Искање


Означено з Клауд x Baskı x Digitalna higijena x Reputacija x Sigurnost x Browser x

Енкриптирање на дисковите

Енкриптирањето е процес на заштита на податоците со користење сложена шифра, нејзино мешање (scrambling) за да може да ѝ се пристапи (да се дешифрира) само со лозинка или клуч, што понекогаш бара дополнителен фактор за автентикација, на пр. дигитален сертификат. Енкриптирањето хард дискови и уреди кои можат да се отстрануваат, како што се USB-дискови, е нешто што особено им се препорачува на оние лица кои работат со доверливи информации, пред сè, на новинари и на активисти за човекови права.

VeraCrypt е мултиплатформски (Windows, Linux, MacOS X) бесплатен софтвер со отворен код, којшто е наменет за енкриптирање дискови и којшто има напредни можности. Може да се користи за енкриптирање само на некои датотеки, на цели партиции на хард диск, на отстранливи дискови, како и на партиција или диск каде што е инсталиран Windows ( автентикација пред подигнување (pre-boot) на системот).

Cryptomator

ви овозможува енкриптирање на датотеките кои ги чувате во облак (cloud) за сервиси како што се Dropbox или Google Drive. Датотеките се енкриптираат во безбеден сеф (vault), којшто потоа се складира на облакот кај давателите на услугата, кои самите не можат да пристапат до податоците. Cryptomator има отворен код и е достапен за Windows, Linux, MacOS X, како и за мобилни платформи (iOS, Android).

Дигитална хигиена Апликации Енкрипција Протекување на податоци Клауд

Центар за податоци и Cloud

Децентрализацијата на еден систем, како мерка за негова физичка заштита, е дефинирана како клучен услов за да се овозможи неговата безбедност. Се препорачува податоците да не се чуваат на истата машина од која се испраќаат во мрежата или на која се обработуваат. Постојат неколку начини за чување големи количини податоци. Наједноставниот начин е да ги чувате на надворешен хард диск. Надворешните хард дискови со релативно добри перформанси се лесно достапни, но овој вид на компјутерски хардвер нема вграден механизам за правење дупла копија. Ова значи дека, во случај на дефект, повеќето од податоците на тој диск ќе бидат засекогаш уништени. Од друга страна, надворешните дискови немаат директен пристап до интернет и се активни само кога се поврзани на компјутер, па за нив може да се каже дека се релативно безбедни. Чувањето податоци на надворешни хард дискови значи дека податоците остануваат во објектот каде што се наоѓа централата или генералната дирекција на организацијата.

Од перспектива на можен ризик од загуба на податоци, изнајмувањето простор за чување податоци на сервер што е во облак е многу подобар начин за чување на важните податоци. Клауд компјутинг е интернет-технологија која овозможува користење ресурси од далечина (тука се мисли на проток на податоци, простор за складирање и чување, работна меморија итн.) и нивна размена помеѓу повеќе апликации и корисници. Облакот може да биде приватен, јавен или од хибриден вид. Клауд (облак) услугите користат RAID технологија (Redundant Array of Independent Disks), која е базирана врз моделот на компаративна употреба на повеќе дискови за чување податоци, каде што секој податок се наоѓа на најмалку две локации, со што значително се намалува ризикот во случај на дефект. Некои од решенијата за чување податоци во облак сеGoogle Drive,Dropbox,OneDrive,SpiderOak,Tresorit, итн. Меѓутоа, ако станува збор за чувствителни податоци, не се препорачува складирање на податоците на туѓи уреди, и покрај фактот што сите ’облак‘ услуги подразбираат енкриптирање на податоците.

Трет начин за чување податоци е да формирате ваш сопствен мини центар за податоци во којшто ќе се складираат сите податоци кои ѝ се важни на организацијата. Опремата за оваа намена ќе зависи од потребите. Постојат голем број готови решенија кои се поевтини и кои можат трајно да го решат ова прашање. Во таа смисла, податоците ќе останат во физичките простории на организацијата, а примената на технологијата RAID ќе го намали ризикот од нивна загуба и кражба. Едно од готовите решенија за центар за податоци е Drobo.

Сервер Апликации Клауд

Сервер за електронска пошта

Е-поштата се смета за чувствителен вид податоци во секоја организација. Од безбедносни причини, секоја организација треба да има посебен сервер што ќе се користи само за е-пошта. На овој начин се овозможува заштитува од напади и од други злонамерни активности.

Покрај содржината на е-поштата, уште едни податоци кои се важни а се дел од секојдневната комуникација се таканаречените метаподатоци – тоа се информации кои се генерираат и се разменуваат од софтвер и од уреди што се користат за испраќање и за примање пораки. Ако ги прашате напаѓачите, за нив метаподатоците најчесто се многу поважни од содржината на самиот текст во електронската пошта, бидејќи содржат точни информации за дигиталниот контекст на комуникацијата. Метаподатоците се чуваат на серверот за електронска пошта, така што нивната заштита е специфична. Главен чекор тука е да се блокираат сите протоколи (на пример, FTP или HTTP) кои на серверот не му се потребни за да ја извршува својата примарна функција, односно примањето и испраќањето електронски пораки. Посебен сервер исто така може и да се изнајми во рамките на хостинг пакет или други услуги, или, пак, организацијата може да купи сервер што има специјален софтвер. Пример за таков софтвер еiRedMail.

Освен тоа,

непрофитните организации може да користат G Suite

, односно пакетот за продуктивност на Google којшто вклучува неколку популарни алатки и производи како што се Gmail, Google Drive, Google Calendar итн. Сепак, треба да се напомене дека деловниот модел на Google се заснова врз профилирање на корисниците и анализа на личните податоци што ги собира од оние кои ги користат неговите услуги.

Сервер Протекување на податоци Клауд

Општи препораки за заштита на инфраструктурата

Ова се некои општи препораки за заштита на инфраструктурата:

  • Рутерите може да се нагодат така што ќе го одбиваат автоматското собирање информации за системот преку т.н. метод на отпечатоци (footprinting method). Овој метод подразбира правење скица на мрежата врз основа на отпечатоците што се генерираат со испраќање дигитални сигнали. Треба, исто така, да се посочи дека рутирањето на податоците се одвива според различни протоколи, бидејќи тие можат да бидат главен извор на информации за напаѓачите. Мапирањето на правците преку кои се пренесуваат податоците (tracerouting), откривањето на уредите кои се активни на мрежата (ping) и слични методи можат да му ја откријат на напаѓачот целата инфраструктура, односно тој да го знае бројот и видот на рутерите, компјутерите и начинот како се поврзани. Добрата пракса налага ICMP-барањата (ICMP requests) да бидат овозможени како опции на веб-серверот, а конфигурацијата на другите сервери и на интерната мрежа да биде поставена така што овие барања да се одбиваат;

  • Треба да се оневозможат протоколите на серверот кои не се неопходни. На пример, на серверот за електронска пошта може да се блокира буквално сè, освен протоколите што се користат за е-пошта (IMAP, POP, итн.), додека структурата на веб-серверите може да се нагоди така што пристапот е овозможен само до ресурси што се јавно достапни. Исто така, треба да се оневозможи и пристапот до други фолдери и датотеки, како и до администраторскиот дел на порталот, за да се избегне неовластен пристап и протекување податоци;

  • Затворете ги непотребните порти (ports) што ниту една апликација на серверот не ги користи, така што ќе направите соодветно нагодување на мрежните бариери (заштитен ѕид или firewall).

  • Се користат системи за откривање упад (intrusion detection) со кои се прави идентификација и отфрлање на сомнителниот сообраќај, а исто така се евидентираат и сите обиди за оставање отпечаток (footprinting);

  • Со користење сервиси кои овозможуваат анонимна регистрација, може да се сокријат информациите за тоа кој го регистрирал доменот. Притоа, треба да се има предвид дека угледот на една организација која има кредибилитет се гради токму преку транспарентност, и затоа оваа техника не се препорачува да се користи во секоја ситуација.

Сервер Протекување на податоци Хостинг Клауд

Домен и хостинг

Многу важни аспекти, кога станува збор за управувањето со инфраструктурата на една организација, се името на доменот и хостирањето, односно на кој сервер се хостирани веб-страниците на организацијата и со кој регистратор таа го регистрирала името на доменот.

Има многу опции кога се регистрира име на домен (на пр., organisation.org), и тоа може да се направи релативно евтино и лесно преку интернет, во зависност од потребите на организацијата. Името на доменот обично се регистрира на годишно ниво и регистрацијата мора редовно да се обновува.

Организациите можат да изберат различни видови домени од највисоко ниво (top level doimans) (тоа е делот од URL-адресата што се наоѓа на крајот). Најчести се следниве:

  • Код на државата (ccTLD) што е поврзан со одредена земја, регион или територија: .de, .br, .ca, .mk;

  • Генерички (gTLD), што е поврзан со општи домени: .com, .net, .org;

  • Спонзориран (sTLD), што е резервиран за одредени видови регистранти, како што се државни органи или меѓународни организации: .gov, .int, .aero.

При регистрација на домен, има и опција за заштита на доменот (Whois), така што информациите за регистрантот (име, адреса, контакти...) нема да бидат видливи доколку се пребарува на Whois. Сепак, како што спомнавме и погоре, кога станува збор за организации како што се медиуми, се препорачува транспарентност на доменот.

Веб-страниците може да се хостираат и дома, односно во земјата каде што работи организацијата, или на меѓународно ниво. И двете опции се еднакво остварливи, но имаат некои специфики. На пример:

  • Домашен хостинг

    • Може директно да се проверат квалитетот и безбедноста на серверските простории на овие даватели на услуги;

    • Подобра достапност на техничката поддршка, која не зависи само од пријавување на проблемот и од онлајн комуникацијата;

    • Ликвидноста и угледот на давателот на хостинг услугата може локално да се провери;

    • Нема примена на законски одредби што се однесуваат на меѓународниот пренос на лични податоци;

    • Ако страницата што е наменета за домашната публика е предмет на DDoS [DDoS] напад од странство (што е најчесто случај), таа и понатаму ќе може да остане стабилна и достапна за домашните корисници така што странските IP-адреси ќе бидат привремено блокирани.


  • Хостинг во странство

    • Серверот каде што е хостирана страницата не е во надлежност на државните органи во земјата каде што работи организацијата;

    • Домашното законодавство не важи за хостингот, така што можно е да дојде до комплицирани правни и административни процедури во однос на содржината која е хостирана, со неизвесен исход.

  • Во однос на техничките аспекти на хостингот, постојат четири вида:

  • Споделен хостинг (Shared hosting) е хостинг што се заснова врз принципот на споделување ресурси. Различни сајтови кои се наоѓаат на таков споделен сервер ги споделуваат процесорот, пропусниот опсег (bandwidth), просторот на дискот итн. Ова значи дека ако една од страниците на споделениот хостинг има зголемен број барања за пристап, перформансите на другите сајтови на истиот сервер ќе ги трпат последиците од тоа;

  • Виртуелен приватен сервер (VPS) е хостинг каде што секој си има свои ресурси. Од технички аспект, повеќе виртуелни сервери се поставени на еден физички сервер и секој од нив си има определени ресурси кои не ги споделува со другите. Исто така, ако еден од виртуелните сервери биде нападнат, интегритетот на другите сервери нема да биде загрозен;

  • Посебен (dedicated) сервер e вид хостинг каде што на корисникот му е доделено ексклузивно право да пристапува до компјутерот (машината) и да го користи за која било цел. Кога станува збор за посебен сервер, виртуелните машини може да се нагодат и да се користат за различни цели, како што се веб хостинг, е-пошта, чување податоци;

  • Хостинг во облак (cloud) е хостирање повеќе сервери кои се поврзани да функционираат како еден сервер, со што се придонесува кон децентрализација на системот, а со тоа се овозможува и негов подобар интегритет. Во случај на дефект на еден од серверите, другите ја преземаат неговата улога, така што проблемот нема да влијае врз работата на веб-страницата.

Споделениот хостинг не се препорачува како решение во случаи кога страницата има активна содржина која се менува релативно често и кога бројот на посетители варира. Подобри решенија се посебниот хостинг и хостингот во облак, но тие се малку поскапи. На крајот од краиштата, изборот на соодветната опција ќе зависи од потребите на организацијата.

Техничката поддршка е еден од најважните сегменти на хостинг сервисот, бидејќи во случај нешто да тргне наопаку, оваа поддршка е контакт-точката која мора да биде целосно отворена и комуникативна за да се реши проблемот што е можно побрзо. Се препорачува да се избере компанија чија услуга за техничка поддршка е во функција 24/7.

Иако целата содржина и сообраќајот на интернет се практично виртуелни, старите добри машини се сè уште основата која го овозможува сето тоа. Затоа е важно да проверите каков хардвер користи компанијата за хостирање.

На крајот, техничките спецификации на хостинг-пакетот се најважната карактеристика и пожелно е тие да се скалабилни, односно да можат да се адаптираат и да се надградуваат во согласност со потребите на организацијата кои постојано се менуваат.

Добриот хостинг исто така подразбира и децентрализација. Не се препорачува еден ист сервер да се користи за хостирање на страницата и како сервер за електронска пошта или како центар за податоци. На веб-серверот мора да може да му се пристапи од јавниот интернет, додека пристап до центарот за податоци преку јавен интернет би бил вистински сериозен безбедносен проблем. Доколку има потреба од пристап од далечина до податоците кои се зачувани во центарот за податоци, најдобро е да се користат VPN-услуги.

Сервер Сајт Хостинг Клауд

Поврат на резервна копија

Во зависност од тоа до кои податоци не можете да пристапите, треба да направите обид повторно да ги вратите датотеките од резервната копија. Водете сметка дека редовно се прават резервни копии од вашите датотеки и дека можете да пристапите до нив во случај да се чуваат на некоја од услугите што се базираат на облак (на пр., Google Drive, Dropbox, OneDrive).

Доколку оперативниот систем на вашиот уред претрпи сериозно оштетување што влијае врз неговото работење, препорачливо е да го вратите на последната конфигурација кога бил целосно функционален. Windows има

опција

System restore

, MacOS може да користи

Time Machine

, додека за системите Linux има

голем број алаткисо кои може да се врати резервната копија

.

Резервна копија на податоци Враќање на пристапот Клауд Враќање на системот