Nacházíte se zde: Úvod » Webhosting » Bezpečnost

Bezpečnost

Bezpečnost serverů a provozovaných služeb je naší prioritou. Na této stránce stručně představujeme naše řešení vnější i vnitřní bezpečnosti.

Fyzická bezpečnost

Všechny produkční technologie (servery, síťové prvky apod.) provozujeme v pečlivě prověřených profesionálních datacentrech, které splňují naše požadavky na špičkovou úroveň služeb. Datacentra kromě optimálních podmínek pro nepřetržitý provoz zajišťují také nezbytnou fyzickou ochranu a prevenci neoprávněného přístupu a zneužití našich technologií, včetně nepřetržitého monitoringu kamerovým systémem dohledovým centrem.

Přístup k našim technologiím v datacentrech má pouze úzký okruhu zaměstnanců s odpovídající kvalifikací a proškolením. V datacentrech probíhá autorizace přístupu formou vícefaktorové osobní identifikace. Naše technologie máme umístěny ve vyhrazených stojanech (rack), které nejsou přístupné jiným zákazníkům datacenter.

Síťová bezpečnost

Každý provozovaný server má vlastní softwarový firewall s komunikačními pravidly připravenými přesně pro účel jeho využití. Kromě toho je celá naše síť chráněna IDS/IPS ochranou proti útokům na různých síťových vrstvách. I odchozí provoz prochází různými kontrolami s cílem eliminovat škodlivou komunikaci. Vzdálený administrátorský přístup na jednotlivé servery je omezen jen na vybrané IP adresy.

Bezpečnost software a uživatelských dat

Jedním ze základních předpokladů bezpečnosti používaného software jsou jeho aktualizace. Ty důsledně provádíme průběžně podle potřeby a závažnosti změn v nových verzích.

Řešení vnitřní bezpečnosti serverů a uživatelských dat na nich se liší podle jednotlivých typů služeb. Základem je vždy oddělený přístup k datům příslušejícím jednomu uživateli. Stejné řešení používáme na sdílených hostingových službách i službách vyhrazených (virtuálních a dedikovaných managed serverech). U vyhrazených serverů je bezpečnost dat ještě zvýšena tím, že server používá pouze jeden uživatel, a diskové oddíly jsou plně vyhrazené.

Webservery

Bezpečnost dat a aplikací na webserverech řešíme na několika úrovních. Jednotlivé webhostingy (domény) mají na webserveru vlastní adresář přiřazený unikátnímu systémovému vlastníkovi a skupině. Přístup k datům je tedy oddělen již na systémové úrovni. Další oddělení přístupu je pak dáno restriktivní konfigurací jednotlivých programů (webserver, PHP, FTP server, Git...). Kromě toho běží jednotlivé programy v omezeném prostředí a nemají tak přímý přístup do celého systému a k programům ostatním.

E-maily

Data jednotlivých uživatelů (tj. e-mailových schránek) jsou podobně jako na webserveru oddělena již na systémové úrovni strukturou systémových uživatelů a jejich oprávnění. Přístup k datům jednoho uživatele protokoly pro práci s poštou (IMAP, POP3) je možný pouze po zadání platného uživatelského jména a hesla.

Databáze

Bezpečnost přístupu a uložení dat v databázích řeší samy databázové systémy. Pro přístup ke konkrétním datům je třeba zadat uživatelské jméno a heslo příslušného uživatele. Databáze jsou standardně dostupné lokálně pro webové aplikace a vzdáleně pomocí šifrovaného SSH tunelu (viz. nápověda k MySQL/MariaDB resp. PostgreSQL).

Samozřejmostí je přístup ke všem službám a nástrojům pro správu pomocí šifrovaných protokolů (HTTPS, SSH, SFTP/SCP, IMAPS, POP3S apod.).

Zálohování

Prvním stupněm zálohování dat je redundance v diskových polích, na nichž jsou data na serverech uložena. Pole jsou vždy zrcadlena (pro různé typy použití používáme různé typy polí, obvykle RAID 1, RAID 5 nebo RAID 10), takže případná havárie nějakého disku neohrozí provoz a neznamená ztrátu dat. Kromě toho všechna data pravidelně (zpravidla každou noc) zálohujeme na specializované zálohovací servery, ty nejsou z bezpečnostních důvodů přímo připojeny do Internetu. Zálohy navíc ještě kopírujeme do sekundárního datacentra, takže je máme odděleny i geograficky.

Pro všechny typy používaného hardware máme skladem rezervní komponenty (disky, procesory, paměti, napájecí zdroje atd.), nebo rovnou celé sestavené servery. Těmi jsme v případě havárie připraveni nahradit vadné díly, nebo celé stroje.

Klientská sekce a správa služeb

Pro správu poskytovaných služeb poskytujeme uživatelům vlastní on-line klientskou sekci, kterou sami vyvíjíme, a dbáme na její maximální bezpečnost. Jsme tak nezávislí na omezení produktů 3. stran a odolní vůči zranitelnosti vycházející z veřejných chyb.

Hesla

Uživatelská hesla neukládáme v čitelné podobě, vždy je skladován pouze jednosměrně zašifrovaný otisk. V naší klientské sekci využíváme pro šifrování algoritmus bcrypt.

Doporučení pro bezpečnost uživatelských aplikací

Nedílnou součástí bezpečného provozu je i bezpečnost práce uživatelů s hostingovými službami a bezpečnost uživatelských aplikací. Ani nejlepší zabezpečení hostingu nemůže zabránit veškerým potenciálním hrozbám vyplývajícím např. z bezpečnostní chyby v aplikaci uživatele, nebo nedostatečné ochrany uživatelova hesla.

Všechny faktory sami ovlivnit nemůžeme, ale poskytujeme nástroje pro bezpečnou práci uživatelů při využívání služeb i poradenství a doporučení v této oblasti. Pro úplnost uvedeme některé tipy, které pomohou udržet Vaše data a aplikace v bezpečí:

  • Bezpečná aplikace - používejte jen prověřené aplikace a dbejte na zabezpečení od jejich autorů. Pokud používáte nějaké open-source řešení (WordPress, Joomla, Prestashop apod.), doporučujeme průběžně sledovat jeho vývoj, a aplikaci a všechny její součásti pravidelně aktualizovat.
  • Bezpečná práce se službami - pro připojení k serverům používejte výhradně šifrované protokoly. Pro přenosy souborů je to SFTP/SCP, rsync přes SSH nebo Git over SSH, pro práci s e-maily POP3S nebo IMAPS.
  • Silná hesla a ochrana hesel - používejte dostatečně silná hesla a hesla ve svém počítači ukládejte bezpečně (šifrovaně), nebo je neukládejte vůbec (pro přenosy souborů můžete použít bezheslovou autorizaci pomocí SSH klíčů).
  • Šifrované spojení na web - své stránky mějte přístupné zabezpečeným protokolem HTTPS. Zajistit to můžete zdarma s využitím certifikátu Let‘s Encrypt, nebo některým ze široké nabídky komerčních SSL certifikátů.
  • Šifrování dat - pokud ve své aplikaci či e-mailech pracujete s osobními či citlivými údaji, šifrujte je.

Další domény za akční ceny

Nestačí vám webhosting?

Virtuální servery od 85 Kč
Dedikované servery od 2 975 Kč

Ocenění Českého hostingu - Nejlepší webhosting PHP + MySQL a Webhosting roku Twitter Českého hostingu

Zákaznická podpora je nyní off-line