La sécurité du backend, également appelée sécurité côté serveur, fait référence aux pratiques utilisées pour protéger les composants backend d'une application Web, y compris les serveurs, le cœur côté serveur, la base de données et les points de terminaison des API, contre les menaces et les failles. La sécurité est un aspect essentiel du développement d'applications Web, car elle garantit la confidentialité, l'intégrité et la disponibilité des données client privées.
L'un des avantages des produits Backend as a Service est qu'une grande partie du travail de gestion des menaces est effectuée à votre place. Toutefois, même le backend le plus sécurisé peut être rendu non sécurisé en définissant, par exemple, des autorisations utilisateur incorrectes.
Lors du développement d'une application Web axée sur le contenu, il est essentiel d'utiliser des techniques de programmation, les bonnes pratiques de configuration et de configuration, des outils, une infrastructure et des services pour atténuer les menaces ou les risques potentiels. Le Top Ten de l'OWASP offre un aperçu des risques de sécurité actuels et émergents des applications Web et explique comment les limiter sur Google Cloud.
Pare-feu d'applications Web
Un pare-feu d'application Web (WAF), tel que Google Cloud Armor, est une solution de sécurité conçue pour protéger les applications Web de diverses menaces en ligne, y compris les attaques et les failles Web courantes. Ils servent de couche entre les requêtes externes et vos systèmes internes, souvent intégrés directement à l'équilibrage de charge ou au point de terminaison où le trafic externe est reçu. Ils surveillent et analysent les requêtes entrantes en fonction des règles de sécurité qui autorisent ou refusent le trafic, bloquant les requêtes malveillantes et les menaces potentielles. Les WAF sont souvent utilisés avec d'autres mesures de sécurité, telles que des tests de sécurité réguliers, des pratiques de codage sécurisé et des contrôles de sécurité réseau, afin de créer une stratégie de sécurité complète pour les applications Web. De nombreux fournisseurs de services cloud proposent des services WAF qui peuvent être intégrés aux environnements d'hébergement d'applications Web.
Découvrez comment configurer Google Cloud Armor pour sécuriser votre backend.
Couche proxy pour le trafic entrant
Une couche de proxy entrant, souvent appelée proxy inverse, est un composant de sécurité réseau situé entre les requêtes client et les serveurs Web, applications ou services. Il traite les requêtes entrantes pour le compte des serveurs situés derrière lui, en tant qu'intermédiaire. Elle offre plusieurs avantages, tels que la sécurité, l'équilibrage de charge, la mise en cache et le routage.
Les couches de proxy (ou façade) gérées font référence à un composant d'infrastructure réseau sous-traité à un fournisseur tiers ou à un service géré qui supervise le déploiement, la maintenance et l'exploitation des serveurs proxy d'une organisation. Les couches proxy gérées améliorent la sécurité du réseau, optimisent les performances et fournissent des fonctions de mise en réseau supplémentaires. En utilisant des couches de proxy gérées, vous pouvez décharger les responsabilités opérationnelles et administratives associées aux composants de mise en réseau, ce qui réduit la charge de travail des équipes informatiques internes. Ces services sont souvent évolutifs et peuvent être personnalisés pour répondre à des exigences de sécurité ou de conformité spécifiques.
Par exemple, pour une API accessible en externe, Apigee est une plate-forme de gestion d'API cloud native qui fournit des fonctionnalités permettant de gérer le trafic, d'isoler les requêtes et d'appliquer des stratégies de sécurité avant que le trafic n'atteigne le backend.
Bonnes pratiques concernant les services
Tenez compte des bonnes pratiques de sécurité pour les services utilisés par votre application et suivez les conseils qui y sont indiqués. Par exemple, pour Cloud Run, veillez à authentifier vos requêtes et à sécuriser vos ressources cloud. Pour Cloud SQL, suivez les bonnes pratiques de configuration, d'architecture et de gestion de vos données.
Un système de gestion des secrets, tel que Secret Manager, gère le stockage et la gestion sécurisés, ainsi que l'accès aux secrets de votre application, tels que les clés API, les certificats et les clés cryptographiques. Ces services peuvent être connectés à vos autres services de backend via des connecteurs, ce qui permet à vos systèmes backend d'accéder à vos secrets de manière sécurisée.
Si vous utilisez d'autres API, SDK ou services dans votre backend, recherchez et suivez leurs bonnes pratiques. Par exemple, si vous utilisez un service Google Maps Platform, suivez les bonnes pratiques recommandées pour gérer les clés API et protéger votre application.
La surveillance et les alertes, y compris la journalisation et l'audit des accès, sont également des aspects importants à prendre en compte.
Les bonnes pratiques de sécurité Google Cloud fournissent des plans généraux et des présentations d'architectures et de conceptions d'applications sécurisées. Security Command Center comprend une suite d'outils de gestion de la sécurité et des risques sur Google Cloud, y compris des outils automatisés permettant d'identifier les erreurs de configuration, les failles et d'autres risques.
Bonnes pratiques de développement
Suivez les bonnes pratiques pour le framework et le langage que vous utilisez pour mettre en œuvre le backend. Les frameworks Web les plus populaires proposent des guides et des bonnes pratiques à suivre.
Envisagez d'utiliser des outils d'analyse automatisés dans votre pipeline de développement ou de compilation pour vous aider à identifier les problèmes potentiels.
Le guide des tests de sécurité Web OWASP fournit un framework de test qui cible spécifiquement les applications Web.