Jak zapora sieciowa wpływa na bezpieczeństwo serwerów wirtualnych VPS?

Wstęp

Bezpieczeństwo serwerów, fizycznych lub wirtualnych VPS, jest bardzo ważnym aspektem podczas wybierania danego typu usługi na swoje potrzeby. Niezależnie od tego, czy na maszynie wirtualnej VPS będzie zainstalowany system ERP (Comarch Optima, Sage Symfonia), czy będzie to inna usługa np. Remote Desktop Services i aplikacje desktopowe albo dowolny inny scenariusz wdrożenia, szczególnie dla systemu Windows Server (ale nie tylko), warto zadbać o odpowiednie ich zabezpieczenie.

Potencjalne niebezpieczeństwa serwerów z publicznymi adresami IP

Domyślnie, dla każdej maszyny wirtualnej VPS w NSIX, przypisujemy publiczny adres IPv4. Jest to rozwiązanie oddające użytkownikowi pełną możliwość dostosowania i zarządzania siecią publiczną a więc udostępniania zasobów z serwera VPS dla świata zewnętrznego. Jednak komunikacja sieci publicznej zazwyczaj działa w dwie strony, dlatego istotna jest odpowiednia konfiguracja zapory sieciowej z podziałem na ruch wychodzący i przychodzący.

Bezpieczne ustawienie zapory sieciowej w systemie operacyjnym serwera VPS może być dla niektórych użytkowników nieintuicyjne i trudne. Ponadto, taka konfiguracja może nie gwarantować bezpieczeństwa a źle ustawione reguły mogą zezwolić atakującym na przejęcie serwera i danych które się na nim znajdują.

Jak rozwiązać powyższy problem?

Jednym ze sposobów na ułatwienie zarządzania regułami oraz dostępem do serwerów wirtualnych VPS, jest wdrożenie specjalnej zapory sieciowej, która pełni rolę pośrednika (bramy) dla ruchu pomiędzy siecią publiczną a serwerami VPS komunikującymi się z zaporą poprzez sieć prywatną. W tym przypadku omówimy zalety na przykładzie rozwiązania pfSense.

Dzięki zastosowaniu zapory pfSense, publiczne adresy IP zostają „zdjęte” z pojedynczych serwerów wirtualnych, co całkowicie przenosi kontrolę dostępu do nich na firewall.

Warto zaznaczyć, iż zapora w postaci serwera VPS może posiadać więcej niż jeden publiczny adres IP.

Dzięki dedykowanej funkcji serwera VPS z dystrybucją pfSense jako zapory / bramy oraz przyjaznemu dla użytkownika interfejsowi graficznemu, możliwa jest konfiguracja bezpieczeństwa dla mniej zaawansowanych użytkowników. Zapora sieciowa w formie VPS pozwala na skonfigurowanie przekierowania portów, dostępu do danych zasobów tylko i wyłącznie z konkretnych adresów publicznych lub uruchomienie własnego serwera VPN.

Rekomendowanym sposobem zabezpieczenia transmisji jest utworzenie własnego serwera VPN, który możemy skonfigurować w dowolny sposób. Jeżeli chcemy zabezpieczyć komunikację poprzez szyfrowanie (domyślna konfiguracja), możemy wykorzystać w tym celu np. certyfikaty VPN SSL generowane bezpośrednio na serwerze VPS bramy czyli w zaporze sieciowej. Dodatkowe oprogramowanie w postaci np. OpenVPN instalowane jest w serwerze zapory sieciowej.

W przypadku bardziej rozbudowanych środowisk, kiedy dostęp do różnych serwerów VPS ma zostać udzielony różnym użytkownikom, możemy utworzyć kilka serwerów VPN z  dostępami do poszczególnych podsieci – w domyśle prywatnych. Wszystkie serwery wirtualne G2 z oferty NSIX posiadają możliwość uruchomienia sieci prywatnej z przepustowością 10 Gb/s. Możliwości konfiguracji tego typu usługi są ogromne, dlatego opisywane rozwiązanie wykorzystywane jest bardzo często, w różnych wariantach przez organizacje planujące zabezpieczenie transmisji danych pomiędzy wieloma serwerami VPS i wieloma sieciami ich łączącymi.

Dodatkowo, pfSense jest rozwiązaniem całkowicie darmowym, z punktu widzenia dodatkowych opłat licencyjnych, co podwyższa jego atrakcyjność. Ponadto, poza kosztem samej zapory sieciowej w formie serwera VPS, nie musimy płacić za dodatkową warstwę bezpieczeństwa na potrzeby np. usługi VPN.

Jak zakupić zaporę sieciową kiedy mam już działające serwery VPS w NSIX?

Aby zabezpieczyć istniejące serwery VPS, należy zakupić jedną z zapór sieciowych oraz sieć prywatną PVLAN do której zostaną podłączone wybrane lub wszystkie maszyny wirtualne VPS oraz firewall z naszej oferty.

Nie jestem jeszcze klientem lub chcę zakupić nowe serwery wraz z zaporą sieciową

Jeżeli nie posiadasz jeszcze serwerów VPS z oferty NSIX, bądź chcesz dokupić nowe maszyny wirtualne, zapraszamy do zapoznania się z naszymi gotowymi pakietami ERP, które zawierają w sobie maszynę wirtualną dla potrzeb systemu ERP, zaporę sieciową, wsparcie techniczne w specjalnej cenie -33% oraz konfigurację usług – za 0 zł! Wszystko to z atrakcyjnymi rabatami oraz darmowym wdrożeniem, dzięki czemu koszt usługi staje się jeszcze bardziej przystępny a bezpieczeństwo usług stoi na najwyższym poziomie. Istnieje również możliwość zakupu pojedynczej bramy sieciowej oraz sieci prywatnej 10 Gb/s do każdego z serwerów VPS z oferty G2 NSIX oraz własnej ich konfiguracji.