Tipps zur Datensicherheitsstrategie Ihrer Drupal-Website

Wer möchte schon Opfer einer Datenschutzverletzung werden? Das bedeutet eine Menge Verluste, eine Verschlechterung der Markenidentität, den Verlust von Kundeninformationen, Vertrauen, Geschäftsmöglichkeiten und was nicht noch alles. Drupal als CMS gewährleistet eine kontinuierliche Überwachung auf Sicherheitslücken und Sicherheit auf Enterprise-Niveau. Wo ist der Haken? Von Anfang an auf Sicherheitsmaßnahmen achten, damit alles in Ordnung ist. Daten sind heutzutage das wichtigste Gut.

Keine Daten sind trivial

Drupal-Entwickler sind sich manchmal nicht bewusst, was in Bezug auf Daten wichtiger ist. Es sind nicht nur die Kreditkarteninformationen oder Ihr Geburtsort. Entwickler versäumen es oft, die Sicherheit für verschiedene Datentypen zu priorisieren. Personenbezogene Daten können Folgendes sein:

• IP-Adresse
• Lokale Adresse
• Sozialversicherungsnummern
• E-Mail
• Passwörter

Selbst die trivialsten Informationen können enorme Auswirkungen haben, und Hacker sind großartige Aggregatoren.

Vergessen Sie Ausreden und denken Sie für Ihre Kunden mit

Auch wenn sie nicht so verrückt nach Sicherheit sind. Es liegt in der Verantwortung des Anbieters, den Kunden über den Verbleib der Daten und die Maßnahmen auf dem Laufenden zu halten, die nicht beeinträchtigt werden sollten. Drupal-Websites werden eingesetzt, wenn es hohe Anforderungen an die Inhalte gibt, sie sind auch absolut datenfreundlich. Aber wenn es um Geschäftsdaten geht, ist die Welt ein zu gefährlicher Ort. Ein kleines Leck in der Anfälligkeit kann so viele Angriffe mit sich bringen, oder nur ein Angriff kann Ihre Geschäftszeiten für eine unbegreifliche Zeit beeinträchtigen.

Mögliche Szenarien und das Beste, was Sie tun können:

Meine Kunden benötigen keine Verschlüsselung

Es kann Gründe geben, warum Ihre Kunden keine Verschlüsselung benötigen. Sie sind sich einer solchen Sache möglicherweise nicht bewusst, sie kennen möglicherweise nicht das Ausmaß des Schadens, den eine unverschlüsselte Website verursachen kann, oder möglicherweise einen anderen Grund. Klären Sie sie über die Verschlüsselung auf und darüber, wie sie ihre Geschäftsdaten schützt. Erklären Sie ihnen, warum es gut ist, sie in einem sehr dichten Geschäfts- und Marktumfeld zu haben.

Das Unternehmen ist möglicherweise zu klein

Das Unternehmen ist möglicherweise zu klein, um eine potenzielle Attraktion für böse Jungs darzustellen. Ihr Geschäft wird möglicherweise an einem sehr eingeschränkten Standort betrieben, aber das sollte Sie nicht davon abhalten, auf Sicherheitsmaßnahmen für Ihre Kunden zu bestehen. Geben Sie ihnen auch den richtigen Fahrplan, wenn sie sich der Skalierung nähern.

Das Budget des Kunden ist niedrig

Sie finden dies vielleicht völlig nachvollziehbar, aber anstatt sich an das Budget zu halten, sollten Sie die notwendigen Empfehlungen aussprechen, die sie im SOW möglicherweise übersehen haben. Auch wenn es ihr Budget ein wenig überschreiten sollte, ist es immer gut, die notwendigen Vorkehrungen zu treffen, anstatt es später zu bereuen.

Erzwingen Sie starke Passwortrichtlinien mit Drupal

Über Verschlüsselung in Drupal

Drupal spielt eine entscheidende Rolle beim Schutz der darauf befindlichen Daten. Es verfügt über eine breite Palette von benutzerdefinierten und beigesteuerten Modulen, die Drupal helfen, seine Kapazität zur Aufnahme von Funktionalitäten zu erweitern und den Schutz zu gewährleisten - daten- oder angriffsbezogen. Drupal Core unterstützt keine native Verschlüsselung, und Entwickler müssen sich an beigesteuerte Module wenden, um private Daten zu sichern. Die folgenden Module helfen Ihnen, auf dem richtigen Fuß zu beginnen.

Verschlüsseln

Das Drupal-Modul Encrypt bietet eine API zur Durchführung symmetrischer Verschlüsselung innerhalb von Drupal. Verschiedene Module können mit Hilfe von Ecrypt verschlüsselt werden, wodurch Daten auf standardisierte Weise verschlüsselt und entschlüsselt werden können. Dieses Modul bietet jedoch keine benutzerfreundlichen Funktionen, abgesehen von den Verwaltungsoberflächen zur Verwaltung von Verschlüsselungsprofilen.

Real AES

Das Real AES-Plugin zusätzlich zum Verschlüsselungsmodul, das normalerweise für den Einsatz von Verschlüsselungsmethoden nützlich ist. Dieses Modul wird von fast 5377 Websites verwendet und hat 44.380 Downloads. Zu Ihrer Information: Dieses Modul bietet eine authentifizierte Verschlüsselung basierend auf AES-128 CBC mit einem HMAC.

Verschlüsselte Dateien

Encrypted Files ermöglicht es Drupal, Dateien zu verschlüsseln, die Benutzer hochladen, und Dateien zum Herunterladen zu entschlüsseln, wodurch verhindert wird, dass die unverschlüsselten Versionen von Dateien jemals auf der Festplatte gespeichert werden. Dies bringt sie in die Cloud und gewährleistet Datensicherheit vom Feinsten.

Wie man das Demo-Modul in Drupal 8 verwendet?

Das Wesentliche

Hier sind ein paar wichtige Sicherheitstipps, die auch in einer Drupalcon-Session in New Orleans 2015 besprochen wurden:

1. Sichern Sie häufig

Backups stehen Ihnen zur Seite, wenn etwas Katastrophales mit Ihrer Website passiert. Sie müssen in der Lage sein, auf die neueste funktionierende Version zurückzugreifen. Sie sollten automatisierte tägliche oder wöchentliche oder monatliche Backups gemäß der Datendichte auf Ihrer Website durchführen und auch sicherstellen, dass Sie einen Notfallwiederherstellungsplan entweder mit Ihrem Anbieter oder dem technischen Team im Haus haben.

Hosting-Lösungen bieten die Wiederherstellung von Daten mit einem einzigen Klick, und wir können Sie diesbezüglich auf jeden Fall beraten. Das Hosting durch Acquia Cloud oder Pantheon bietet automatisierte tägliche Backups der Datenbank, der Dateien und des Codes Ihrer Website sowie die Wiederherstellung mit einem einzigen Klick, falls etwas schief geht. Sie können das Modul Backup and migrate in Drupal verwenden, um alle Ihre Daten für die zukünftige Verwendung zu sichern.

2. Verwenden Sie die Versionskontrolle

Verwenden Sie ein Quellcode-Verwaltungstool wie Git, damit Sie im Falle einer Verletzung alle Dateien in Ihrer Quelle anzeigen können, die möglicherweise geändert wurden, und Ihr Git-Repository bei Bedarf zurücksetzen können. Git gibt Ihnen eine detaillierte Kontrolle darüber, welche Dateien geändert wurden, wo sie geändert wurden und wie sie geändert wurden.

3. Verwenden Sie sichere Passwörter und Zwei-Faktor-Authentifizierung (2FA)

Anmeldeinformationen sind zu einem eigenen Gut geworden. Um Anmeldeinformationen zu schützen, erweist sich die Faktorauthentifizierung als äußerst hilfreich, indem einige Tools von Drittanbietern wie 1password, Lastpass usw. verwendet werden. Sie können alle eindeutigen Passwörter für eine beliebige Anzahl Ihrer Websites erstellen und einfach verwalten. Die Anmeldeinformationen werden Ihnen in dem Moment mitgeteilt, in dem Sie sich anmelden möchten. Dies ist einfacher zu handhaben als eine Datenschutzverletzung. Ein zusätzlicher Tipp ist, niemals dasselbe Passwort für eine Sache zu verwenden.
Drupal bietet Ihnen einige großartige beigesteuerte Module wie Two Factor Auth (TFA) und Multi Factor Auth, die Sie sich ansehen sollten.

12 Must-Have-Sicherheitsmodule für Ihre Drupal-Website

4. Bewerten Sie die Berechtigungen neu

Während Sie vielleicht wissen, dass Drupal es Ihnen ermöglicht, mehrere Rollen für verschiedene Zwecke zu haben, wie z. B. verifizierte Benutzer, Administratoren, anonyme Benutzer, Redakteure usw., sollten Sie die Berechtigungen neu bewerten. Beispielsweise sollte einem anonymen Benutzer die geringste Anzahl von Berechtigungen wie nur Anzeigen erteilt werden, einem Redakteur sollte nur das Bearbeiten/Hinzufügen oder Ändern vorhandener Inhalte gestattet sein.

5. Verschlüsselung

Heutzutage erfordert jede Compliance-Verordnung eine Verschlüsselung, und einige erfordern sogar eine End-to-End-Verschlüsselung. Die oben genannten Drupal-Module helfen Ihnen sehr dabei, Ihre Verschlüsselung genau richtig hinzubekommen, ohne zu viel Aufwand. Encrypt, Encrypt User und Field Encrypt haben das Verschlüsseln sensibler Informationen einfacher denn je gemacht.

6. Schlüsselverwaltung

Ihre API-Schlüssel und alle Verschlüsselungsdetails sollten sich nicht auf demselben Server befinden. Eine Sache über Hacker ist, dass sie Ihre Verschlüsselung nicht brechen, sie lokalisieren Ihre Schlüssel und verwenden sie, um auf die sensiblen Daten zuzugreifen. Stellen Sie also sicher, dass Ihre Drupal-Installation und alle API-Schlüssel auf separaten Servern aufbewahrt werden.

Für die externe Schlüsselverwaltung sollten Sie externe Schlüsselmanager verwenden. Einige Drupal-Module wie Key und Key Connection haben die Schlüsselverwaltung völlig problemlos gemacht.

Fazit

Diese Schritte zum Datenschutz helfen Ihnen langfristig, Ihre persönlichen Daten oder Kundendaten nicht zu verlieren. Drupal ist eine großartige Plattform, um Sie zu einem Macher zu machen, und wir können Ihnen auf jeden Fall helfen, Sie super sicher zu machen, unabhängig von der Komplexität der äußeren Anfälligkeit. Sie können uns unter [email protected] erreichen und wir besprechen Ihren nächsten Schritt.