Инфраструктура и защита Битрикс24: серверы, Firewall и безопасность портала

Коробочный Битрикс24 — это не просто CRM-система, а рабочая среда, в которой хранятся клиентские данные, коммуникации, документы, задачи и бизнес-процессы компании. Поэтому перед запуском портала важно заранее продумать инфраструктуру: выбрать подходящий сервер, определить сценарий доступа, настроить Firewall, контролировать открытые порты и предусмотреть дополнительные меры защиты.

От корректной настройки зависит не только стабильность работы системы под нагрузкой, но и безопасность корпоративных данных. В статье разберем, какие серверные конфигурации подходят для разных масштабов бизнеса, какие варианты доступа к порталу возможны и как снизить риски внешних атак без потери удобства для пользователей. 

Выбор сервера под вашу систему

Касаемо требований к серверу есть инструкция от самой компании 1С-Битрикс. Основные моменты:

Конфигурации серверов для коробки Битрикс24

• До 50 пользователей: Intel Xeon E-2388G 3.2 ГГц, 8 ядер / 2 × 2 ТБ HDD под файлы портала / 2 × 256 ГБ SSD под файлы базы данных / 16 ГБ DDR4.
• 50 – 100 пользователей: Intel Xeon E-2388G 3.2 ГГц, 8 ядер / 2 × 2 ТБ HDD под файлы портала / 2 × 256 ГБ SSD под файлы базы данных / 24 ГБ DDR4.
• 100 – 500 пользователей: Intel Xeon E-2388G 3.2 ГГц, 8 ядер / 2 × 2 ТБ HDD под файлы портала / 2 × 256 ГБ SSD под файлы базы данных / 32 ГБ DDR4.
• 500 – 1000 пользователей: Intel Xeon Silver 4310 2.1 ГГц, 12 ядер / 2 × 4 ТБ HDD под файлы портала / 2 × 480 ГБ SSD под файлы базы данных / 64 ГБ DDR4.
• 1000 – 5000 пользователей: Intel Xeon Silver 4310 2.1 ГГц, 12 ядер / 2 × 4 ТБ HDD под файлы портала / 2 × 480 ГБ SSD под файлы базы данных / 128 ГБ DDR4.
• От 5000 пользователей: 2 сервера Intel Xeon Silver 4310 2.1 ГГц, 12 ядер / 2 × 4 ТБ HDD под файлы портала / 2 × 480 ГБ SSD под файлы базы данных / 128 ГБ DDR4.

Эти конфигурации примерные, и большинству проектов может потребоваться значительно меньше ресурсов. А кому-то, наоборот, может и не хватить.

Наиболее стабильно Bitrix24 работает на Centos 9, и под него заточены все обновления и инструкции, но при большом желании его можно развернуть на почти любой другой системе, так же для легкого развертывания есть Виртуальная машина Bitrix24, которая с версии 9.0.4 доступна для нескольких систем.

Если у вас нет своего физического сервера, то можно взять в аренду VDS(виртуальный выделенный сервер), либо Dedicated (Выделенный сервер) у различных хостеров.

Дополнительно мы уже писали в статье про оптимизацию быстродействия Битрикс24 по этой ссылке. 

Защита от внешних угроз

Битрикс24 это CRM система с элементами ERP, призванная помочь управлять Вашим бизнесом, и как система, которая Вам помогает она не должна вредить, но в то же время она должна быть удобна. В данной методичке мы сделаем рекомендации по защите вашей системы от внешних угроз.

Начнем с определения баланса защиты/удобства:

1. Полностью закрытый снаружи портал.
2. Портал доступен снаружи, но ключевые доступы закрыты полностью или частично. 
3. Полностью открытый снаружи портал.

Можно описать много разных сценариев, но фактически они все сводятся к этим трем.

И так пояснения:

1. Полностью закрытый снаружи портал

Портал, закрыт для любых доступов снаружи, то есть не открыто ни одного прямого порта до этого портала - все находится за Firewall. Для примера – это как дом с забором вокруг без ворот/калиток и прочих входов, для проникновения в дом нужно миновать забор, если вокруг дома установить камеры, поставить охранников и собак, то, когда злоумышленник попробует проникнуть в дом вы сразу об этом узнаете и сможете принять меры, но если забора нет, то злоумышленник будет уже продумывать проникновение сразу в дом, что значительно проще.

Плюсы данного метода:

Главный, и фактически единственный плюс — это то, что защита данного портала целиком и полностью зависит от вас и вашего Firewall, подключения к которому можно контролировать на достаточно высоком уровне. 

Минусы:

1. Если вы желаете иметь доступ к последним фичам и обновлениям системы, то над этим придется поломать голову - придумывать зеркала или другие методы в обход Firewall.
2. Поскольку Битрикс24 в большей степени CRM, то он призван помогать в продажах, соответственно у него есть множественный функционал для этого – звонки/обзвон, почтовый клиент, sms/email/мессенджер рассылки, чаты, и прочие удобства. Для их функционала так же потребуется что-либо придумывать для обхода того самого «забора».
3. Для сотрудников вне офиса необходимо организовать каналы для доступа

То есть фактически ваш портал будет доступен из любой точки земного шара без специальных средств, но зайти туда смогут только пользователи портала, всё остальное (кроме https-доступа к порталу и ряда некоторых сервисов, по желанию) будет закрыто тем же Firewall. Тот же дом с забором, но уже с воротами и калиткой.

Плюсы:

1. Приемлемая защищенность - все критические сервисы закрыты тем же забором, в то же время оставляя доступными для свободного использования полный функционал системы из любой точки земного шара без специальных средств.
2. Меньше настроек и сервисов на непосредственном обслуживании – например почту, звонки, рассылки и т.д. можно отдать на откуп сторонним сервисам, а самим только настроить интеграцию.
3. Нет проблем с обновлением и получением новых фич.

Минусы:

1. Для обеспечения достаточной защищенности необходимо все же приложить ряд усилий – настройки сложностей паролей пользователей нельзя опускать ниже рекомендуемых значений(12 символов, прописные и строчные буквы, цифры и спец. символы, замена по давности пароля не позже 60 дней), для дополнительной защиты в Битрикс24 доступна двухфакторная аутентификация , которую так же в данном случае рекомендуется включить!
2. Для работы сторонних сервисов необходимо озаботится пробросом портов для них.

На самом деле полностью открыть портал наружу крайне странная и нелогичная идея, поэтому в данном случае будем рассматривать вариант без внешний стены(Firewall) и соответственно без проброса портов, просто открытие/закрытие портов встроенным Firewalld и/или Iptables.

Плюсы:

1. Меньше настроек и сервисов на непосредственном обслуживании – исключаем еще и внешнюю стену (Firewall).
2. Нет проблем с обновлением и получением новых фич.
3. Нет необходимости проброса портов.

Минусы:

1. Пароли и двухфакторная аутентификация.
2. Борьба со злоумышленниками снаружи сервера ложится полностью на плечи сервера - ddos-атаки, спам-атаки, брутфорсы и прочие должны обрабатываться и устраняться самим сервером, что ведет к занятости ресурсов сервера и уменьшению его производительности (вплоть до нуля).

Во втором и третьем сценарии ключевыми моментами защиты является проброс/открытие портов для портала:

1. Порт 22 (SSH) – SSH-доступ к серверу (так же SFTP)
2. Порт 25 (SMTP) — отправка электронной почты
3. Порт 587 (SMTP) — альтернативный SMTP порт
4. Порт 465 (SMTPS) — защищенная отправка почты
5. Порт 110 (POP3) — получение почты через POP3
6. Порт 143 (IMAP) — получение почты через IMAP
7. Порт 993 (IMAPS) — защищенное IMAP соединение
8. Порт 995 (POP3S) — защищенное POP3 соединение
9. Порт 80 - http ;(если не установлен сертификат безопасности и не настроено перенаправление)
10. Порт 443 - https;(если установлен сертификат безопасности и настроено перенаправление)
11. Порт 3306 (MySQL) — подключение к базе данных MySQL
12. Порт 5432 (PostgreSQL) — при использовании PostgreSQL
13. Порт 5222 - bitrix xmpp сервер;
14. Порт 5223 - bitrix xmpp сервер по ssl;
15. Порт 8890 - ntlm авторизация;
16. Порт 8891 - ntlm авторизация по ssl;
17. Порт 8893 - http сервер мгновенных сообщений и мобильных приложений;
18. Порт 8894 - https сервер мгновенных сообщений и мобильных приложений.
19. Порт 9010 — сервис индексации поиска
20. Порт 9020 — сервис конвертации документов

Если используется телефония:

1. Порт TCP/UDP 3478 - STUN
2. Порты UDP 8000 - 48000 – голос

Для обеспечения достаточной защиты порты можно менять, так же необходимо постоянно контролировать открытые порты (проверять логи, установить локальный сервис и прочие меры для предотвращения атак на ваш сервер снаружи). 

Антивирусная защита

Также важно предусмотреть антивирусную защиту сервера Битрикс24 и почтового сервера, если он находится в вашей инфраструктуре. Это поможет снизить риск заражения вредоносными файлами, предотвратить распространение вирусов через вложения и защитить корпоративные данные от компрометации. Антивирусное ПО необходимо регулярно обновлять, а также настраивать автоматическую проверку файлов, почтового трафика и подозрительной активности на сервере.

Двухфакторная аутентификация

Двухфакторная аутентификация — один из базовых инструментов защиты корпоративного портала Битрикс24. Даже если логин и пароль пользователя будут скомпрометированы, злоумышленнику потребуется дополнительный одноразовый код для входа в систему. Это особенно важно для порталов, доступных из внешней сети, а также для компаний, где сотрудники работают удаленно или подключаются к системе с разных устройств.

Битрикс24 позволяет использовать для двухфакторной авторизации не только фирменное приложение Битрикс24 OTP, но и другие сервисы генерации одноразовых кодов, например Google Authenticator или Яндекс Ключ. Такой подход делает настройку защиты более гибкой: компания может выбрать удобный инструмент для сотрудников и при этом повысить общий уровень безопасности учетных записей.

Вывод

Грамотно подготовленная инфраструктура для Битрикс24 — это баланс между безопасностью, стабильностью и удобством работы пользователей. Важно заранее определить подходящий сценарий доступа к порталу: полностью закрытый, частично открытый с ограничением критических сервисов или открытый с усиленным контролем на уровне сервера. От этого зависят настройки Firewall, перечень доступных портов, возможность подключения внешних сервисов, обновлений, телефонии, почты и других инструментов, необходимых для полноценной работы системы.

Не менее важно правильно подобрать серверную конфигурацию с учетом количества пользователей, нагрузки и особенностей проекта, а также предусмотреть базовые меры защиты: сложные пароли, двухфакторную аутентификацию, контроль открытых портов, мониторинг логов, защиту от внешних атак и антивирусную проверку сервера Битрикс24 и почтовой инфраструктуры. Такой подход помогает снизить риски компрометации данных, сохранить производительность портала и обеспечить бесперебойную работу ключевых бизнес-процессов.

Команда RDN Group поможет вашему бизнесу подготовить инфраструктуру для Битрикс24: подобрать оптимальную серверную конфигурацию, настроить безопасный доступ, Firewall, порты, двухфакторную аутентификацию и дополнительные меры защиты. Обратитесь к нам, чтобы ваш корпоративный портал работал стабильно, безопасно и без лишних ограничений для пользователей.