Аудит безопасности Битрикс24: 18 пунктов проверки

Перед выкаткой в продакшен — и раз в год после — мы проводим аудит по чек-листу из 18 пунктов. Пройдёмся по самым важным.

1. SSL и HTTPS

Обязательно TLS 1.2+ (лучше 1.3), HSTS с preload, strong ciphers. Проверяем через ssllabs.com — минимум A+.

2. Заголовки безопасности

Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy. Без них — риски XSS, clickjacking.

3. Права файлов

Файлы — 644, папки — 755. /bitrix/ и /upload/ — запись только для web-пользователя. Конфиги с паролями — 600.

4. Брандмауэр

iptables/nftables или облачный firewall. Открыты только 443 и 80. SSH — по ключам на нестандартном порту.

5. Безопасность базы данных

MySQL не торчит наружу (bind 127.0.0.1). Пароль root сложный, отдельный пользователь для Битрикс24 с минимальными правами. Логи подозрительных запросов.

6. Регулярные обновления

Битрикс24 обновляется минимум раз в квартал. CVE патчатся в течение недели после выхода.

7. Проактивная защита

Штатный модуль «Проактивная защита» в Битрикс24 включён на высокий уровень. Настроены правила WAF.

8. Двухфакторная аутентификация

Обязательно для администраторов, рекомендуется для всех пользователей. TOTP (Google Authenticator) или аппаратные ключи.

9. Права пользователей

Принцип наименьших привилегий. Никто не имеет админских прав «на всякий случай». Роли в Битрикс24 настроены чётко по задачам.

10. Журналирование и аудит

Записи о доступе к чувствительным данным (карточки клиентов, документы). Логи не удаляются, хранятся 1 год минимум.

11. Бэкапы и их проверка

Ежедневные физические бэкапы БД, недельные — файлов. Хранятся в независимом месте. Drill-тесты восстановления раз в 2 недели.

12. Шифрование бэкапов

Бэкапы всегда шифруются. Ключ — в отдельном хранилище.

13–18. Дополнительно

Антивирус на ОС, регулярные pen-тесты, DLP для особенно чувствительных данных, сегментация сети, изоляция dev/stage/prod, обучение сотрудников.