La direttiva NIS2 stabilisce una legislazione sulla sicurezza valida in tutta l’UE. NIS2 incoraggia gli stati membri dell’UE a introdurre delle linee guida in merito alla cybersicurezza con lo scopo di contrastare il numero crescente di attacchi informatici. NIS2 consiste in un aggiornamento della direttiva NIS (Network and Information Security).

Se desideri fornire un hosting DNS basato su Plesk e i tuoi potenziali clienti sono entità coinvolte in attività essenziali o importanti (ad esempio società nei settori dell’energia, del trasporto o della salute), il tuo ambiente Plesk dovrà essere conforme alla direttiva NIS2.

Per rendere il tuo ambiente Plesk conforme alla direttiva NIS2:

  1. Attiva la modalità di compatibilità NIS2 aggiungendo le seguenti righe al file panel.ini:

    [actionLog]
    nis2compliant = true
    

    Questa modalità impedisce di disabilitare le modifiche relative alla registrazione di DNS e all’autenticazione (per esempio gli accessi riusciti e non riusciti), oltre a evitare la rimozione completa degli eventi nel registro azioni.

  2. Nella modalità di compatibilità NIS2, Plesk registra le richieste di API che modificano le proprie impostazioni. Tuttavia, Plesk è in grado di registrare anche le richieste API che non modificano dati (ad esempio le richieste GET). Per abilitare questa modalità, aggiungi le seguenti righe al file panel.ini:

    [actionLog]
    api.includeImmutable = true
    
  3. Assicurati che il tuo server Plesk abbia le impostazioni di data e ora corrette e sincronizzate con una singola origine di riferimento temporale. Ti consigliamo di utilizzare l’estensione NTP Timesync per controllare e gestire le impostazioni relative all’orario.

  4. Check that necessary accounts are protected by multi-factor authentication (MFA). We recommend that you use the Multi-Factor Authentication (MFA) extension.

  5. Disabilita tutte le connessioni tramite l’API Plesk aggiungendo le seguenti righe al file panel.ini:

    [api]
    enabled = false
    

    Questo impedisce di gestire Plesk senza MFA (per esempio, l’applicazione Plesk Mobile è in grado di bypassare l’autenticazione multi-fattoriale).

    Se devi fornire l’accesso all’API Plesk, ti consigliamo di farlo solo da indirizzi IP specifici. Ad esempio:

    [api]
    allowedIPs = 192.0.2.1,192.0.2.100
    

    Per maggiori informazioni, consulta Limitazione dell’accesso remoto via API Plesk.

  6. Assicurati che Plesk utilizzi password efficaci. Per maggiori dettagli, consulta Impostazione delle norme di sicurezza della password.

  7. Assicurati che Fail2Ban sia abilitato e che le jail preconfigurate «ssh» e «plesk-panel» siano attive. In questo modo Fail2Ban è configurato per monitorare i log di sistema per attacchi di forza bruta.

  8. Offri ai tuoi clienti la possibilità di firmare la zona DNS con DNSSEC. Per farlo, usa l’estensione DNSSEC (è gratuita nelle edizioni Web Pro e Web Host).

  9. Assicurati che l’estensione Log Browser sia installata nella versione 1.7.0 o successive. Questa estensione consente all’amministratore di Plesk, ai rivenditori e ai clienti di monitorare gli eventi relativi all’autenticazione e ai DNS.

  10. Per proteggere i registri di Plesk da modifiche non autorizzate, reindirizza una copia dei registri al server dei registri esterno e indipendente da Plesk.

    Nota: Plesk esegue il backup dei record del registro azioni, ma non li sovrascrive quando un backup viene ripristinato. I record del registro azioni vengono conservati in file separati con il prefisso backup_action-log (per esempio backup_action-log_2403281045.tzst (.zip)). I file dell’amministratore di Plesk contengono tutti i record, mentre quelli dei clienti e dei rivenditori contengono solo i record a loro pertinenti. Scopri come estrarre i file del registro azioni da un backup di Plesk.