الأمان لخلفيات تطبيقات الويب التي تعتمد على المحتوى

يشير مصطلح أمان الخلفية، والمعروف أيضًا باسم الأمان من جهة الخادم، إلى الممارسات المستخدَمة لحماية مكونات الخلفية لتطبيق ويب، بما في ذلك الخوادم والنواة الأساسية من جهة الخادم وقاعدة البيانات ونقاط نهاية واجهة برمجة التطبيقات من التهديدات والثغرات الأمنية. يُعدّ الأمان جانبًا أساسيًا في تطوير تطبيقات الويب لأنّه يضمن سرية بيانات العميل الخاصة وسلامتها وتوفّرها.

تتمثل إحدى مزايا استخدام الخلفية كمنتجات "خدمة" في أنه يتم تنفيذ الكثير من أعمال إدارة التهديدات نيابةً عنك. ولكن حتى الواجهة الخلفية الأكثر أمانًا يمكن أن تصبح غير آمنة، مثلاً، ضبط أذونات غير صحيحة للمستخدم.

عند تطوير تطبيق ويب يستند إلى المحتوى، من الضروري استخدام تقنيات البرمجة، وأفضل ممارسات التكوين والإعداد، والأدوات، والبنية الأساسية، والخدمات للتخفيف من التهديدات أو المخاطر المحتملة. يوفّر تقرير OWASP Top Ten نظرة عامة على المخاطر الأمنية الحالية والناشئة في تطبيقات الويب وكيفية الحدّ من تلك المخاطر على Google Cloud.

جدران الحماية لتطبيقات الويب

جدار الحماية لتطبيقات الويب (WAF)، مثل Google Cloud Armor، هو حلّ أمان تم تصميمه لحماية تطبيقات الويب من مجموعة متنوعة من التهديدات على الإنترنت، بما في ذلك الثغرات والهجمات الشائعة على الويب. وهي تعمل كطبقة بين الطلبات الخارجية والأنظمة الداخلية، وغالبًا ما يتم دمجها مباشرةً في موازنة الحمل أو نقطة النهاية التي يتم فيها تلقّي زيارات خارجية. تراقب هذه البرامج الطلبات الواردة وتحللها بناءً على سياسات الأمان التي تسمح بالزيارات أو ترفضها، وتحظر الطلبات الضارة والتهديدات المحتملة. وغالبًا ما يتم استخدام WAF مع إجراءات الأمان الأخرى، بما في ذلك اختبار الأمان المنتظم وممارسات الترميز الآمن وعناصر التحكم في أمان الشبكة، وذلك لإنشاء استراتيجية أمان شاملة لتطبيقات الويب. يقدم العديد من مقدمي الخدمات السحابية خدمات WAF التي يمكن دمجها في بيئات استضافة تطبيقات الويب.

مزيد من المعلومات حول إعداد Google Cloud Armor لتأمين الخلفية.

طبقة الخادم الوكيل للزيارات الواردة

طبقة الخادم الوكيل الواردة، التي يُشار إليها غالبًا باسم الوكيل العكسي، هي أحد مكونات أمان الشبكة التي تقع بين طلبات العميل وخوادم الويب أو التطبيقات أو الخدمات. ويتعامل مع الطلبات الواردة نيابةً عن الخوادم التابعة له ويعمل كوسيط. ويوفر العديد من المزايا، بما في ذلك الأمان، وموازنة التحميل، والتخزين المؤقت، والتوجيه.

تشير طبقات الخادم الوكيل (أو الواجهة) المُدارة إلى مكون البنية الأساسية للشبكة الذي يتم إسناده إلى موفر خارجي أو خدمة مُدارة تشرف على نشر الخوادم الوكيلة وصيانتها وتشغيلها في مؤسسة. تعمل طبقات الخادم الوكيل المُدارة على تحسين أمان الشبكة وتحسين الأداء، فضلاً عن توفير وظائف إضافية للشبكات. باستخدام طبقات الخادم الوكيل المُدارة، يمكنك التخلص من المسؤوليات التشغيلية والإدارية المرتبطة بمكونات الشبكة، مما يقلل من أعباء فرق تكنولوجيا المعلومات داخل الشركة. غالبًا ما تكون هذه الخدمات قابلة للتطوير ويمكن تخصيصها لاستيفاء متطلبات الأمان أو الامتثال المحدّدة.

على سبيل المثال، بالنسبة إلى واجهة برمجة تطبيقات يمكن الوصول إليها خارجيًا، Apigee هي منصة لإدارة واجهة برمجة التطبيقات مستنِدة إلى السحابة الإلكترونية توفّر ميزات لإدارة حركة الزيارات وفصل الطلبات وفرض سياسات الأمان قبل وصول حركة البيانات إلى الخلفية.

أفضل الممارسات المتعلقة بالخدمة

ننصحك بمراجعة أفضل ممارسات الأمان للخدمات التي يستخدمها تطبيقك واتّباع النصائح الواردة فيه. على سبيل المثال، بالنسبة إلى Cloud Run، احرص على مصادقة طلباتك و تأمين موارد السحابة الإلكترونية. بالنسبة إلى Cloud SQL اتّباع أفضل الممارسات لضبط البيانات وتصميمها وإدارتها.

يعالج نظام إدارة سري مثل Secret Manager ميزات التخزين الآمن والإدارة والوصول إلى أسرار التطبيق، مثل مفاتيح واجهة برمجة التطبيقات والشهادات ومفاتيح التشفير. يمكن ربط هذه الخدمات بخدماتك الأخرى في الخلفية من خلال الموصلات، مما يسمح لأنظمتك الخلفية بالوصول إلى أسرارك بشكل آمن.

إذا كنت تستخدم أي واجهات برمجة تطبيقات أو حزم SDK أو خدمات أخرى في الخلفية، عليك أيضًا البحث عن أفضل الممارسات واتّباعها. على سبيل المثال، إذا كنت تستخدم خدمة "منصة خرائط Google"، يُرجى اتّباع أفضل الممارسات المقترَحة للتعامل مع مفاتيح واجهة برمجة التطبيقات وحماية تطبيقك.

المراقبة والتنبيه، بما في ذلك تسجيل الدخول وتدقيق الوصول هي أيضًا جوانب مهمة يجب مراعاتها.

توفّر أفضل ممارسات الأمان في Google Cloud مطبوعات زرقاء ونظرة عامة حول التصاميم الآمنة للتطبيقات وتصميمات التطبيقات. يضم مركز طلبات الأمان مجموعة من أدوات الأمان وإدارة المخاطر على Google Cloud، بما في ذلك أدوات مبرمَجة لتحديد عمليات الضبط الخاطئة والثغرات والمخاطر الأخرى.

أفضل الممارسات المتعلقة بالتطوير

اتبع أفضل الممارسات لإطار العمل واللغة اللذين تستخدمهما لتنفيذ الخلفية. نشرت معظم أطر عمل الويب الشائعة أدلة وأفضل الممارسات التي يجب اتباعها.

يمكنك استخدام أدوات التحليل التلقائي كجزء من عملية التطوير أو إنشاء مسار للمساعدة في تحديد المشاكل المحتملة.

يوفر دليل اختبار أمان الويب من OWASP إطار عمل اختبار يستهدف تطبيقات الويب تحديدًا.