Beveiligen webhosting omgeving

Beste Tweakers,

Ik ben momenteel voor een afstudeeropdracht bezig met het onderzoeken van mogelijkheden en het ontwerpen van een nieuwe omgeving.

Momenteel zijn de webservers gebouwd op centOS 7, DirectAdmin als web control panel en CSF als firewall.

In mijn beeldvorming (als student Infrastructuur Design) is het omslachtig om per server firewalling in te regelen en ben er dus over na aan het denken om een centrale firewall in te zetten hiervoor (pfSense, OPNsense), echter kan ik vrij weinig op internet vinden over het beveiligen van een webhosting omgeving d.m.v. een centrale firewall.

Wat is common practice voor het beveiligen van een aantal webservers? Zijn er mensen met ervaring die mij hier een licht op kunnen schijnen?

DennusB schreef op donderdag 13 juli 2017 @ 11:10:
Simpel : Alleen het broodnodige verkeer (poort 80 en 443 bijv) doorlaten vanaf je Firewall/LB naar je webservers en alle andere dingen (SSH, MySQL, etc) alleen via VPC/achterkant benaderbaar maken. Hoe minder poorten open hoe minder "gevaarlijk".

Dat begrijp ik, maar wat zijn de voor- en/of nadelen van het gebruik van een centrale firewall t.o.v. firewalling per server (bijv: firewalld, ufw, iptables, csf).

DennusB schreef op donderdag 13 juli 2017 @ 11:12:
[...]


Je zegt t zelf al : Centraal management. Je wilt je rules niet op elke server gaan doen, dat is fout gevoelig en haalt een heel stuk consistentie weg.

Klopt, maar een firewall dien je vervolgens wel redundant of als fail over in te regelen. Anders zit je weer te kijken met een SPOF.

BliXem schreef op donderdag 13 juli 2017 @ 11:17:
Je kunt de beveiliging altijd verbeteren met CloudLinux. Heb je dat al eens gezien? Zeker in een webhosting omgeving een must.

Dat klopt, alleen is dat in mijn ogen een ander vraagstuk. Cloudlinux is geen firewalling, het is inderdaad wel een extra beveiligingsstap die ik (hoogstwaarschijnlijk) ook ga adviseren.

Daarbij is de topictitel in die zin misschien ook verkeerd, aangezien mijn OP over firewalling gaat en de topictitel beveiliging zegt.

[ Voor 14% gewijzigd door Lawwie op 13-07-2017 11:21 ]

DennusB schreef op donderdag 13 juli 2017 @ 11:25:
[...]


Dat hoeft niet perse met CloudLinux hoor, dat zijn gewoon default maatregelen die je toe kan passen op vrijwel elke distro (alleen kost t dan iets meer moeite)

Klopt, alleen willen we niet allemaal gemak?

In mijn casus spreek ik over een webhosting bedrijf welke gerunt wordt door een enkele beheerder, het beheer dient hier vereenvoudigd te worden. Daarbij dus mijn gedachte aan een centrale firewall en andere zaken.

[ Voor 55% gewijzigd door Lawwie op 13-07-2017 11:28 ]

MasterL schreef op donderdag 13 juli 2017 @ 11:27:
Tja voor een afstudeeropdracht lijkt me dit nogal "matig" om eerlijk te zijn, wat DennusB eigenlijk ook zegt
2x router/firewall + load balancer in HA (dit kan met zoiets basics als PfSense zelfs al) en je bent klaar wat betreft central management van je firewall rules.
Als je een stapje verder wilt gaan kijk dan verder als "het sluiten van poorten", kijk bijvoorbeeld eens wat een dienst als Cloudflare aanbied. Lees je eens in in WAF, SNORT, Layer-7 inspection dat soort dingen.

Ik heb ook even alleen het firewalling gedeelte op tweakers gegooid, de echte afstudeeropdracht behelst meer dan alleen beveiliging.

Question Mark schreef op donderdag 13 juli 2017 @ 11:29:
[...]
@TS: wat zijn je requirements? Waar moet de omgeving aan voldoen? Aangezien het om webhosting lijkt te gaan, zijn er standaarden waaraan voldaan moet worden ivm certificering?

Ik schets voor het gemak even de casus:

Bedrijf is gespecialiseerd in klimaatbeheersing en doet veel installatie en montagewerk in de agrarische sector, daarnaast verlenen ze ook direct de IT aan "boer jan". Veel van de websites zijn simpele statische pagina's en vereisen niet veel.

Ze zijn nu in het bezit van +- 8 fysieke servers en willen naar een hosted IaaS oplossing. De omgeving is in het verleden (naar mijn mening) houtje touwtje opgezet en er dient dus een volledig redesign te komen. Aspecten waar naar gekeken moet worden zijn beveiliging en beschikbaarheid.

Requirements die gegeven zijn staan al op papier, maar het komt er eigenlijk op neer:

- Opensource heeft de voorkeur (kosten)
- Beheer vereenvoudigen
- Beschikbaarheid verhogen (veel downtime laatste jaar)
- Beveiliging verbeteren

Daarbij is het een enkele beheerder die niet al te veel wil bijleren en of doen. Conclusie: het gaat niet om een omgeving met 100en servers waarbij alles uit de kast wordt getrokken, het gaat meer om stabiliteit en kostenbesparing.

[ Voor 9% gewijzigd door Lawwie op 13-07-2017 11:41 ]

DennusB schreef op donderdag 13 juli 2017 @ 11:41:
[...]


Oke. Dan ben ik stiekem ook wel benieuwd hoe je je webservers dan in gedachte had? Ga je die echt allemaal SPOF's maken? Of ga je shared storage met sessie sharing introduceren?

Misschien ook leuk om nog even te bekijken : Amazon Beanstalk. Doet volgens mij precies wat je zoekt, met als grote voordeel dat het managed is :-)

De beheerder hier wil blijven bij DirectAdmin, vanwege eerder aangeschafte lifetime licenties, kennis, budget. Daarbij zou ik me ook niet blind moeten staren op oplossingen die bijvoorbeeld TransIP biedt, maar ik denk dat het verhuizen naar een hosted IaaS omgeving al heel wat voordelen oplevert t.o.v. de situatie nu waarbij geen fail over ingeregeld is en met regelmaat gebukt gaat onder downtime.

[ Voor 4% gewijzigd door Lawwie op 13-07-2017 11:51 ]

DennusB schreef op donderdag 13 juli 2017 @ 12:08:
[...]
Je hebt het telkens over een fail over, maar nogmaals : Hoe werkt die volgens jou dan met losse webservers en zonder shared storage? Stel website www.abc.nl staat op webserver 1, en die fikt af, wat dan? Dan is die site toch gewoon plat net zolang tot jij m met t handje verhuist?

Als je een VPS huurt bij provider X dan is achterliggende infrastructuur meer toereikend dan de huidige situatie op eigen fysieke servers. Een eigen infrastructuur met shared storage etc kost simpelweg teveel geld voor het "beetje" wat ze hebben.

Question Mark schreef op donderdag 13 juli 2017 @ 12:56:
[...]

Waarom geen SAAS? Dan hoeven ze nog maar de content van de pagina's te beheren... Infra, security, en zaken als backup is dan allemaal al geregeld en geborgd middels SLA's.

Omdat ze wel nog het beheer in eigen handen willen houden, daarnaast verlenen ze meer diensten dan alleen webhosting.

Question Mark schreef op donderdag 13 juli 2017 @ 13:12:
Persoonlijk zou ik er even een businesscase van maken. Dat lijkt mij ook meteen een extra plus voor je afstudeeropdracht.

Je weet wat je straks nodig bent qua kosten om "jouw" oplossing te implementeren plus de kosten voor het operationeel houden, en dat is dan redelijk eenvoudig te vergelijken met een SAAS dienst.

Voor een bedrijf waarvan ICT geen core-business is, vind ik het overigens een vreemde keuze om zaken toch zelf te willen blijven doen. Let alleen al even op dit:


[...]
Ben benieuwd wat er gebeurd tijdens een grote storing als die ene beheerder zes weken met vakantie is. Dit soort risico's moeten in mijn ogen dan ook gewoon aangestipt worden.

Plan van aanpak etc ligt er al, al bijna 10 weken bezig met mijn afstudeeropdracht.

Bedrijfje is een 2 mans zaak (2 broers) waarbij de een monteur is en de ander IT beheerder. IT in eigen beheer omdat ie anders zelf geen werk meer heeft



Daarbij moet je toch ook denken aan diensten zoals e-mail, VPN, backup dienst, repository eigen product, ontwikkelomgeving eigen product, licensering eigen product, PBX voor voip etc.

Denk dat mijn advies ook deels gaat worden om een aantal diensten uit hand te geven (zoals eigen nameservers, registrar SIDN, PBX).

Lawwie schreef op donderdag 13 juli 2017 @ 11:39:
[...]Daarbij is het een enkele beheerder die niet al te veel wil bijleren en of doen.

Dit komt ook meer uit eigen observatie dan harde feiten.

[ Voor 13% gewijzigd door Lawwie op 13-07-2017 13:28 ]

Brahiewahiewa schreef op donderdag 13 juli 2017 @ 17:47:
[...]

Ze hebben/gaan dus een eigen product ontwikkelen, terwijl ze niet gehinderd worden door ook maar enig inzicht in security (want daarvoor hebben ze jou ingeschakeld).
Ik ben er niet zeker van of ik wel wil bijdragen aan het ont- c.q. bestaan van dit soort bedrijfjes

Verder lijk je te vragen of je een centrale firewall moet hebben of een per server firewall.
Hoezo "of"? En!

Voor mij een mooie afstudeeropdracht toch?

Maar verder kan de webhosting omgeving ook los staan van de ontwikkelingomgeving etc, het redesign ligt in mijn handen.

Maar mijn vraag ligt niet zo zeer op het hebben van een firewall, maar wat de best practices zijn t.b.v. het beveiligen van een webhosting omgeving.

Verwijderd schreef op vrijdag 14 juli 2017 @ 09:43:
Waarom fiets je het geheel niet naar Azure?

Het geheel gaat naar een nader te bepalen hosted IaaS omgeving, dat kan ook azure zijn, kan ook een andere provider zijn. Eigen fysieke servers worden volledig van de hand gedaan.