La sicurezza di backend, nota anche come sicurezza lato server, si riferisce alle pratiche utilizzate per proteggere i componenti di backend di un'applicazione web, inclusi server, core lato server, database ed endpoint API da minacce e vulnerabilità. La sicurezza è un aspetto essenziale dello sviluppo di applicazioni web poiché garantisce riservatezza, integrità e disponibilità dei dati privati dei clienti.
Uno dei vantaggi dell'utilizzo dei prodotti Backend as a Service è che gran parte del lavoro di gestione delle minacce viene svolto al posto tuo. Tuttavia, anche il backend più sicuro può essere reso non sicuro, ad esempio impostando autorizzazioni utente errate.
Durante lo sviluppo di un'applicazione web basata sui contenuti, è essenziale utilizzare tecniche di programmazione, best practice, strumenti, infrastrutture e servizi di configurazione e configurazione per mitigare potenziali minacce o rischi. La classifica OWASP Top Ten offre una panoramica dei rischi attuali ed emergenti per la sicurezza delle applicazioni web e di come possono essere mitigati su Google Cloud.
Web application firewall
Un web application firewall (WAF), come Google Cloud Armor, è una soluzione di sicurezza progettata per proteggere le applicazioni web da una varietà di minacce online, tra cui vulnerabilità web e attacchi comuni. Agiscono da livello tra le richieste esterne e i tuoi sistemi interni, spesso integrati direttamente nel bilanciamento del carico o nell'endpoint in cui viene ricevuto il traffico esterno. Monitorano e analizzano le richieste in entrata in base a criteri di sicurezza che consentono o negano il traffico, bloccando le richieste dannose e le potenziali minacce. I WAF vengono spesso utilizzati insieme ad altre misure di sicurezza, tra cui test regolari, pratiche di codifica sicura e controlli di sicurezza della rete, per creare una strategia di sicurezza completa per le applicazioni web. Molti provider cloud offrono servizi WAF che possono essere integrati negli ambienti di hosting di applicazioni web.
Scopri di più sulla configurazione di Google Cloud Armor per proteggere il tuo backend.
Livello proxy per il traffico in entrata
Un livello proxy in entrata, spesso indicato come proxy inverso, è un componente per la sicurezza della rete che si trova tra le richieste del client e i server web, le applicazioni o i servizi. Gestisce le richieste in entrata per conto dei server sottostanti, agendo da intermediario. Offre diversi vantaggi, tra cui sicurezza, bilanciamento del carico, memorizzazione nella cache e routing.
I livelli proxy (o facciata) gestiti sono componenti dell'infrastruttura di rete in outsourcing a un provider di terze parti o a un servizio gestito che supervisiona il deployment, la manutenzione e il funzionamento dei server proxy per un'organizzazione. I livelli proxy gestiti migliorano la sicurezza della rete, ottimizzano le prestazioni e forniscono ulteriori funzioni di networking. Utilizzando i livelli proxy gestiti, è possibile ridurre il carico delle responsabilità operative e amministrative associate ai componenti di rete, riducendo il carico sui team IT interni. Questi servizi sono spesso scalabili e possono essere personalizzati per soddisfare specifici requisiti di sicurezza o conformità.
Ad esempio, per un'API accessibile esternamente, Apigee è una piattaforma di gestione delle API cloud-native che offre funzionalità per gestire il traffico, isolare le richieste e applicare i criteri di sicurezza prima che il traffico raggiunga il backend.
Best practice per i servizi
Considera le best practice per la sicurezza dei servizi utilizzati dalla tua applicazione e segui i loro consigli. Ad esempio, per Cloud Run, assicurati di autenticare le tue richieste e proteggere le tue risorse cloud. Per Cloud SQL, segui le best practice per configurare, progettare e gestire i dati.
Un sistema di gestione dei secret come Secret Manager gestisce l'archiviazione, la gestione e l'accesso sicuri ai secret della tua applicazione, come chiavi API, certificati e chiavi di crittografia. Questi servizi possono essere collegati agli altri servizi di backend tramite connettori, consentendo ai sistemi di backend di accedere ai tuoi secret in modo sicuro.
Se utilizzi altre API, SDK o servizi nel tuo backend, cerca e segui anche le relative best practice. Ad esempio, se utilizzi un servizio Google Maps Platform, segui le best practice consigliate per la gestione delle chiavi API e la protezione delle applicazioni.
Anche il monitoraggio e gli avvisi, inclusi il logging e l'accesso per il controllo, sono aspetti importanti da considerare.
Le best practice per la sicurezza di Google Cloud forniscono progetti generali e panoramiche sull'architettura sicura e sui progetti di app. Security Command Center include una suite di strumenti per la gestione della sicurezza e dei rischi su Google Cloud, che include strumenti automatizzati per identificare errori di configurazione, vulnerabilità e altri rischi.
Best practice per lo sviluppo
Segui le best practice per il framework e il linguaggio che utilizzi per implementare il backend. Nei framework web più diffusi sono state pubblicate guide e best practice da seguire.
Prendi in considerazione l'utilizzo di strumenti di analisi automatizzati come parte integrante dello sviluppo o la pipeline di creazione per identificare potenziali problemi.
La OWASP Web Security Testing Guide fornisce un framework di test specifico per le applicazioni web.