Die Back-End-Sicherheit, auch als serverseitige Sicherheit bezeichnet, bezieht sich auf die Praktiken, mit denen die Back-End-Komponenten einer Webanwendung wie Server, serverseitiger Kern, Datenbank und API-Endpunkte vor Bedrohungen und Sicherheitslücken geschützt werden. Sicherheit ist ein wesentlicher Aspekt der Entwicklung von Webanwendungen, da sie die Vertraulichkeit, Integrität und Verfügbarkeit privater Kundendaten gewährleistet.
Einer der Vorteile der Verwendung von Back-End-as-a-Service-Produkten besteht darin, dass ein großer Teil der Arbeit zur Bedrohungsverwaltung für Sie erledigt wird. Aber auch das sicherste Back-End kann durch falsche Nutzerberechtigungen verunsichert werden.
Bei der Entwicklung einer inhaltsorientierten Webanwendung ist es unerlässlich, Programmiertechniken, Best Practices für die Konfiguration und Einrichtung, Tools, Infrastruktur und Dienste einzusetzen, um potenzielle Bedrohungen oder Risiken zu minimieren. Die OWASP Top Ten bietet einen Überblick über aktuelle und neue Sicherheitsrisiken für Webanwendungen und wie sie in Google Cloud gemindert werden können.
Web Application Firewalls
Eine Web Application Firewall (WAF) wie Google Cloud Armor ist eine Sicherheitslösung zum Schutz von Webanwendungen vor einer Vielzahl von Onlinebedrohungen, einschließlich häufiger Sicherheitslücken und Angriffe im Web. Sie fungieren als Schicht zwischen externen Anfragen und Ihren internen Systemen. Sie sind häufig direkt in das Load-Balancing oder den Endpunkt eingebunden, an dem externen Traffic empfangen wird. Sie überwachen und analysieren eingehende Anfragen auf der Grundlage von Sicherheitsrichtlinien, die Traffic zulassen oder ablehnen, und blockieren schädliche Anfragen und potenzielle Bedrohungen. WAFs werden häufig zusammen mit anderen Sicherheitsmaßnahmen verwendet, darunter regelmäßige Sicherheitstests, sichere Codierungspraktiken und Netzwerksicherheitskontrollen, um eine umfassende Sicherheitsstrategie für Webanwendungen zu erstellen. Viele Cloud-Anbieter bieten WAF-Dienste an, die in Hosting-Umgebungen für Webanwendungen eingebunden werden können.
Weitere Informationen zum Einrichten von Google Cloud Armor zum Schutz Ihres Back-Ends
Proxy-Ebene für eingehenden Traffic
Eine eingehende Proxyschicht, oft als Reverse-Proxy bezeichnet, ist eine Netzwerksicherheitskomponente, die sich zwischen Clientanfragen und Webservern, Anwendungen oder Diensten befindet. Er verarbeitet eingehende Anfragen im Namen der dahinter liegenden Server und fungiert als Mittler. Es bietet verschiedene Vorteile wie Sicherheit, Load-Balancing, Caching und Routing.
Verwaltete Proxy- oder Fassadenebenen beziehen sich auf eine Netzwerkinfrastrukturkomponente, die an einen Drittanbieter oder einen verwalteten Dienst ausgelagert ist, der die Bereitstellung, Wartung und den Betrieb von Proxyservern für eine Organisation überwacht. Verwaltete Proxyebenen verbessern die Netzwerksicherheit, optimieren die Leistung und bieten zusätzliche Netzwerkfunktionen. Durch die Verwendung verwalteter Proxyebenen können Sie die mit Netzwerkkomponenten verbundenen betrieblichen und administrativen Aufgaben entlasten und so die Belastung für interne IT-Teams reduzieren. Diese Dienste sind häufig skalierbar und können an bestimmte Sicherheits- oder Complianceanforderungen angepasst werden.
Für eine extern zugängliche API ist beispielsweise Apigee eine cloudnative API-Verwaltungsplattform, die Funktionen zum Verwalten des Traffics, Isolieren von Anfragen und Durchsetzen von Sicherheitsrichtlinien bietet, bevor der Traffic das Back-End erreicht.
Best Practices für Dienste
Berücksichtigen Sie die Best Practices für die Sicherheit der von Ihrer Anwendung verwendeten Dienste und folgen Sie den dortigen Empfehlungen. Für Cloud Run müssen Sie beispielsweise Ihre Anfragen authentifizieren und Ihre Cloud-Ressourcen sichern. Befolgen Sie für Cloud SQL die Best Practices zum Konfigurieren, Erstellen und Verwalten Ihrer Daten.
Ein Secret-Verwaltungssystem wie Secret Manager übernimmt die sichere Speicherung, Verwaltung und den Zugriff auf die Secrets Ihrer Anwendung, wie etwa API-Schlüssel, Zertifikate und kryptografische Schlüssel. Diese Dienste können über Connectors mit Ihren anderen Back-End-Diensten verbunden werden, damit Ihre Back-End-Systeme sicher auf Ihre Secrets zugreifen können.
Wenn Sie andere APIs, SDKs oder Dienste in Ihrem Back-End verwenden, informieren Sie sich auch über deren Best Practices und halten Sie sie ein. Wenn Sie beispielsweise einen Google Maps Platform-Dienst verwenden, folgen Sie den empfohlenen Best Practices für den Umgang mit API-Schlüsseln und den Schutz Ihrer Anwendung.
Monitoring und Benachrichtigungen, einschließlich des Zugriffs auf Logging und Auditing, sind ebenfalls wichtige Aspekte, die berücksichtigt werden sollten.
Die Best Practices für die Sicherheit von Google Cloud enthalten allgemeine Entwürfe und Übersichten über sichere Architektur- und Anwendungsdesigns. Das Security Command Center umfasst eine Reihe von Tools für das Sicherheits- und Risikomanagement in Google Cloud, einschließlich automatisierter Tools zur Identifizierung von Fehlkonfigurationen, Sicherheitslücken und anderen Risiken.
Best Practices für die Entwicklung
Folgen Sie den Best Practices für das Framework und die Sprache, mit denen Sie das Back-End implementieren. Für die gängigsten Web-Frameworks gibt es Leitfäden und Best Practices, die Sie befolgen können.
Erwägen Sie automatisierte Analysetools im Rahmen Ihrer Entwicklungs- oder Build-Pipeline, um potenzielle Probleme zu identifizieren.
Der OWASP Web Security Testing Guide bietet ein Test-Framework, das speziell auf Webanwendungen ausgerichtet ist.