Windows Azure Pack: Beveiligingsverbeteringen voor websites

Van toepassing op: Windows Azure Pack

Na de installatie kunt u uw beveiliging verbeteren door aanvullende aanbevolen procedures te implementeren. Dit omvat het configureren van IP-filtering (ook wel 'blacklisting' genoemd), het instellen van quota om DoS-aanvallen en andere stappen tegen te gaan.

IP-filtering configureren

Het instellen van een IP-filter is erg belangrijk omdat een van de eenvoudigste manieren om een DoS-aanval (Denial of Service) te starten is om de aanval vanuit de service zelf te starten. Daarom moet de hostingserviceprovider de farm minimaal van zichzelf op de zwarte lijst opnemen.

Als de webfarm bijvoorbeeld is geïmplementeerd in een subnet, moeten de IP-adressen van het subnet worden gefilterd om te voorkomen dat websites terugbellen naar de farm en (bijvoorbeeld) een DoS-aanval starten.

Als u wilt beperken dat tenantwerkprocessen toegang hebben tot de IP-adresbereiken die overeenkomen met servers in de websitecloud, kunt u IP-filtering configureren in de Windows Azure Pack-beheerportal of met behulp van PowerShell.

IP-filtering configureren in de beheerportal

Voer de volgende stappen uit om IP-filtering te configureren in de beheerportal voor beheerders:

1. Kies in het linkerdeelvenster van de portal websiteclouds.

2. Selecteer de websitecloud die u wilt configureren.

3. Kies Lijst met blokkeringen.

4. Kies Toevoegen in de opdrachtbalk onder aan de portal.

5. Voer in het dialoogvenster Ip-adresbereik invoeren een IP-adres in de vakken Startmenu Adres en Eindadres in om het bereik te maken.

6. Klik op het vinkje om de bewerking te voltooien.

IP-filtering configureren met behulp van PowerShell

Als u IP-filtering wilt configureren met behulp van PowerShell, voert u de volgende PowerShell-cmdlets uit op de controller. Vervang <begin-van-ip-blacklist-bereik> en <end-of-ip-blacklist-range> door geldige IP-adressen.

Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>

De dynamische WAS-service opnieuw starten

Start ten slotte de Dynamic WAS Service (DWASSVC) opnieuw op servers die zijn geconfigureerd om de webwerkrol uit te voeren. Voer vanaf een opdrachtprompt met verhoogde bevoegdheid de volgende opdracht uit:

net stop dwassvc
net start dwassvc

Quota instellen

Om DoS-aanvallen (Denial of Service) te voorkomen, moet u quota instellen voor CPU-, geheugen-, bandbreedte- en schijfgebruik. Deze quota kunnen worden geconfigureerd in de beheerportal voor beheerders als onderdeel van het ontwerpen van plannen.

Wanneer een plan deze quota heeft ingesteld en een website die deel uitmaakt van het plan, lijdt aan een DoS-aanval of een onbedoelde CPU-piek, wordt de website gestopt wanneer de quota worden bereikt, waardoor de aanval wordt gestopt.

De genoemde quota zijn ook nuttig tegen aanvallen die afkomstig zijn van de farm. Een brute wachtwoordaanval vanuit de farm zou bijvoorbeeld veel CPU-tijd verbruiken en, ervan uitgaande dat sterke wachtwoorden worden gebruikt, zou het CPU-quotum worden bereikt voordat het wachtwoord kan worden verbroken.

Een afzonderlijke set referenties toewijzen voor elke websiterol

Als best practice voor beveiliging na de installatie moet u de referentiesets voor de webserverfuncties bewerken, zodat ze allemaal uniek zijn. Nadat u nieuwe, unieke accounts hebt gemaakt, kunt u de referenties bijwerken in de beheerportal voor beheerders om de nieuwe accounts te gebruiken.

Referenties voor serverfuncties van websites bewerken

1. Klik in de beheerportal voor beheerders op Websiteclouds en kies vervolgens de cloud die u wilt configureren.

2. Klik op Referenties. Onder Gebruikersnaam kunt u controleren of de gebruikersnamen uniek zijn tussen de websiterollen (ze kunnen bijvoorbeeld allemaal 'Beheerder' zijn, in welk geval ze moeten worden gewijzigd).

3. Selecteer een van de referentienamen (bijvoorbeeld Beheerserverreferenties) en klik vervolgens op Bewerken in de opdrachtbalk onder aan de portal.

4. Geef in het dialoogvenster dat wordt weergegeven (bijvoorbeeld De referenties van updatebeheerserver) een nieuwe gebruikersnaam en wachtwoord op.

5. Klik op het vinkje om de bewerking te voltooien.

6. Herhaal stap 3 tot en met 5 totdat alle referentiesets uniek zijn.

Referenties regelmatig wijzigen ('roll')

Als best practice voor beveiliging is het een goed idee om regelmatig referenties te wijzigen (of 'roll'). Voor de functieservices is het beter om zowel de gebruikersnaam als het wachtwoord tegelijkertijd te wijzigen, niet alleen het wachtwoord. Als u zowel de gebruikersnaam als het wachtwoord wijzigt, wordt het probleem 'niet gesynchroniseerd' voorkomen dat zich kan voordoen wanneer alleen het wachtwoord wordt gewijzigd, maar de wijziging niet volledig is doorgegeven in de hele omgeving.

Wanneer u zowel de gebruikersnaam als het wachtwoord wijzigt, zijn beide sets referenties tijdelijk beschikbaar tijdens het rollover-proces. Twee niet-verbonden systemen die moeten worden geverifieerd, kunnen bijvoorbeeld nog steeds verbinding maken na de wijziging. Wanneer de nieuwe referenties aanwezig zijn en volledig functioneren op alle systemen, kunt u de oude set uitschakelen.

Een beperkend vertrouwensprofiel definiëren voor .NET-toepassingen

Voor .NET-toepassingen moet u een beperkend vertrouwensprofiel definiëren. Standaard Windows Azure Pack: websites worden uitgevoerd in de modus Volledig vertrouwen om de breedste toepassingscompatibiliteit mogelijk te maken. Het kiezen van het optimale vertrouwensniveau omvat een afweging tussen beveiliging en compatibiliteit. Omdat elk gebruiksscenario verschilt, moet u uw eigen best practices bepalen en volgen voor het beveiligen van de webservers met meerdere tenants in uw omgeving.

Andere aanbevolen procedures

Andere aanbevolen procedures zijn het gebruik van het principe van minimale bevoegdheden bij het maken van gebruikersaccounts, het minimaliseren van uw netwerkoppervlak en het wijzigen van systeem-ACL's om uw bestandssysteem en register te beveiligen.

Gebruik bij het maken van accounts het principe van minimale bevoegdheden

Wanneer u gebruikersaccounts maakt, past u het principe van minimale bevoegdheid toe op deze accounts. Zie Het principe van minimale bevoegdheid toepassen op gebruikersaccounts op Windows voor meer informatie.

Het netwerkoppervlak minimaliseren

Configureer uw firewall om het netwerkoppervlak op internetgerichte servers te minimaliseren. Zie de volgende bronnen (de verwijzingen voor Windows Server 2008 R2 zijn nog steeds nuttig voor Windows Server 2012 en Windows Server 2012 R2) voor informatie over Windows Firewall met Geavanceerde beveiliging.

• Windows Server 2008 R2 Step-by-Step Guide: Deploying Windows Firewall and IPsec Policies (Microsoft document download link)

• Windows Server 2008 R2 Firewall Security (WindowsITPro)

• Problemen met Windows firewall oplossen met Geavanceerde beveiliging in Windows Server 2012 (TechNet)

Systeem-ACL's wijzigen om het bestandssysteem en register te beveiligen

De volgende downloadbare hulpprogramma's kunnen helpen bij het evalueren van het bestandssysteem en de registerbeveiligingsinstellingen van een server.

• AccessChk

• AccessEnum

Zie ook

Windows Azure Pack implementeren: websites