15 soovitust Drupali turvalisuse tagamiseks

Novembris toimusid küberrünnakud Eesti riigiasutuste vastu ning selle tulemusel lekkis vähemalt 350 GB jagu erinevaid andmeid ja pea 10 000 koroonapositiivse eestlase isikuandmed. Geeniuse andmetel said rünnakud alguse sisuhaldustarkvarast Drupal ja LimeSurvey andmebaasist. Avatud lähtekoodiga sisuhaldustarkvara Drupal on võimalusterohke ja turvaline lahendus, kui seda õigesti ja turvaliselt kasutada. ADMi arendusjuht Ivo Nellis jagab olulisi nippe, kuidas tagada Drupali turvaline kasutamine sõltumata organisatsiooni suurusest.

Veebitehnoloogiate uuringufirma W3Techs andmeil põhineb avatud lähtekoodiga sisuhaldustarkvaral Drupal vähemalt 1,5% kõikidest maailma veebilehtedest ning kõige populaarsem Drupali versioon on 7, mida kasutab 66,8% kõikidest Drupaliga veebilehtedest. Drupal on tänu oma laiale funktsionaalsusele ja töökindlusele ära teeninud paljude suurte organisatsioonide usalduse – seda kasutab näiteks Euroopa Liidu ametlik veebileht europa.eu, USA Terviseamet (nih.gov), Harvardi ülikool (harvard.edu), New Yorki maakonna ametlik veeblehekülg ja väga palju teised. Drupal on usaldusväärne ja üks parematest sisuhaldussüsteemidest, kuid ainult siis, kui seda turvaliselt kasutada.

Uuendamine

1. Alati ajakohase tarkvara kasutamine on turvalisuse alus ning Drupal ei ole siinkohal erand. Drupali spetsiaalne turvameeskond seisab hea selle eest, et kogu turvaparanduste teostamise protsess oleks veebiarendajate jaoks hästi defineeritud ja juhitud. Ainuüksi see veel turvalisust siiski ei taga. Lisaks peab Drupalit kasutavas organisatsioonis olema alati eelnevalt kokku lepitud protsess, kuidas turvauuendusi teostatakse, st kellegi ülesanne peab olema jälgida infot, mida Drupali uuenduste kohta saadetakse. Selleks on olemas erinevad võimalused alates uudistevoost ja lõpetades arendajatele suunatud meililistidega.
2. Drupali tuuma turvauuendused avaldatakse kindlatel aegadel, mis on varem paika pandud ja avalikustatud. Nii avaldatakse iga kuu esimesel kolmapäeval Drupali versioonide 9.1.x, 8.9.x ja 7.x veaparandused. Iga kuu kolmandal kolmapäeval avaldatakse Drupal versioonide 9.1.x, 9.0.x, 8.9.x ja 7.x turvauuendused. Drupali lisamoodulitega seotud turvauuendused avalikustatakse samuti alati kolmapäeviti, ettemääratud ajavahemikus.
3. Et ükski uuendus kindlasti märkamata ei jääks, tuleb Drupali saidil aktiveerida automaatsete uuenduste moodul ning saidi olekuraportit perioodiliselt kontrollida. Soovitav on seadistada uuenduste moodul nii, et turvauuenduste ilmumisel saadetaks selle kohta automaatselt e-kirjaga vastav teavitus.

Kasutajate õigused

Iga sisuhaldussüsteemi turvaline kasutamine algab kasutajatest, kes selle kaudu veebilehele sisu loovad. Kuidas süsteemi sisse logitakse ning milliseid paroole ja kasutajanimesid kasutatakse, on siinkohal kriitilise tähtsusega.

1. Drupali administraatori kasutajanimi on vaikimisi “admin”. See tuleb kindlasti ära muuta, sest kasutajanime teadmine kergendab rünnakute õnnestumist.
2. Kindlasti ei tohi taaskasutada parooli, millega teistele saitidele sisenetakse. Selle asemel tuleb genereerida unikaalne parool, hoida seda ainult enda teada ja vahetada regulaarselt.
3. Kuigi Drupal on paika pannud turvalise parooli reeglid, peab neisse suhtuma kui minimaalsetesse nõuetesse ning kehtestama rangemad reeglid, mida järgitakse kogu organisatsioonis.
4. Kõikide kasutajate kõiki tegevusi tuleb alati logida, et tagada alati pidev ülevaade muudatustest. Oluline on jäädvustada tegevuse aeg, kasutaja andmed, kontekst (nt kasutatud moodulid, konkreetne CMSi osa vmt) ja tehtud tegevus.
5. Soovitame regulaarselt auditeerida kõikide Drupali kasutajate rolle ja õigusi. See on ennekõike hädavajalik suurtes organisatsioonides, kus inimesed sageli vahetuvad, kuid ka väiksemates, ainult paari kasutajaga ettevõtetes on oluline teada, kellel ja millele on ligipääs.
6. Serverile ligipääsuks tuleb kindlasti kasutada ainult turvalist SSH-ühendust ning võimalusel lubada ligipääs ainult ettemääratud IP-aadressidelt või piirkonnast.
7. Kasutajatele on soovitav anda ainult minimaalselt vajalikud õigused. Kui kasutajatel on juurdepääs ainult sellisele teabele ja ressurssidele, mis on vajalik tema töö tegemiseks, siis väheneb ka turvaoht. Näiteks, kui kasutaja tööülesanne on seotud ainult varundamisega, siis ei ole tal vaja tarkvara installimise õigust.

Moodulid

Drupali üks tugevustest on moodulite suur hulk – neid on pea 50 000 ja need kõik on tasuta, kusjuures igaüks saab luua oma mooduli. Ilma lisamooduliteta ei oleks Drupal piisavalt funktsionaalne, kuid samal ajal võivad moodulid ka nõrkuseks osutuda, kui neid valesti kasutada.

1. Võimalusel tuleb kasutada ainult stabiilseid lisamooduleid ning vältida “unsupported” olekus mooduleid.
2. Soovitame hoida kasutatavate moodulite hulga madalal ning kõik moodulid, mida ei kasutata, alati eemaldada. See on küll teatav lisatöö administraatorile, kuid aitab hoida võimalikke ründekohti kontrolli all.
3. Drupali moodulite ja sõltuvuste halduseks ja uuendamiseks on soovitav kasutada Composerit.
4. Kasutage Drupali turvamooduleid, mille hulgas on kõik vajalik turvalisuse tagamiseks alates kaheastmelisest autentimisest kuni captchadeni.
5. Kui kasutatakse funktsionaalsust, mis lubab veebikasutajatel veebilehele faile laadida, siis tuleb kindlasti häälestada privaatne failisüsteem.