Seguridad para backends de apps web basadas en el contenido

La seguridad de backend, también conocida como seguridad del servidor, hace referencia a las prácticas que se usan para proteger los componentes de backend de una aplicación web, incluidos los servidores, el núcleo del servidor, la base de datos y los extremos de la API contra amenazas y vulnerabilidades. La seguridad es un aspecto esencial del desarrollo de aplicaciones web, ya que garantiza la confidencialidad, la integridad y la disponibilidad de los datos privados del cliente.

Una de las ventajas de usar los productos de backend como servicio es que gran parte del trabajo de administración de amenazas se realiza por ti. Sin embargo, incluso el backend más seguro puede volverse inseguro, por ejemplo, si se configuran permisos de usuario incorrectos.

Cuando se desarrolla una aplicación web basada en el contenido, es esencial utilizar técnicas de programación, prácticas recomendadas de configuración, herramientas, infraestructura y servicios para mitigar posibles amenazas o riesgos. El documento OWASP Top 10 proporciona una descripción general de los riesgos de seguridad para aplicaciones web actuales y emergentes, y cómo se pueden mitigar en Google Cloud.

Firewalls de aplicaciones web

Un firewall de aplicación web (WAF), como Google Cloud Armor, es una solución de seguridad diseñada para proteger las aplicaciones web de una variedad de amenazas en línea, incluidos los ataques y las vulnerabilidades web comunes. Actúan como una capa entre las solicitudes externas y los sistemas internos, a menudo se integran directamente en el balanceo de cargas o el extremo en el que se recibe el tráfico externo. Supervisan y analizan las solicitudes entrantes en función de las políticas de seguridad que permiten o rechazan el tráfico, y bloquean las solicitudes maliciosas y las posibles amenazas. Los WAF se utilizan a menudo con otras medidas de seguridad, incluidas las pruebas de seguridad regulares, las prácticas de codificación segura y los controles de seguridad de red, a fin de crear una estrategia de seguridad integral para las aplicaciones web. Muchos proveedores de servicios en la nube ofrecen servicios de WAF que pueden integrarse en entornos de hosting de aplicaciones web.

Obtén más información sobre cómo configurar Google Cloud Armor para proteger tu backend.

Capa de proxy para el tráfico entrante

Una capa de proxy entrante, a menudo conocida como proxy inverso, es un componente de seguridad de red que se encuentra entre las solicitudes del cliente y los servidores, aplicaciones o servicios web. Este controla las solicitudes entrantes en nombre de los servidores que se encuentran detrás de ella y actúa como intermediario. Proporciona varios beneficios, como seguridad, balanceo de cargas, almacenamiento en caché y enrutamiento.

Las capas de proxy (o fachada) administradas hacen referencia a un componente de infraestructura de red que se subcontrata a un proveedor externo o a un servicio administrado que supervisa la implementación, el mantenimiento y la operación de los servidores proxy de una organización. Las capas del proxy administradas mejoran la seguridad de la red, optimizan el rendimiento y proporcionan funciones de red adicionales. Mediante el uso de capas de proxy administradas, puedes transferir las responsabilidades operativas y administrativas asociadas con los componentes de herramientas de redes, lo que reduce la carga de los equipos de TI internos. Estos servicios suelen ser escalables y se pueden personalizar para cumplir con los requisitos específicos de seguridad o cumplimiento.

Por ejemplo, para una API accesible de forma externa, Apigee es una plataforma de administración de API nativa de la nube que proporciona funciones para administrar el tráfico, aislar solicitudes y aplicar políticas de seguridad antes de que el tráfico llegue al backend.

Prácticas recomendadas del servicio

Considera las prácticas recomendadas de seguridad para los servicios que usa tu aplicación y sigue sus recomendaciones. Por ejemplo, para Cloud Run, asegúrate de autenticar las solicitudes y proteger los recursos en la nube. En Cloud SQL, sigue las prácticas recomendadas para configurar, diseñar y administrar tus datos.

Un sistema de administración de secretos como Secret Manager controla el almacenamiento seguro, la administración y el acceso a los secretos de tu aplicación, como claves de API, certificados y claves criptográficas. Estos se pueden conectar a tus otros servicios de backend a través de conectores, lo que permite que tus sistemas de backend accedan a tus secretos de forma segura.

Si usas otros servicios, SDK o APIs en tu backend, investiga y sigue sus prácticas recomendadas. Por ejemplo, si utilizas un servicio de Google Maps Platform, sigue las prácticas recomendadas para manejar las claves de API y proteger tu aplicación.

La supervisión y las alertas, incluidos el registro y la auditoría de acceso, también son aspectos importantes que debes tener en cuenta.

Las prácticas recomendadas de seguridad de Google Cloud proporcionan planos generales y descripciones generales sobre arquitecturas seguras y diseños de apps. Security Command Center incluye un paquete de herramientas para la seguridad y la administración de riesgos en Google Cloud, que incluyen herramientas automatizadas destinadas a identificar parámetros de configuración incorrectos, vulnerabilidades y otros riesgos.

Prácticas recomendadas de desarrollo

Sigue las prácticas recomendadas para el framework y el lenguaje que usas a fin de implementar el backend. Los frameworks web más populares tienen guías publicadas y prácticas recomendadas que se deben seguir.

Considera usar herramientas de análisis automatizado como parte de la canalización de desarrollo o compilación para ayudar a identificar posibles problemas.

La Guía de pruebas de seguridad web de OWASP proporciona un framework de pruebas destinado específicamente a aplicaciones web.