Security 保护web服务器数据的最佳做法

假设我经营一家医疗机构，并希望有一个网站，让我的用户/患者可以在那里查阅他们的私人记录。针对最常见的攻击的最佳解决方案是什么

即使我使用在某处购买的私人服务器，并依赖其监控服务，也有可能有人发现安全漏洞并窃取我的数据。我的生意完了

这种架构的最佳实践是什么？这就是我的想法：

所有记录都存储在我的家庭计算机中（脱机），并使用我的个人密钥进行加密。在这台计算机中有患者记录以及每个用户的私钥和公钥。这台计算机按原样将新数据、加密程序上载到Web服务器

Web服务器仅包含加密数据

我向我的用户提供公钥。无论是使用从其他地方发送的电子邮件，还是通过蜗牛邮件

Web服务器对每个请求解密数据。因为用户密码是它的公钥，所以服务器上的描述只能在有活动会话时发生

由于存在不对称密钥，我甚至可以在Web服务器（用户输入）上插入新的加密数据，然后将其提取到脱机计算机

缺点：请求新密码要求脱机计算机上载重新加密的数据，并以某种方式发送新密码

优势：降低Web服务器安全问题的相关性

这是最好的解决方案吗？

您的问题是，这种体系结构的最佳实践是什么

我喜欢这篇来自Microsoft的《保护面向Internet的Web服务器的安全最佳实践》，这篇文章有11个版本。假设其中一些是特定于Microsoft平台的，您可以将许多概念应用于独立于平台的解决方案

根据请求识别网络流：如果您知道服务器应该接收和发送的常规网络流，那么您可以允许并检查（内容/请求检查）它们，而其他流量/流在默认情况下会被拒绝（通过防火墙）。这是一种网络隔离措施，可降低恶意软件传播（或成功入侵深入生产网络）的风险

确保您的DMZ不可能使用“源到任何”或“源到多个”之类的规则直接访问您的LAN（需要仔细检查防火墙/路由器规则）

确保没有直接请求web服务器的方法，绕过安全过滤层您的web服务器至少应该有一个三层过滤器：

接受的协议和源：防火墙（和路由器）

动态网络流量检查：NIPS（网络入侵保护系统），用于检测/阻止恶意网络请求。您可能希望查看MAPP以找到Microsoft合作伙伴（www.Microsoft.com/security/MAPP/此链接位于TechNet Wiki外部。它将在新窗口中打开）。还请记住，NID的目的只是检测而不是阻止恶意流量（与NIP相反），但另一方面，它们不会为业务流造成任何拒绝服务风险

面向应用程序的安全性：WAF（Web应用程序防火墙），紧挨着Web应用程序/站点，它允许强化请求控制，并收紧过滤器以匹配Web应用程序的特定性。IIS7的ModSecurity（请参阅：此链接是TechNet Wiki的外部链接。它将在新窗口中打开）是一个工具示例，可用于对HTTP（S）事务进行健壮的审计日志记录，并对已识别的漏洞进行虚拟修补。与捆绑的OWASP ModSecurity核心规则集（CRS）一起，它提供了针对应用层攻击和信息泄漏的基本保护

确保客户端不能直接向服务器发送请求（从TCP的角度来看），否则可能会助长攻击。因此，通过部署反向代理作为web服务器的前端，确保网络隔离。这将允许更轻松地管理可以合法发送到服务器的网络流（包括负载平衡等其他需求）。Forefront UAG可以是此类解决方案的一个例子，也可以是MAPP计划中的任何其他解决方案。请注意，某些反向代理可能提供高级安全功能

遵循ASP.Net代码的安全最佳实践，以防止代码注入：此链接位于TechNet Wiki外部。它将在新窗口中打开。SQL注入：此链接位于TechNet Wiki的外部。它将在新窗口中打开。从更全局的角度来看，请参考SDL：此链接是TechNet Wiki的外部链接。它将在新窗口中打开。定期审核托管代码

尽可能加强加密网络通信，同时考虑到您正在运行的Windows系统上可用的SSL/TLS实现：此链接位于TechNet Wiki外部。它将在新窗口中打开。默认情况下，我们的建议是TLS 1.1/1.2。请记住，这必须在客户端和服务器端都启用

确保DMZ内的机器未加入常规生产域。AD隔离在森林层，因此强烈建议不要在DMZ中使用生产AD。请使用其他林，或部署AD轻型目录服务

通过AppLocker实现应用程序的白名单/黑名单，例如：此链接位于TechNet Wiki外部。它将在新窗口中打开

确保您拥有所有相关（和必需的）可追溯性链