
サービス
開発者ツール
産業分野
料金
コミュニティ
当社と連絡を取る
エクスペリアブログ
カテゴリー
13
  1. クラウド関連の概要
    51
  2. コンピュート
    29
  3. コンテナ(Kubernetes、Docker)
    37
  4. Databases
    23
  5. 開発者ツール
    44
  6. Linode 
    263
  7. Linux
    69
  8. マルチクラウド
    4
  9. ネットワーク
    33
  10. オープンソース
    6
  11. パートナーネットワーク
    7
  12. セキュリティ
    66
  13. ストレージ
    24
著者 59
  1. Alex Leung 9
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 2
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 7
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jorge Gaona 1
  26. Jonathan Hill 2
  27. Justin Mitchel 4
  28. James Steel 5
  29. Jamie Sherkness 8
  30. Linode 70
  31. Linode Events 8
  32. The Linode Security Team 122
  33. The Linode Network & Security Teams 1
  34. LINQ 1
  35. Leslie Salazar 1
  36. Michelle Berg 1
  37. Mitch Donaberger 1
  38. Mike Fischler 1
  39. Mike Maney 10
  40. Maddie Presland 21
  41. Mike Quatrani 4
  42. Nathan Melehan 2
  43. Nigel Poulton 1
  44. Philip McGuinness 1
  45. Prasoon Pushkar 1
  46. Peter Sari 2
  47. Rick Myers 7
  48. Richard Tubb 1
  49. Sal Carrasco 1
  50. Salman Iqbal 1
  51. Stuart Macleod 1
  52. Shawn Michels 1
  53. Sander Rodenhuis 1
  54. Linode Support 14
  55. Tom Asaro 18
  56. Travis Baka 2
  57. Talia Nassi 17
  58. Tim Vereecke 2
  59. Yuri Goldfeld 1
ブログセキュリティサーバー・セキュリティ入門

サーバー・セキュリティ入門

タリア・ナッシ
タリア・ナッシ
2023年10月30日
サーバーセキュリティ入門

この記事は、Cloud Computing 基礎シリーズの最終回です。Cloud Computing 。 認定コース.

開発ライフサイクルの最も重要な側面の1つは、Webアプリを実行するホスティング環境をどのようにセキュアにするかを理解することです。私たちのサーバーは、ウェブアプリをデプロイするたびに、特定のポートで外部システムからの着信接続を許可します。サーバーのポートは、送受信されるネットワーク・トラフィックを識別します。

サーバーの脆弱性を理解するには、通信がどこで行われるかを考える必要がある。

上の例では

  1. クライアント(左)、通常はウェブ・ブラウザーがサーバーにHTTPリクエストを送る。
  2. サーバーはHTTPリクエストを受け取り、それを処理する。
  3. ドメイン名は、通常ドメイン名レジストラによって管理されている1つ以上のドメインネームサーバーに対して照会される。 
  4. サーバーは要求されたコンテンツを取得または生成し、HTTPレスポンスをクライアントに送り返す。
  5. クライアントはレスポンスを受け取り、コンテンツをレンダリングする。

この過程で、場合によっては、サーバー設定の弱点を突こうとする悪意のあるコンピューターからサーバーに接続されることがあります。サーバーが悪用される理由はたくさんあります。

よくあるサーバー攻撃を見てみよう。

分散型サービス拒否攻撃(DDoS)

分散型サービス拒否(DDoS)攻撃では、攻撃者はHTTPリクエストの洪水で標的サーバーに過負荷をかけようとする。これはHTTPフラッド攻撃とも呼ばれます。覚えておいてほしいのは、私たちがHTTPリクエストをするたびに、サーバーはそのリクエストに応答する役目を担っているということです。もしサーバーが、同時に送られてくるリクエストの数を満たすだけのリソース容量を持っていない場合、ウェブサーバーはストールするかクラッシュします。それ以降のHTTPリクエストは失敗し、ウェブサーバーに到達できなくなります。 

DDoS攻撃は一般的にボットネットを通じて行われる。ボットネットとは、マルウェアとも呼ばれる悪意のあるソフトウェアに感染したデバイスのネットワークで、標的のマシンにHTTPリクエストを大量に送信するように特別に設計されています。

上の図は、HTTPフラッド攻撃の仕組みの概要を示している。右側では、クライアントがサーバーにリクエストしていますが、複数のボットもサーバーにリクエストしているため、サーバーのリソースが枯渇し、クライアントはサーバーに接続できません。

ディレクトリトラバーサル

ディレクトリトラバーサルは、一般的に設定不十分なサーバーを狙う、もう一つの一般的な悪用です。すべてのウェブファイルは、ウェブルートディレクトリから直接提供されます。HTTPウェブ・リクエストでサーバーに接続するユーザーは、ウェブ・ルート・ディレクトリから特定のファイルにアクセスできるだけで、ディレクトリ構造の上位にあるフォルダのファイルにナビゲートしたり、実行したりすることはできないはずです。このようなことが起こると、攻撃者が重要なシステムファイルや設定ファイルにアクセスし、サーバーを大混乱に陥れる可能性があります。

上の画像は、この攻撃がどのように機能するかを示している。攻撃者は、システム・ファイルやコンフィギュレーション・ファイルへのディレクトリ・パスを含む改ざんされた URL を使って、悪意のある HTTP リクエストを送信します。サーバはリクエストを処理し、サーバの設定やアプリケーションの設計が不適切な結果、システムファイルを取得し、その内容やソースコードを表示することができます。

ブルート・フォース・アタック

ブルートフォース攻撃は、辞書攻撃やアカウント乗っ取りとも呼ばれ、悪意のあるエージェ ントがサーバー上の制限されたアクセスポイントへの侵入を試みる、もう一つの非常に 一般的な攻撃である。この制限されたアクセス・ポイントは、通常、サーバーのルート・アカウントまたはルート権限を持つ別のアカウントです。攻撃者はマルウェアを使用して、辞書の単語に基づいて自動的に生成されたパスワードとユーザー名の組み合わせで、自動的に多数のログイン試行を送信します。

上の図は、この攻撃がどのように機能するかを示している。左側では、攻撃者はマルウェアを使って単語リストから生成したログイン試行を繰り返し送信します。正しい組み合わせが見つかれば、攻撃者はサーバーにアクセスできる。ブルートフォース攻撃は、たとえサーバーがSSH鍵認証しか使っていなくても、非常に効果的です。

サーバーを安全に保つ

ここでは、サーバーの設定とセキュリティの確保に際して考慮すべきベストプラクティスをいくつか紹介する:

  • オペレーティングシステムとソフトウェアを最新のセキュリティパッチとアップデートに保つ。
  • 不要なサービスやポートを無効化またはブロックし、攻撃対象領域を最小化する。
  • 許可されたユーザーのみにサーバーへの接続と操作を許可することで、サーバーへのアクセスを制限します。
  • SSLやTLSなどの暗号化プロトコルを使用して、ネットワークトラフィックを保護する。
  • データの損失とダウンタイムを最小限に抑えるため、堅牢なバックアップとディザスタリカバリの計画を立てる。
  • 不正アクセスから保護するために、強力なパスワードと多要素認証を導入する。
  • ファイアウォールを使用して、ネットワークトラフィックの送受信を制御する。
  • サーバーログやネットワークトラフィックを監視し、不審な動きがないか確認する。
  • 侵入検知および防止システムを使用して、攻撃を特定し、防止する。
  • 機密データへの不正アクセスから保護するために、ファイルシステムのパーミッションやアクセス制御などのセキュリティ対策を実施する。

Cloud Computing 認定コースを受講して、クラウド・コンピューティングで成功するためのスキルを身につけましょう。

こちらもどうぞ...

不吉な雰囲気の部屋は、ほとんどが暗闇の中にあり、床だけが見えている。テキストには "In the Dark about Shadow APIs? "と書かれている。
アレックス・レオンのヘッドショット。

シャドーAPIについて暗中模索?

2024年10月31日
アレックス・レオン
シャドーAPIは通常、APIを開発する際に考えるリスクではありません。実例を見て、APIがもたらす脅威を理解しましょう。
セキュリティ
角度をつけたブラウザウィンドウのイラスト。マウスカーソルがウェブサイトのアドレスのセキュリティロックマークに近づいている。テキストには「Loose Lips Can Sink Websites Too」とあり、「Sink」と「Websites」は太字で強調されている。
アレックス・レオンのヘッドショット。

緩んだ唇はウェブサイトも沈める

2024年10月21日
アレックス・レオン
このブログでは、技術スタックのバージョン番号の公開がいかに深刻な脆弱性につながるか、そしてセキュリティを強化するために何ができるかについて掘り下げていく。
セキュリティ
非生産用サブドメインに注意を払う」というテキストが入ったイラスト
アレックス・レオンのヘッドショット。

非生産サブドメインに注意を払う

2024年10月17日
アレックス・レオン
セキュリティ・チームは、組織のメインのプロダクション・ドメインに注目しがちです。なぜ本番用以外のサブドメインに注意を払うことが重要なのかを学んでください。
セキュリティ

コメント 

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。