Osiągalna z Internetu witryna lub aplikacja musi być umieszczona na serwerze – komputerze, który powinien być dostępny cały czas, udostępniając swoje zasoby klientom. Ponadto każda taka usługa powinna zostać odpowiednio zabezpieczona. Bezpieczeństwo informacji jest kluczowym aspektem dla serwisów przechowujących jakiekolwiek dane użytkowników, szczególnie jeżeli są to dane wrażliwe.

Nie każda firma może sobie pozwolić na posiadanie własnej serwerowni – pomieszczenia, w którym znajdują się serwery. Na szczęście istnieją przedsiębiorstwa zajmujące się hostowaniem serwisów na swoich maszynach. W swoich ofertach posiadają zarówno hostingi współdzielone, jak i serwery dedykowane. Przechowywanie danych użytkowników na serwerze dostępnym z Internetu wiąże się z ryzykiem uzyskania nieautoryzowanego dostępu przez crackerów. Odpowiednie zabezpieczenie informacji jest niezwykle istotne dla zaufania klientów, a także wiarygodności budowanej marki.

Rodzaje serwerów hostingowych i ich wpływ na bezpieczeństwo danych

Serwery przeznaczone do hostingu serwisów dzieli się na 3 rodzaje:

  • serwery współdzielone – wydzielona przestrzeń dyskowa i zasoby (takie jak pamięć RAM i moc obliczeniowa procesora) dla programowo symulowanego urządzenia na fizycznej maszynie. Nie gwarantuje stałej wydajności, jest ona zależna od liczby klientów, z jaką współdzieli się serwer. Ze względu na używanie oprogramowania wirtualizującego zwiększa się liczba możliwych od wykorzystania luk bezpieczeństwa,
  • serwery VPS – urządzenie symulowane programowo, jednak zasoby przydzielone są na stałe. Podobnie jak serwer współdzielony wykorzystuje oprogramowanie wirtualizujące, przez co może istnieć więcej luk bezpieczeństwa,
  • serwery dedykowane – fizyczna maszyna, której zasoby są wynajmowane na własność. Użytkownik ma w tym przypadku największe możliwości konfiguracji zarówno sprzętowej jak i programowej. Dzięki temu poziom zabezpieczeń można dostosować do własnych potrzeb.

Jak zabezpieczyć przechowywane dane

Firmy zajmujące się hostingiem serwisów powinny przede wszystkim dbać o bezpieczeństwo powierzanych im danych. Podstawowym krokiem jest stworzenie (i przestrzeganie) polityki bezpieczeństwa – dokumentu normującego procedury obsługi i eksploatacji pomieszczeń krytycznych, a także uprawnień pracowników. Przeciwko awariom mogącym spowodować utratę danych akceptowalnym poziomem zabezpieczeń jest tworzenie kopii zapasowych lub mirroring. W przypadku awarii połączenia fizycznego, dobrze jest zabezpieczyć się innym, nie powinno się uzależniać działania od pojedynczej linii, czy urządzenia (tzw. no single point of failure). Niezwykle istotne jest także odpowiednie przetestowanie udostępnianych usług. Pozwoli to wykluczyć popularne ataki, takie jak DDoS, SQL Injection, Remote i Local File Inclusion czy XSS.