Zabezpieczenia backendu, znane też jako zabezpieczenia po stronie serwera, to metody stosowane do ochrony komponentów backendu aplikacji internetowej, w tym serwerów, rdzeni po stronie serwera, bazy danych i punktów końcowych API przed zagrożeniami i lukami w zabezpieczeniach. Bezpieczeństwo jest kluczowym aspektem tworzenia aplikacji internetowych, ponieważ zapewnia poufność, integralność i dostępność prywatnych danych klientów.
Jedną z zalet korzystania z usług backendu jest to, że wykonuje się za Ciebie wiele zadań związanych z zarządzaniem zagrożeniami. Jednak nawet najbezpieczniejszy backend może być niebezpieczny, na przykład przez ustawienie nieprawidłowych uprawnień użytkowników.
Tworząc aplikację internetową opartą na treści, należy korzystać z technik programowania, sprawdzonych metod konfiguracji i konfiguracji, narzędzi, infrastruktury i usług, aby ograniczać potencjalne zagrożenia i ryzyko. W publikacji OWASP Top Ten znajdziesz przegląd bieżących i nowych zagrożeń bezpieczeństwa aplikacji internetowych oraz sposobów ich unikania w Google Cloud.
Zapory sieciowe aplikacji internetowych
Zapora sieciowa aplikacji internetowej (WAF), na przykład Google Cloud Armor, to rozwiązanie zabezpieczające opracowane w celu ochrony aplikacji internetowych przed różnymi zagrożeniami online, w tym przed typowymi lukami w zabezpieczeniach i atakami. Działają one jako warstwa między żądaniami zewnętrznymi a systemami wewnętrznymi, często zintegrowane bezpośrednio z równoważeniem obciążenia lub punktem końcowym, w którym odbierany jest ruch zewnętrzny. Monitorują i analizują przychodzące żądania na podstawie zasad bezpieczeństwa, które zezwalają na ruch lub go odrzucają, a także blokują złośliwe żądania i potencjalne zagrożenia. WAF są często używane razem z innymi środkami bezpieczeństwa, takimi jak regularne testy zabezpieczeń, metody bezpiecznego kodowania i kontrola bezpieczeństwa sieci, aby stworzyć kompleksową strategię zabezpieczeń dla aplikacji internetowych. Wielu dostawców usług w chmurze oferuje usługi WAF, które można zintegrować ze środowiskami hostingu aplikacji internetowych.
Więcej informacji o konfigurowaniu Google Cloud Armor pod kątem zabezpieczania backendu
Warstwa serwera proxy dla ruchu przychodzącego
Przychodząca warstwa serwera proxy, często nazywana odwrotnym serwerem proxy, to komponent zabezpieczeń sieci znajdujący się między żądaniami klienta a serwerami WWW, aplikacjami lub usługami. Obsługuje przychodzące żądania w imieniu znajdujących się za nią serwerów, działając jako pośrednik. Zapewnia on wiele korzyści, w tym zabezpieczenia, równoważenie obciążenia, zapisywanie w pamięci podręcznej i routing.
Zarządzane warstwy proxy (lub fasadowy) to element infrastruktury sieciowej, który jest zlecony zewnętrznemu dostawcy lub usłudze zarządzanej, która nadzoruje wdrażanie, konserwację i działanie serwerów proxy na potrzeby organizacji. Zarządzane warstwy proxy zwiększają bezpieczeństwo sieci, optymalizują wydajność i zapewniają dodatkowe funkcje sieciowe. Korzystając z zarządzanych warstw proxy, można zwolnić część zadań operacyjnych i administracyjnych związanych z komponentami sieciowymi, co zmniejszy obciążenie wewnętrznych zespołów IT. Usługi te często są skalowalne i można je dostosować do określonych wymagań w zakresie bezpieczeństwa lub zgodności.
Na przykład w przypadku dostępnego z zewnątrz interfejsu API Apigee to chmurowa platforma do zarządzania interfejsami API, która udostępnia funkcje zarządzania ruchem, izolowania żądań i egzekwowania zasad zabezpieczeń, zanim ruch dotrze do backendu.
Sprawdzone metody dotyczące usług
Zapoznaj się ze sprawdzonymi metodami dotyczącymi zabezpieczeń w usługach, z których korzysta Twoja aplikacja, i postępuj zgodnie z zawartymi w nimi zaleceniami. Na przykład w przypadku Cloud Run zadbaj o uwierzytelnienie żądań i zabezpieczenie zasobów w chmurze. W przypadku Cloud SQL postępuj zgodnie ze sprawdzonymi metodami dotyczącymi konfigurowania i architektury danych oraz zarządzania nimi.
System zarządzania obiektami tajnymi, np. Secret Manager, obsługuje bezpieczne przechowywanie i dostęp do obiektów tajnych aplikacji, takich jak klucze interfejsu API, certyfikaty i klucze kryptograficzne, oraz zarządzanie nimi. Te usługi można połączyć z innymi usługami backendu za pomocą oprogramowania sprzęgającego, aby systemy backendu mogły bezpiecznie korzystać z obiektów tajnych.
Jeśli w swoim backendzie używasz innych interfejsów API, pakietów SDK lub usług, zapoznaj się z ich sprawdzonymi metodami i postępuj zgodnie z nimi. Jeśli na przykład korzystasz z usługi Google Maps Platform, postępuj zgodnie z zalecanymi sprawdzonymi metodami obsługi kluczy interfejsu API i ochrony aplikacji.
Ważnymi aspektami, które należy wziąć pod uwagę, są również monitorowanie i alerty, w tym logowanie i kontrola dostępu.
W artykule o sprawdzonych metodach dotyczących bezpieczeństwa Google Cloud znajdziesz ogólne informacje na temat bezpiecznej architektury i projektów aplikacji oraz ogólne informacje na temat niebieskich wydruków. Security Command Center zawiera zestaw narzędzi do zarządzania zabezpieczeniami i ryzykiem w Google Cloud, w tym zautomatyzowane narzędzia do wykrywania błędów konfiguracji, luk w zabezpieczeniach i innych zagrożeń.
Sprawdzone metody dla programistów
Postępuj zgodnie ze sprawdzonymi metodami dotyczącymi platformy i języka używanego do implementacji backendu. Najpopularniejsze platformy internetowe opublikowały przewodniki i sprawdzone metody, których warto przestrzegać.
Rozważ użycie zautomatyzowanych narzędzi analitycznych w trakcie opracowywania aplikacji lub utwórz potok, który pomoże zidentyfikować potencjalne problemy.
Przewodnik dotyczący testowania zabezpieczeń internetowych OWASP zawiera platformę testową ukierunkowaną na aplikacje internetowe.