網站安全性指南:10 步檢查清單

請遵循這份網站安全檢查清單,其中列出了組織應採取的 10 項關鍵措施,用於驗證和授權使用者、加密 Web 流量、減輕第三方風險、封鎖 DDoS 攻擊和機器人等。

學習目標

閱讀本文後,您將能夠:

  • 確定保護網站安全的不同方法
  • 瞭解對驗證和授權 Web 使用者的主要方法
  • 說明一些最常見的網站攻擊

複製文章連結

網站安全的重要性

對於依賴 Web 應用程式作為收入、效率和客戶見解來源的所有組織而言,網站安全都至關重要。如果組織的網站接收和儲存敏感性資料,或提供關鍵基礎架構和服務,則特別容易受到不同複雜性、規模和來源的攻擊。

鑒於網際網路威脅形勢和監管環境不斷變化,Web 應用程式安全性作為一門學科,其範圍十分廣泛且不斷發展。例如,本檢查清單的重點是如何保護網站,但保護 API 和啟用 AI 的應用程式(網站越來越多地採用這些應用程式)對大型企業來說越來越重要。

但是,所有產業和各種規模的面向公眾的網站都可以從關於技術控制、存取控制以及使用者管理的「基礎」措施中受益。為此,本網站安全指南涵蓋以下 10 項建議:

1) 使用強式驗證保護帳戶安全

建議:使用雙重驗證而不是僅密碼驗證

就像航空公司在允許乘客登機之前必須使用有效身分證件驗證乘客身分一樣,組織也必須驗證誰在登入為其 Web 應用程式提供支援的數位系統。

(透過確保個人是他們所聲稱的身分)防止未經授權存取的過程稱為驗證。驗證透過根據數位記錄檢查特定特徵或「因素」來驗證身分。

以下是最常見的驗證因素:

  • 某人知道的內容:這會檢查只有真實身分應當擁有的秘密知識,例如使用者名稱/密碼組合、安全問題或 PIN 碼。
  • 某人擁有的內容:這會檢查此人是否擁有其被發放或已知擁有的物品(類似於需要實體鑰匙才能打開房子的前門)。在數位系統中,身分驗證會檢查軟體權杖(例如行動裝置產生的代碼)或硬體權杖(例如必須透過藍牙或 USB 連接埠接入裝置的小型實體物品),然後才允許存取。
  • 某人的身分:透過生物識別特徵評估一個人固有的特質;例如,透過驗證指紋或面部識別來驗證身分。

第一種類型的問題是密碼通常可能被攻擊者猜到或竊取。由於網路釣魚中間人攻擊暴力密碼破解嘗試和密碼重用盛行,攻擊者收集被盜的登入認證變得更簡單。

因此,組織應該為其帳戶實施雙重驗證 (2FA)。雙重驗證(至少)要求兩種不同的身分驗證形式,這比只要求一種身分驗證形式更有效。雖然攻擊者並非無法破解雙重驗證,但與僅採用密碼的驗證相比,破壞雙重驗證的難度和成本要高得多。

2) 強制執行基於角色的權限

建議:僅將基於角色的權限設定給授權使用者

然而,僅僅因為某人的身分經過驗證,並不意味著他們應該可以控制一切。授權有助於確定一個經過驗證的使用者可以看到什麼和可以做什麼(即他們的權限)。

授權使用者

例如,「超級管理員」可能是唯一有權編輯所有設定和頁面的人;而「唯讀」使用者可能只能檢視網站的分析,而無法檢視其他內容。

隨著組織的擴張,其 Web 團隊中的角色數量也在增加:可能有前端開發人員、後端開發人員、安全分析師、報告分析師、Web 設計師、內容編輯人員等等。因此,定期稽核和更新基於角色的權限非常重要。

3) 使用SSL/ TLS 加密 Web 流量

建議:使用自動管理的 SSL/TLS 建立連線

任何收集和傳輸敏感性資料(如登入認證、聯絡資訊、信用卡資訊、健康資訊等)的網站都需要 HTTPS。HTTPS 可以防止網站以網路上任何窺探者都能輕易看到的方式廣播其資訊。

SSL 憑證安全瀏覽

HTTPS 透過稱為 Transport Layer Security (TLS) 的通訊協定工作,該通訊協定的先前版本稱為安全通訊端層 (SSL)

自動化 SSL/TLS

尋找提供自動管理的 SSL/TLS 憑證的服務,這些憑證使網站和應用程式能夠建立安全連線。

TLS 是隱私權與資料安全的通訊骨幹。它讓使用者能夠私密地瀏覽網際網路,而不會暴露自己的信用卡資訊或其他個人和敏感性資訊。

使用 SSL/TLS,用戶端(例如瀏覽器)可以驗證所連接伺服器的真實性和完整性,並使用加密來交換資訊。這反過來又有助於防止中間人攻擊,並滿足某些資料合規性要求。

還有其他好處:TLS 有助於最大限度地減少延遲以加快網頁載入時間,而且搜尋引擎往往會降低未能使用加密的網站的優先順序。

請記住,每個 SSL/TLS 憑證都有固定的到期日期,並且這些憑證的有效期會隨著時間的推移而縮短。如果憑證過期,用戶端(例如訪客的瀏覽器)將認為無法建立安全連線,從而導致警告或錯誤。錯過憑證續訂也會降低網站的搜尋引擎排名,但某些服務可以處理自動續訂。

4) 透過 HTTPS 或 TLS 加密 DNS 流量

建議:使用 DNS 加密確保使用者瀏覽的安全和隱私

從技術上講,網站內容並不存在於像 www.example.com 這樣的 URL 中,而是存在於像 192.0.2.1 這樣的唯一 IP 位址中。將 URL 轉換為機器友好的 IP 位址的過程稱為網域名稱系統 (DNS) 查閱;DNS 記錄是網際網路關於哪個 IP 位址與特定網域關聯的說明。

然而,預設情況下,DNS 查詢和回應以純文字 (UDP) 傳送,這意味著網路、ISP 和其他可能監控傳輸的人可以讀取它們。這可能對安全和隱私產生巨大影響。如果 DNS 查詢不是私密的,那麼政府審查網際網路和攻擊者追蹤使用者的線上行為就會變得更加容易。

使用免費的 DNS 解析程式,透過以下選項之一加密 DNS 流量

  • DNS over TLS (DoT) 是一種加密 DNS 查詢以確保其安全和私密的標準。它讓網路管理員能夠監控和封鎖 DNS 查詢,這對於識別和阻止惡意流量非常重要。
  • DNS over HTTPS (DoH) 是 DoT 的替代方案。使用 DoH 時,DNS 查詢和回應會加密,但它們是透過 HTTP 或 HTTP/2 通訊協定傳送,而不是直接透過 UDP 傳送。這使網路管理員的可見度降低,但為使用者提供了更多的隱私。

5) 整合 DNS 安全性

建議:使用專門構建的 DNS 安全性解決某些 DNS 系統限制

DNS 系統本身的設計並未充分考慮安全性,且包含一些設計限制。例如,它無法自動保證 DNS 記錄的來源,並且它會毫無疑問地接受提供給它的任何位址。因此,DNS 伺服器可能容易受到網域詐騙DoS(阻斷服務)攻擊等。

基於 DNS 的 DDoS 攻擊

DNS安全 (DNSSEC) 有助於解決 DNS 的一些設計缺陷。例如,DNSSEC 透過向現有 DNS 記錄新增加密簽章來確保網域名稱系統的安全性。透過檢查其相關聯的簽章,組織可以驗證所請求的 DNS 記錄是來自其權威名稱伺服器,而不是虛假記錄。

一些 DNS 解析程式已經整合了 DNSSEC。此外,請尋找能夠提供內容篩選(可以封鎖已知分發惡意程式碼垃圾郵件的網站)和殭屍網路防護(封鎖與已知殭屍網路的通訊)等功能的 DNS 解析程式。這些安全的 DNS 解析程式中有許多都可以免費使用,並且可以透過變更單個路由器設定來啟用。

6) 隱藏來源 IP 位址

建議:使攻擊者更難找到您的伺服器

如果攻擊者找到組織伺服器的來源 IP(即實際託管 Web 應用程式資源的位置),他們可能能夠直接向伺服器傳送流量或攻擊。

根據現有的 DNS 解析程式,以下步驟也可以協助隱藏來源 IP

  • 不要在與受保護的 Web 資源相同的伺服器上託管郵件服務,因為傳送到不存在的位址的電子郵件會被退回給攻擊者,從而洩露郵件伺服器的 IP。
  • 確保 Web 伺服器不會連線至使用者提供的任意位址。
  • 由於 DNS 記錄位於公用網域中,因此請輪換來源 IP。

7) 防範 DDoS 攻擊

建議:實施永遠開啟的 DDoS 緩解和限速

在最糟糕的情況下,分散式阻斷服務 (DDoS) 攻擊可能會使網站或整個網路長時間離線。

當大量電腦或裝置(通常由單一攻擊者控制)嘗試同時全部存取網站或線上服務時,就會發生 DDoS 攻擊。這些惡意攻擊旨在使資源離線並使其不可用。

應用程式層 DDoS 攻擊仍然是針對 Web 應用程式的最常見攻擊類型,並且在規模和頻率方面變得越來越複雜。

應用程式層 DDoS 攻擊

尋找以下基本的 DDoS 預防工具:

  • 永遠開啟的 DDoS 緩解:尋找具有以下功能的可擴展、「永遠開啟」的 DDoS 防禦:
    • 盡可能在靠近攻擊來源的地方自動化解惡意流量(從而減少終端使用者延遲和組織的停機時間)
    • 非計量、無限制的 DDoS 攻擊緩解(避免因攻擊流量激增而產生額外費用)
    • 針對所有 DDoS 攻擊類型(包括應用程式層和網路層攻擊)的集中、自主保護
  • 限速:限速是一種限制網路流量的策略。它本質上是對某人在特定時間範圍內重複動作的次數設定上限——例如,當殭屍網路試圖對 Web 應用程式進行 DDoS 攻擊時。這就好比警察將超速的司機攔下。有兩種限速:
    • 基於 IP 的標準限速,可保護未經驗證的端點,限制來自特定 IP 位址的請求數量,並處理屢次違規者的濫用行為
    • 進階限速,還可以保護 API 免遭濫用、緩解來自已驗證 API 工作階段的巨流量攻擊,並提供更多自訂

    全面的 DDoS 威脅防禦還取決於多種方法,這些方法可能因組織的規模、網路架構和其他因素而異。進一步了解如何防止 DDoS 攻擊

    8) 管理第三方指令碼和 Cookie 使用

    建議:尋找專門用於解決用戶端側風險的工具

    在 Web 開發中,「用戶端側」是指 Web 應用程式中在用戶端(終端使用者裝置)上顯示或進行的所有內容。這包括網站使用者看到的內容,例如文字、影像和 UI 的其餘部分,以及應用程式在使用者瀏覽器中執行的任何動作。

    大多數用戶端側事件需要將 JavaScript 和其他第三方程式碼載入到 Web 訪客的瀏覽器中。但是,攻擊者會試圖破壞這些依賴關係(例如透過 Magecart 式攻擊)。這使得訪客容易受到惡意程式碼、信用卡資料盜竊、加密挖掘等風險的影響。

    用戶端側指令碼監控

    Cookie 也會帶來用戶端側風險。例如,攻擊者可以利用 Cookie 讓網站訪客遭受 Cookie 竄改,最終導致帳戶盜用或支付欺詐。然而,網站管理員、開發人員或合規團隊成員通常甚至不知道他們的網站使用了哪些 Cookie。

    若要降低來自第三方指令碼和 Cookie 的風險,請實作這樣一種服務:

    • 自動探索並管理第三方指令碼風險;以及
    • 提供對網站使用的第一方 Cookie 的完整可見性。
  • 9) 封鎖機器人和其他無效流量

    建議:主動識別和緩解惡意機器人流量

    有些機器人是「善意」的,可以執行所需的服務,例如授權的搜尋引擎爬蟲。但是,也有一些機器人如果不加以控制,會造成破壞和危害。

    線上銷售實體商品或服務的組織特別容易受到機器人流量的攻擊。機器人流量過多會導致:

    • 效能影響:過多的機器人流量會為 Web 伺服器帶來沉重的負載,導致減慢或拒絕向合法使用者提供服務
    • 營運中斷:機器人可以從網站剽竊或下載內容、快速傳播垃圾內容或囤積企業的線上庫存
    • 資料竊取和帳戶盜用:機器人可以竊取信用卡資料、登入憑證並接管帳戶

    尋找符合以下條件的機器人管理服務:

    • 透過對巨量流量套用行為分析、機器學習和指紋識別,準確地大規模識別機器人
    • 允許善意機器人(例如屬於搜尋引擎的程式)繼續到達網站,同時阻止惡意流量
    • 與其他 Web 應用程式安全性和效能服務輕鬆整合
    • 10) 追蹤和分析 Web 流量和安全指標

      建議:透過資料驅動的決策提高 Web 安全性

      包含可行動資料的分析和記錄對於持續提高 Web 效能和安全性非常重要。

      例如,記錄和應用程式安全性儀表板可以提供對以下內容的深入解析:

      • HTTP 流量中的潛在威脅,以便能夠識別和偵錯影響終端使用者的錯誤
      • 攻擊變體及其惡意負載(例如,插入攻擊與遠端程式碼執行攻擊),以便相應地「調整」和強化系統
      • DNS 查詢流量以及查詢隨時間變化的地理分佈,以發現異常流量

      瞭解 Web 流量分析是進行持續風險評估的關鍵部分。這樣,組織可以做出更明智的決策,瞭解如何改善應用程式效能,以及在何處增加安全投資。

      Cloudflare 如何協助保護網站安全?

      Cloudflare 的全球連通雲簡化了 Web 應用程式的安全性和交付,提供一整套整合式服務來連接和保護組織的 Web 應用程式和 API。

      這些服務包括 DDoS 防護、產業領先的 Web 應用程式防火牆 (WAF)機器人管理用戶端側安全性API 閘道、免費公用 DNS 解析程式、免費 SSL/TLS 憑證、全面的 Web 效能和安全分析等等。

      若要探索符合您網站需求的服務,請造訪 www.cloudflare.com/zh-tw/plans/