Внутренняя безопасность, также известная как безопасность на стороне сервера, относится к методам, используемым для защиты серверных компонентов веб-приложения, включая серверы, серверное ядро, базу данных и конечные точки API, от угроз и уязвимостей. Безопасность является важным аспектом разработки веб-приложений, поскольку она обеспечивает конфиденциальность, целостность и доступность личных данных клиентов.
Одним из преимуществ использования продуктов Backend as a Service является то, что большая часть работы по управлению угрозами выполняется за вас. Но даже самый безопасный бэкэнд можно сделать небезопасным, например, установив неверные права доступа пользователя.
При разработке веб-приложения, управляемого контентом, важно использовать методы программирования, лучшие практики настройки и настройки, инструменты, инфраструктуру и сервисы для снижения потенциальных угроз или рисков. В рейтинге OWASP Top Ten представлен обзор текущих и возникающих рисков безопасности веб-приложений и способов их снижения в Google Cloud .
Брандмауэры веб-приложений
Брандмауэр веб-приложений (WAF), такой как Google Cloud Armor , представляет собой решение безопасности, предназначенное для защиты веб-приложений от различных онлайн-угроз, включая распространенные веб-уязвимости и атаки. Они действуют как прослойка между внешними запросами и вашими внутренними системами, часто интегрируются непосредственно в балансировку нагрузки или конечную точку, где принимается внешний трафик. Они отслеживают и анализируют входящие запросы на основе политик безопасности, которые разрешают или запрещают трафик, блокируя вредоносные запросы и потенциальные угрозы. WAF часто используются вместе с другими мерами безопасности, включая регулярное тестирование безопасности, методы безопасного кодирования и средства контроля сетевой безопасности, для создания комплексной стратегии безопасности для веб-приложений. Многие поставщики облачных услуг предлагают услуги WAF, которые можно интегрировать в среды размещения веб-приложений.
Узнайте больше о настройке Google Cloud Armor для защиты серверной части .
Прокси-слой для входящего трафика
Уровень входящего прокси-сервера, часто называемый обратным прокси-сервером, представляет собой компонент сетевой безопасности, который находится между клиентскими запросами и веб-серверами, приложениями или службами. Он обрабатывает входящие запросы от имени стоящих за ним серверов, выступая в качестве посредника. Он предоставляет ряд преимуществ, включая безопасность, балансировку нагрузки, кэширование и маршрутизацию.
Управляемые прокси-уровни (или фасады) относятся к компоненту сетевой инфраструктуры, который передается на аутсорсинг стороннему поставщику или управляемой службе, которая контролирует развертывание, обслуживание и работу прокси-серверов для организации. Управляемые прокси-уровни повышают безопасность сети, оптимизируют производительность и предоставляют дополнительные сетевые функции. Используя уровни управляемого прокси-сервера, вы можете разгрузить операционные и административные обязанности, связанные с сетевыми компонентами, тем самым снижая нагрузку на внутренние ИТ-команды. Эти услуги часто масштабируются и могут быть настроены в соответствии с конкретными требованиями безопасности или соответствия требованиям.
Например, для API, доступного извне, Apigee — это облачная платформа управления API , которая предоставляет функции для управления трафиком, изоляции запросов и применения политик безопасности до того, как трафик достигнет серверной части.
Лучшие практики обслуживания
Рассмотрите рекомендации по безопасности для служб, которые использует ваше приложение, и следуйте их советам. Например, для Cloud Run обязательно аутентифицируйте свои запросы и защитите свои облачные ресурсы . При работе с Cloud SQL следуйте лучшим практикам настройки, проектирования и управления вашими данными.
Система управления секретами, такая как Secret Manager, обеспечивает безопасное хранение, управление и доступ к секретам вашего приложения, таким как ключи API, сертификаты и криптографические ключи. Эти службы можно подключить к другим вашим серверным службам через соединители, что позволит вашим серверным системам безопасно получать доступ к вашим секретам.
Если вы используете какие-либо другие API, SDK или сервисы в своем бэкэнде, также изучите их лучшие практики и следуйте их рекомендациям. Например, если вы используете службу платформы Google Maps, следуйте рекомендуемым рекомендациям по обработке ключей API и защите вашего приложения .
Мониторинг и оповещение, включая ведение журнала и аудит доступа, также являются важными аспектами, которые следует учитывать.
Рекомендации по безопасности Google Cloud предоставляют общие чертежи и обзоры безопасной архитектуры и дизайна приложений. Центр управления безопасностью включает набор инструментов для обеспечения безопасности и управления рисками в Google Cloud, включая автоматизированные инструменты для выявления неправильных конфигураций, уязвимостей и других рисков.
Лучшие практики разработки
Следуйте лучшим практикам для платформы и языка, которые вы используете для реализации серверной части. Для большинства популярных веб-фреймворков опубликованы руководства и рекомендации, которым можно следовать.
Рассмотрите инструменты автоматического анализа как часть вашей разработки или создайте конвейер, чтобы помочь выявить потенциальные проблемы.
Руководство OWASP по тестированию веб-безопасности предоставляет среду тестирования, специально предназначенную для веб-приложений.