Bosh sahifa Wiki Hardening

Hardening

Hardeningoperatsion tizim, application, database, network qurilma yoki cloud muhitning attack surface’ini kamaytirish va xavfsiz konfiguratsiyasini kuchaytirish jarayoni. Hardening yangi security funksiyani qo‘shishdan ko‘ra mavjud componentlarni minimal, nazoratli va himoyalangan holatga keltirishga qaratiladi.

Default konfiguratsiya ko‘pincha universal foydalanish va qulaylik uchun yaratiladi. Production muhit esa aniq vazifa va threat modelga mos ravishda cheklanadi.

Attack surface

Attack surface — attacker interaction qila oladigan barcha entry pointlar to‘plami.

Bunga:

kiradi.

Keraksiz entry pointni o‘chirish uni himoyalashdan ko‘ra samaraliroq bo‘lishi mumkin.

Minimal installation

Serverga faqat vazifasi uchun kerakli package va service’lar o‘rnatiladi.

Keraksiz:

olib tashlanadi.

Kam component kamroq patch va zaiflik maydonini anglatadi.

Service’larni o‘chirish

Ishlatilmaydigan daemon va network listenerlar disabled qilinadi.

Har ochiq port uchun:

ma’lum bo‘lishi kerak.

Port yopiq bo‘lsa unga tegishli remote exploit yo‘li ham kamayadi.

Default credential

Default account va parollar almashtiriladi yoki account butunlay o‘chiriladi.

Bunga:

kiradi.

Credential unique va secret manager orqali boshqariladi.

Least privilege

Service minimal OS user va permission bilan ishlaydi.

U:

  • root bo‘lmasligi;
  • boshqa application file’larini o‘qimasligi;
  • kerak bo‘lmagan networkga chiqmasligi;
  • barcha database table’ga ega bo‘lmasligi;
  • cloud administrator rolini olmasligi

kerak.

Compromise bo‘lsa zarar doirasi kamayadi.

File permission

Configuration, private key, token va loglar uchun owner va permission tekshiriladi.

Sensitive file:

  • public read bo‘lmaydi;
  • web rootda saqlanmaydi;
  • backupda shifrlanadi;
  • temporary directoryga tasodifan yozilmaydi.

Executable va writable directorylar ajratiladi.

Patch

OS, firmware, runtime, framework va dependencylar muntazam yangilanadi.

Hardening faqat config checklist emas.

Patch qilinmagan service eng yaxshi firewall ortida bo‘lsa ham ichki attack yoki bypassga zaif qolishi mumkin.

End-of-life product almashtiriladi.

Authentication

Administrator access uchun:

  • MFA;
  • individual account;
  • short session;
  • lockout yoki throttling;
  • secure recovery;
  • audit

qo‘llanadi.

Shared administrator account javobgarlik va revocationni qiyinlashtiradi.

Remote access

SSH, remote desktop va management panel:

bilan cheklanadi.

Legacy remote protocol o‘chiriladi.

Network hardening

Tarmoqda:

ishlatiladi.

Application faqat kerakli destination va port bilan aloqa qiladi.

TLS

Eski protocol va zaif cipherlar o‘chiriladi.

Certificate:

bilan boshqariladi.

Certificate warningni chetlab o‘tuvchi config productionda bo‘lmaydi.

Application hardening

Production applicationda:

bo‘ladi.

Sample endpoint va test route’lar olib tashlanadi.

Database hardening

Database:

bilan himoyalanadi.

Application account DDL yoki superuser huquqiga ega bo‘lmaydi.

Container hardening

Container:

bilan ishlaydi.

Container isolation host hardeningning o‘rnini bosmaydi.

Cloud hardening

Cloud muhitda:

tekshiriladi.

Infrastructure as Code policy orqali noto‘g‘ri config deploymentdan oldin aniqlanishi mumkin.

Baseline

Hardening baseline — tasdiqlangan xavfsiz konfiguratsiya.

Baseline:

qoidalarini belgilaydi.

Serverlar baseline bilan avtomatik solishtiriladi.

Configuration drift

Production tizim vaqt o‘tishi bilan baseline’dan chetga chiqishi mumkin.

Sabablar:

Drift monitoring va configuration management orqali aniqlanadi.

Hardening va availability

Juda qat’iy config qonuniy service’ni buzishi mumkin.

Har o‘zgarish test, rollback va monitoring bilan joriy qilinadi.

Maqsad securityni oshirish bilan birga tizim funksiyasini saqlashdir.

Benchmark

Hardening benchmark ma’lum platforma uchun tekshiriladigan qoidalar to‘plamini beradi. Biroq barcha rule production workloadga mos kelmasligi mumkin. Har deviation sabab, owner va compensating control bilan hujjatlashtiriladi. Benchmarkni ko‘r-ko‘rona qo‘llash service’ni buzishi yoki faqat “compliant” ko‘rinish yaratishi mumkin.

Image pipeline

Server va container image’lari hardening qilingan bazadan avtomatik quriladi. Qo‘lda yaratilgan hostlar o‘rniga immutable image ishlatilsa drift kamayadi. Build vaqtida package scan, configuration test va secret tekshiruvi bajariladi. Yangi image staged rollout orqali tarqatiladi.

Bog‘liq tushunchalar

Security hardening, Attack surface, Least privilege, Baseline, Configuration drift, Patch management, Host firewall, Secure configuration, CIS benchmark, Defense in depth