Hoe beveiligt jouw webhoster de server?

Als je je server afneemt bij een professioneel hostingbedrijf, ga je er uiteraard vanuit dat dit bedrijf de beveiliging verzorgt. Maar hoe werkt dat in de praktijk en waar let jouw hostingprovider op? Laten we eens een paar dingen op een rij zetten die bij de beveiliging van jouw server belangrijk zijn.

Data opslag en privacy

In een eerdere blog besteedden we aandacht aan de strikte regels rond de beveiliging van persoonsgegevens. Zeker als je veel privacygevoelige informatie bewaart (persoonsgegevens van je webwinkel klanten bijvoorbeeld), is het zaak te weten waar jouw hosting provider zijn servers heeft staan. Staan ze bijvoorbeeld in Amerika, dan vallen ze daar onder wetgeving die vaak geen boodschap heeft aan de privacyregels zoals die hier in Nederlands gelden. Dat kan problemen opleveren als je klanten merken dat hun privégegevens in het buitenland zomaar zijn opgevraagd uit jouw database.

24*7 Monitoring

Belangrijk om te weten is of je hoster zijn netwerk en server infrastructuur – waar dus ook jouw (virtuele) server bij hoort – dag en nacht actief bewaakt met monitoring software en direct maatregelen neemt als er een verstoring is. Is die wat kleinere hostingpartij waar je verder uitstekend contact mee hebt, ook voldoende georganiseerd om zeven dagen per week en 24 uur per dag actief de eigen infrastructuur te bewaken en eventuele problemen snel op te lossen? Wordt je actief gewaarschuwd als jouw dure advertenties naar een webserver leiden die uit de lucht is, of moet je wachten tot het je opvalt dat er al uren geen bestellingen meer binnenkomen?

Geavanceerde DDoS-bescherming

Actieve monitoring is ook belangrijk om zo snel mogelijk in te grijpen bij een DDos-aanval. DDoS staat voor Distributed Denial of Service en komt erop neer dat iemand zorgt dat op een en hetzelfde moment vanuit allerlei computers verzoeken naar je server worden gestuurd. Waardoor die uiteindelijk zo druk is met het verwerpen van al die nepverzoeken dat hij uiteindelijk aan echte gebruikers niet meer toekomt, de server gaat ‘plat’. Het probleem is dat dit zeer eenvoudig is te organiseren en je kunt zo’n DDoS aanval ook letterlijk online bestellen bij hackers. Voor weinig geld kan een concurrent dus een poging laten doen om jouw servers plat te gooien. Het is belangrijk te weten of jouw hosting provider hierop is voorbereid en snel de juiste maatregelen kan nemen. En mocht je er van uitgaan dat niemand het op jouw bedrijf heeft voorzien, dan loop je bij een shared server nog steeds het risico dat een van de andere klanten op de server wél de aandacht van kwaadwillenden heeft getrokken. Zo’n DDoS aanval maakt geen onderscheid.

Betrouwbare antivirus en –spam

Een van de belangrijkste beveiligingsmaatregelen bij managed hostingdiensten is het actief monitoren van het inkomende verkeer (email, uploads) op malware en spam. Door bij de firewalls van de hostingleveranciers al de perfecte maatregelen te nemen om al het potentiële schadelijke verkeer weg te filteren, is het risico dat je via de mailserver of via je hostingpakket nog malware binnenkrijgt tot het minimum beperkt. Een goede beveiliging door de hostingaanbieder zal in de meeste gevallen voorkomen dat jijzelf nog wordt geconfronteerd met waarschuwingen op je eigen computer voor malware in emailberichten. Of dat je een externe melding ontvangt dat jouw website malware bevat, wat funest kan zijn voor je reputatie en bezoekersaantallen.

Applicatiebeveiliging en back-up

Belangrijk om op te letten is dat veel hosting partijen standaard veel doen om een aanval op of andere problemen met hun servers te vermijden, maar dat dat niet altijd betekent dat ze je ook kunnen helpen als er iets op applicatieniveau fout gaat.

Ga bijvoorbeeld uit van het scenario dat je op je hostingpakket een website hebt draaien op basis van een CMS als Joomla of WordPress. Jouw webhoster zorgt er wel voor dat de serversoftware up-to-date blijft, maar doet dat niet automatisch voor jouw CMS. Je zult er dus zelf op moeten letten dat je CMS up-to-date blijft. Zeker als je veel plug-ins of andere extensies hebt geïnstalleerd, kan dat best een uitdaging zijn. Los daarvan blijft de kans bestaan dat de database of site een keer verminkt raakt of dat hackers via een zwakte in het CMS je website hacken.

Zorg dat je ook daarop bent voorbereid. Heb je back-ups van je website? Beheer je die zelf vanuit je CMS? En zo niet, maakt dan de hoster regelmatig een back-up van jouw eigen omgeving en kun je die weer terugzetten? Met name de beveiliging en recovery op het grensvlak van de server en de eigen websites of applicaties die de klant erop draait, blijkt nogal eens voor problemen en misverstanden te zorgen.

Overigens checken veel hosting partijen tegenwoordig actief of de door jouw gebruikte CMS-software up-to-date is en of ze beveiligingsrisico’s tegenkomen. Die kan men eventueel pro-actief dichten met software als Patchman. Op die manier organiseren hostingleveranciers ook steeds beter hun website en applicatiebeveiliging voor jou. Een prettig gevoel.

Last but not least: zijn de deuren wel op slot?

Wie heeft zijn eigen hostingbedrijf ooit bezocht? De meeste mensen kennen hun hostingbedrijf alleen van de website, al dan niet aangekleed met mooie corporate foto’s die niet per se ook in de eigen hostingruimte zijn genomen. En daarom is het goed om naast technisch-inhoudelijke zaken ook stil te staan bij de verdere professionaliteit van de organisatie.

Het beroemde Amerikaanse beveiligingsbedrijf Pinkerton toont op de website regelmatig interessante beveiligingscases. Een tijd geleden zag ik daar een voorbeeld van een bedrijf dat op z’n servers grote hoeveelheden vertrouwelijke en zeer gevoelige data beheerde. Het bedrijf had de servers op de derde en vierde verdieping in het bedrijfspand staan. Naast alle IT-beveiligingsmaatregelen waren ook menselijke beveiligers aanwezig om in het gebouw over de veiligheid te waken. De analisten van Pinkerton ontdekten echter dat de beveiligers gewoon netjes over de verdiepingen waren verdeeld. De parkeergarage werd even streng bewaakt als de serverruimte…

Dat is dus misschien wel je eerste check bij het zoeken van een hosting provider. Hoe serieus is het bedrijf met beveiligingsmanagement als geheel. Want alleen goede software doet het werk niet.