يظل الأمن أولوية قصوى للعديد من المنظمات ، وخاصة تلك الموجودة في الصناعات التي تدير الكثير من المعلومات الحساسة ، مثل الحكومة والرعاية الصحية.
نتيجة لذلك ، يتحمل مسؤولو تكنولوجيا المعلومات مسؤولية حاسمة لحماية محتوى الموقع وبيانات المستخدم والتخفيف من نقاط الضعف المحتملة. يمكن أن تهدد انتهاكات البيانات أو التسريبات من حقوق خصوصية العملاء والموظف وتؤدي إلى غرامات وأضرار في السمعة. يمكن زيادة هذه المخاطر إذا كانت المؤسسة تستخدم أنظمة إدارة المحتوى مفتوحة المصدر ، مثل Drupal.
تشمل أفضل الممارسات للحفاظ على الأمن في أنظمة دروبال ما يلي:
- استخدم أحدث إصدار.
- احتياطي مواقع الويب بانتظام.
- تأمين أذونات الملف.
- يُمكَِن مصادقة ثنائية العوامل.
- الحد من أدوار المستخدم والأذونات الآمنة.
- مراقبة سجلات للنشاط المشبوه.
- نشر طبقة مآخذ آمنة (SSL) للإنترانت.
يمكن أن تساعد أفضل الممارسات التالية للمسؤولين على حماية البيانات الحساسة والحفاظ على الامتثال التنظيمي.
1. استخدم أحدث إصدار
المنظمات التي تستضيف دروبال في القطاع الخاص أو العام مراكز البيانات يجب دائمًا تشغيل أحدث إصدار من النظام الأساسي ووحداته لأن هذه الإصدارات تتضمن أحدث تصحيحات الأمان. بالإضافة إلى ذلك ، لأن دروبال مفتوح المصدر و يستخدم على نطاق واسع، قد يكون لدى المتسللين معرفة متقدمة بنقاط الضعف التي يمكنهم استغلالها ضد المنظمات.
يجب على المشرفين التحقق بشكل متكرر واجهة Drupal Admin الخاصة بهم ومراجعة التقارير الموجودة على البوابة لتحديد ما إذا كانت التحديثات متاحة للإصدار الحالي.
2. احتياطي المواقع بانتظام
يتطلب النسخة الاحتياطية لموقع Drupal من المسؤولين إنشاء نسخ من قاعدة بيانات وملفات موقعهم لمنع فقدان البيانات. يجب على المسؤولين أداء النسخ الاحتياطية بانتظام وإنشاء سياسة تتطلب من المنظمة الاحتفاظ بعدة نسخ من النسخ الاحتياطية في الموقع وخارج الموقع.
يمكن أن تساعد أدوات الأمن السيبرانية ، مثل Acronis أو البرامج النصية المخصصة ، Admins أتمتة هذه العملية. المنظمات التي تتطلب أكثر تعمقا خطة التعافي من الكوارث يمكن استخدام أدوات النسخ الاحتياطي للبيانات ، مثل VEEAM أو RSYNC ، لحماية تكوين الخادم والإعدادات.
3. أذونات الملفات الآمنة
تملي أذونات الملف من يمكنه قراءة الملفات أو كتابة أو تنفيذها على خادم. يجب على المسؤولين تعيين وتكوين هذه الأذونات بشكل صحيح حماية المحتوى من الوصول غير المصرح به.
من الناحية المثالية ، يجب على المسؤولين تعيين هذه الأذونات مباشرة بعد التثبيت والتكوين لتجنب مشكلات الوظيفة. إذا انتظروا ، فإن أي تغييرات في أذونات الملف يمكن أن تمنع ميزات دروبال الحرجة.
4. تمكين المصادقة ثنائية العوامل
مصادقة ثنائية العوامل ، نوع من المصادقة متعددة العوامليضيف طبقة من الأمان التي تتطلب من المستخدمين التحقق من هويتهم من خلال طريقتين ، مثل كلمة المرور أو الرمز المميز الفعلي أو رمز لمرة واحدة تم إرسالها إلى هواتفهم.
يجب على Drupal Admins تثبيت وحدة المصادقة ثنائية العوامل في النظام الأساسي لفرض استخدامه داخل بوابات الويب وتطبيقه على كل من المستخدمين النهائيين والمسؤولين.
5. الحد من أدوار المستخدم والأذونات الآمنة
لكل من أذونات المستخدم والمشرف ، يجب على مدراء دروبال تنفيذ أ سياسة حوكمة البيانات للتأكد من أنه يمكن للمستخدمين الوصول إلى الملفات التي يحتاجونها فقط. يتطلب مقياس الأمن هذا التخطيط الاستراتيجي وسياسات واضحة لتجنب الأذونات المفرطة ، أو منح المستخدمين الوصول إلى ما وراء ما يحتاجون إليه للقيام بوظائفهم. يمكن أن تؤدي الحسابات المفرطة في التقديم إلى تغييرات عرضية وانتهاكات البيانات.
6. مراقبة سجلات النشاط المشبوه
مثل العديد من المنصات الأخرى ، تقدم Drupal سجلات تسجل أنشطة الموقع ، مثل محاولات تسجيل الدخول وتغييرات التكوين والأخطاء. يمكن للمشرفين تحقق من هذه السجلات للسلوك غير الطبيعي ومحاولات الوصول غير المصرح بها المحتملة ، بما في ذلك تسجيلات تسجيلات فاشلة ، والتغييرات الإدارية غير المصرح بها ، والوصول من عناوين IP غير الآمنة والخارجية. يمكن أن تساعد هذه السجلات على المسلمين تحديد مواطن الضعف وتحسين الموقف الأمني العام لموقعهم.
تقدم العديد من أدوات مراقبة الأمان في السوق ، مثل WatchDog و Splunk ، تنبيهات في الوقت الفعلي بناءً على قواعد محددة مسبقًا أو مخصصة.
7. نشر SSL للإنترانت
يمكن للمسؤولين في بعض الأحيان التغاضي عن الخادم أو تجاهلهم http حركة المرور ، التي تشير إلى الاتصال بين متصفح الويب والخادم. لذلك ، يجب على المسؤولين استخدام شهادة SSL لتشفير جميع المصادقة والوصول إلى البيانات بين متصفح المستخدم النهائي وخادم الويب. تمنع هذه الممارسة الجهات الفاعلة السيئة من اعتراض البيانات أثناء الإرسال.
يدير Reda Chouffani ممارسة استشارية شارك في تأسيسها ، وهي شركة Biz Technology Solutions Inc. ، وهي CTO في New Charter Technologies. وهو مستشار تكنولوجيا مع التركيز على الرعاية الصحية والتصنيع ، خبير السحابة ومهندس ذكاء الأعمال الذي يساعد المؤسسات على تحقيق أفضل استخدام للتكنولوجيا.
