אבטחת קצה עורפי, שנקראת גם אבטחה בצד השרת, מתייחסת לשיטות שמשמשות להגנה על רכיבי הקצה העורפי של אפליקציית אינטרנט, כולל שרתים, ליבה בצד השרת, מסד נתונים ונקודות קצה ל-API מפני איומים ונקודות חולשה. אבטחה היא היבט חיוני בפיתוח של אפליקציות אינטרנט, כי היא מבטיחה סודיות, תקינות וזמינות של נתונים פרטיים של לקוחות.
אחד היתרונות של שימוש בקצה עורפי בתור מוצרי שירות הוא שהרבה מהעבודה על ניהול האיומים מתבצעת בשבילכם. עם זאת, גם הקצה העורפי המאובטח ביותר עלול להיות לא מאובטח, למשל על-ידי הגדרה של הרשאות משתמש שגויות.
כשמפתחים אפליקציות אינטרנט מבוססות-תוכן, חשוב להשתמש בטכניקות לתכנות, בשיטות מומלצות להגדרה, בכלים, בתשתית ובשירותים כדי לצמצם את האיומים או הסיכונים. בעשרת המובילים של OWASP אפשר לקרוא סקירה כללית על סיכוני אבטחה קיימים וחדשים באפליקציות אינטרנט, ולהבין איך אפשר לצמצם אותם ב-Google Cloud.
חומות אש לאפליקציות אינטרנט
חומת אש של אפליקציית אינטרנט (WAF), כמו Google Cloud Armor, היא פתרון אבטחה שנועד להגן על אפליקציות אינטרנט מפני מגוון איומים אונליין, כולל נקודות חולשה נפוצות באינטרנט והתקפות. הם משמשים כשכבה בין בקשות חיצוניות לבין המערכות הפנימיות שלכם, ולרוב משולבות ישירות באיזון העומסים או בנקודת הקצה (endpoint) של תעבורת הנתונים החיצונית. הם עוקבים אחרי בקשות נכנסות ומנתחים אותן על סמך מדיניות האבטחה שמתירה או דוחה תעבורת נתונים, וחוסמות בקשות זדוניות ואיומים פוטנציאליים. הרבה פעמים משתמשים ב-WAF באמצעי אבטחה אחרים, כולל בדיקות אבטחה שוטפות, שיטות קידוד מאובטחות ואמצעי בקרה לאבטחת רשתות, כדי ליצור אסטרטגיית אבטחה מקיפה לאפליקציות אינטרנט. ספקי ענן רבים מציעים שירותי WAF שאפשר לשלב בסביבות אירוח של אפליקציות אינטרנט.
מידע נוסף על הגדרה של Google Cloud Armor לאבטחת הקצה העורפי
שכבת Proxy לתעבורה נכנסת
שכבת שרת proxy נכנסת, שנקראת בדרך כלל שרת proxy הפוך, היא רכיב של אבטחת רשת שממוקם בין בקשות לקוח לבין שרתי אינטרנט, אפליקציות ושירותים. הוא מטפל בבקשות נכנסות בשם השרתים שמאחוריו פועל כמתווך. יש לו כמה יתרונות, כולל אבטחה, איזון עומסים, שמירה במטמון וניתוב.
שכבות מנוהלות של שרת proxy (או חזית) מתייחסות לרכיב תשתית רשת שמקורו במיקור חוץ לספק של צד שלישי או לשירות מנוהל שמפקח על הפריסה, התחזוקה והתפעול של שרתי proxy בארגון. שכבות מנוהלות של שרת proxy משפרות את אבטחת הרשת, משפרות את הביצועים ומספקות פונקציות נוספות של רשתות. שימוש בשכבות של שרת proxy מנוהל, יאפשר לכם להפחית את העומס התפעולי והניהולי שקשורים לרכיבי הרשת, וכך להפחית את העומס על צוותי ה-IT הפנימיים. לעיתים קרובות השירותים האלה ניתנים להתאמה וניתן להתאים אותם אישית כדי לעמוד בדרישות אבטחה ותאימות ספציפיות.
לדוגמה, ב-API שיש אליו גישה חיצונית, Apigee היא פלטפורמה לניהול API מבוססת-ענן שמספקת תכונות לניהול תעבורת הנתונים, לבידוד בקשות ולאכיפת מדיניות אבטחה לפני שתעבורת הנתונים מגיעה לקצה העורפי.
שיטות מומלצות לשימוש בשירות
כדאי להביא בחשבון את שיטות האבטחה המומלצות לשירותים שבהם האפליקציה משתמשת ולפעול בהתאם לעצות. לדוגמה, ב-Cloud Run, צריך לאמת את הבקשות ולאבטח את המשאבים בענן. ל-Cloud SQL אנחנו ממליצים לפעול לפי השיטות המומלצות להגדרה, לתכנות ולניהול של הנתונים.
מערכת ניהול סודות כמו Secret Manager מטפלת באחסון מאובטח, בניהול ובגישה לסודות של האפליקציה, כמו מפתחות API, אישורים ומפתחות קריפטוגרפיים. אפשר לחבר את השירותים האלה לשירותים אחרים לקצה העורפי באמצעות מחברים, כדי לאפשר למערכות הקצה העורפי לגשת לסודות בצורה מאובטחת.
אם אתם משתמשים בממשקי API, בערכות SDK או בשירותים אחרים בקצה העורפי, עליכם גם לחקור וליישם את השיטות המומלצות שלהם. לדוגמה, אם אתם משתמשים בשירות של הפלטפורמה של מפות Google, כדאי לפעול בהתאם לשיטות המומלצות המומלצות לטיפול במפתחות API ולהגנה על האפליקציה.
חשוב להביא בחשבון גם מעקב והתראות, כולל גישה לרישום ביומן ולביקורת.
השיטות המומלצות לאבטחה ב-Google Cloud מספקות סקירות כחולות וסקירה כללית של ארכיטקטורות ועיצובי אפליקציות מאובטחים. Security Command Center כוללת חבילת כלים לאבטחה ולניהול סיכונים ב-Google Cloud, כולל כלים אוטומטיים לזיהוי הגדרות שגויות, נקודות חולשה וסיכונים אחרים.
שיטות מומלצות לפיתוח
הקפידו לפעול לפי השיטות המומלצות בהתאם ל-framework ולשפה שבהם אתם משתמשים כדי להטמיע את הקצה העורפי. ברוב המסגרות הפופולריות של האינטרנט, פרסמו מדריכים ושיטות מומלצות.
כדאי להשתמש בכלי ניתוח אוטומטי כחלק מהפיתוח או בתהליך הבנייה של צינור עיבוד נתונים כדי לזהות בעיות פוטנציאליות.
המדריך לבדיקת אבטחת אינטרנט של OWASP כולל מסגרת בדיקה שמיועדת ספציפית לאפליקציות אינטרנט.