Bảo mật phụ trợ, còn gọi là bảo mật phía máy chủ, là các phương pháp dùng để bảo vệ các thành phần phụ trợ của một ứng dụng web, trong đó có máy chủ, lõi phía máy chủ, cơ sở dữ liệu và điểm cuối API khỏi các mối đe doạ và lỗ hổng. Bảo mật là một khía cạnh thiết yếu trong quá trình phát triển ứng dụng web vì nó đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn có của dữ liệu riêng tư của khách hàng.
Một trong những ưu điểm của việc sử dụng Phần phụ trợ làm sản phẩm Dịch vụ là bạn đang thực hiện rất nhiều công việc quản lý mối đe doạ. Nhưng ngay cả phần phụ trợ an toàn nhất cũng có thể bị tạo ra không an toàn bằng cách đặt quyền của người dùng không chính xác chẳng hạn.
Khi phát triển một ứng dụng web dựa trên nội dung, bạn cần phải sử dụng các kỹ thuật lập trình, định cấu hình và thiết lập các phương pháp hay nhất, về công cụ, cơ sở hạ tầng và dịch vụ để giảm thiểu các mối đe doạ hoặc rủi ro tiềm ẩn. OWASP Top 10 cung cấp thông tin tổng quan về các rủi ro bảo mật đang và mới xuất hiện của ứng dụng web, cũng như cách giảm thiểu các rủi ro này trên Google Cloud.
Tường lửa của ứng dụng web
Tường lửa của ứng dụng web (WAF), chẳng hạn như Google Cloud Armor, là một giải pháp bảo mật được thiết kế để bảo vệ các ứng dụng web khỏi nhiều mối đe doạ trên mạng, bao gồm cả các cuộc tấn công và lỗ hổng bảo mật phổ biến trên web. Chúng đóng vai trò là lớp giữa các yêu cầu bên ngoài và hệ thống nội bộ, thường được tích hợp trực tiếp tại điểm cân bằng tải hoặc điểm cuối nơi nhận lưu lượng truy cập bên ngoài. Các cơ chế này giám sát và phân tích các yêu cầu đến dựa trên các chính sách bảo mật cho phép hoặc từ chối lưu lượng truy cập, chặn các yêu cầu độc hại và các mối đe doạ tiềm ẩn. WAF thường được sử dụng cùng với các biện pháp bảo mật khác, bao gồm kiểm tra bảo mật thông thường, các phương pháp lập trình an toàn và các biện pháp kiểm soát bảo mật mạng, để tạo ra một chiến lược bảo mật toàn diện cho các ứng dụng web. Nhiều nhà cung cấp dịch vụ đám mây cung cấp dịch vụ WAF có thể tích hợp vào các môi trường lưu trữ ứng dụng web.
Tìm hiểu thêm về cách thiết lập Google Cloud Armor để bảo mật máy chủ phụ trợ.
Lớp proxy cho lưu lượng truy cập đến
Lớp proxy đến, thường được gọi là proxy ngược, là một thành phần bảo mật mạng nằm giữa các yêu cầu ứng dụng và máy chủ web, ứng dụng hoặc dịch vụ. Nó xử lý các yêu cầu đến thay mặt cho các máy chủ phía sau nó, đóng vai trò là bên trung gian. Phương thức này mang lại một số lợi ích như bảo mật, cân bằng tải, lưu vào bộ nhớ đệm và định tuyến.
Lớp proxy được quản lý (hoặc lớp mặt tiền) là thành phần cơ sở hạ tầng mạng được thuê ngoài cho nhà cung cấp bên thứ ba hoặc dịch vụ được quản lý giúp giám sát việc triển khai, bảo trì và vận hành máy chủ proxy cho tổ chức. Các lớp proxy được quản lý giúp tăng cường bảo mật mạng, tối ưu hoá hiệu suất và cung cấp thêm các chức năng nối mạng. Bằng cách sử dụng các lớp proxy được quản lý, bạn có thể giảm bớt trách nhiệm vận hành và quản trị liên quan đến các thành phần nối mạng, giảm gánh nặng cho các nhóm CNTT nội bộ. Những dịch vụ này thường có thể mở rộng và tuỳ chỉnh để đáp ứng các yêu cầu cụ thể về bảo mật hoặc tuân thủ.
Ví dụ: đối với một API có thể truy cập bên ngoài, Apigee là nền tảng quản lý API gốc trên đám mây, cung cấp các tính năng để quản lý lưu lượng truy cập, tách biệt yêu cầu và thực thi các chính sách bảo mật trước khi lưu lượng truy cập đến phần phụ trợ.
Các phương pháp hay nhất về dịch vụ
Hãy cân nhắc các phương pháp bảo mật hay nhất cho dịch vụ mà ứng dụng của bạn đang sử dụng và làm theo lời khuyên của dịch vụ đó. Ví dụ: đối với Cloud Run, hãy đảm bảo xác thực các yêu cầu của bạn và bảo mật tài nguyên trên đám mây. Đối với Cloud SQL, hãy làm theo các phương pháp hay nhất để định cấu hình, lập cấu trúc và quản lý dữ liệu của bạn.
Hệ thống quản lý khoá bí mật như Trình quản lý bí mật xử lý việc lưu trữ an toàn, quản lý và truy cập vào các khoá bí mật của ứng dụng, chẳng hạn như khoá API, chứng chỉ và khoá mã hoá. Những dịch vụ này có thể được kết nối với các dịch vụ phụ trợ khác của bạn thông qua trình kết nối, cho phép các hệ thống phụ trợ của bạn truy cập vào bí mật của bạn một cách an toàn.
Nếu bạn sử dụng bất kỳ API, SDK hoặc dịch vụ nào khác trong phần phụ trợ, hãy nghiên cứu và làm theo các phương pháp hay nhất của chúng. Ví dụ: nếu bạn sử dụng dịch vụ Nền tảng Google Maps, hãy làm theo các phương pháp hay nhất được đề xuất để xử lý khoá API và bảo vệ ứng dụng của bạn.
Khả năng giám sát và cảnh báo, bao gồm cả việc ghi nhật ký và kiểm tra quyền truy cập cũng là những khía cạnh quan trọng cần cân nhắc.
Các phương pháp hay nhất về bảo mật của Google Cloud đưa ra ảnh in màu xanh dương và thông tin tổng quan chung về cấu trúc và thiết kế ứng dụng bảo mật. Trung tâm lệnh bảo mật có một bộ công cụ giúp quản lý rủi ro và bảo mật trên Google Cloud, trong đó có công cụ tự động giúp xác định cấu hình sai, lỗ hổng và các rủi ro khác.
Các phương pháp phát triển hay nhất
Hãy làm theo các phương pháp hay nhất cho khung và ngôn ngữ mà bạn sử dụng để triển khai phần phụ trợ. Hầu hết các khung web phổ biến đều đã phát hành hướng dẫn và các phương pháp hay nhất để tuân theo.
Hãy cân nhắc sử dụng công cụ phân tích tự động trong quá trình phát triển hoặc xây dựng quy trình để giúp xác định các vấn đề tiềm ẩn.
Hướng dẫn kiểm thử bảo mật web OWASP cung cấp một khung kiểm thử dành riêng cho các ứng dụng web.