Keamanan backend, yang juga dikenal sebagai keamanan sisi server, mengacu pada praktik yang digunakan untuk melindungi komponen backend aplikasi web, termasuk server, inti sisi server, database, dan endpoint API dari ancaman dan kerentanan. Keamanan adalah aspek penting dari pengembangan aplikasi web karena memastikan kerahasiaan, integritas, dan ketersediaan data pribadi pelanggan.
Salah satu keuntungan menggunakan produk Backend sebagai Layanan adalah banyak tugas pengelolaan ancaman yang sedang dilakukan untuk Anda. Namun, backend yang paling aman pun dapat dibuat menjadi tidak aman, misalnya dengan menetapkan izin pengguna yang salah.
Saat mengembangkan aplikasi web berbasis konten, sebaiknya manfaatkan teknik pemrograman, konfigurasi, dan praktik terbaik penyiapan, alat, infrastruktur, dan layanan untuk memitigasi potensi ancaman atau risiko. Sepuluh Teratas OWASP memberikan ringkasan tentang risiko keamanan aplikasi web yang saat ini dan yang sedang muncul, serta cara memitigasinya di Google Cloud.
Firewall Aplikasi Web
Firewall Aplikasi Web (WAF), seperti Google Cloud Armor, adalah solusi keamanan yang dirancang untuk melindungi aplikasi web dari berbagai ancaman online, termasuk kerentanan dan serangan web umum. Modul ini berfungsi sebagai lapisan antara permintaan eksternal dan sistem internal Anda, yang sering kali terintegrasi langsung di load balancing atau endpoint tempat traffic eksternal diterima. Fitur ini memantau dan menganalisis permintaan masuk berdasarkan kebijakan keamanan yang mengizinkan atau menolak traffic, memblokir permintaan berbahaya, dan potensi ancaman. WAF sering digunakan dengan langkah keamanan lainnya, termasuk pengujian keamanan reguler, praktik coding yang aman, dan kontrol keamanan jaringan, guna membuat strategi keamanan yang komprehensif untuk aplikasi web. Banyak penyedia cloud menawarkan layanan WAF yang dapat diintegrasikan ke dalam lingkungan hosting aplikasi web.
Pelajari lebih lanjut cara menyiapkan Google Cloud Armor untuk mengamankan backend.
Lapisan proxy untuk traffic masuk
Lapisan proxy yang masuk, sering disebut sebagai reverse proxy, adalah komponen keamanan jaringan yang berada di antara permintaan klien dan server web, aplikasi, atau layanan. Klien menangani permintaan masuk atas nama server di belakangnya, bertindak sebagai perantara. Layanan ini memberikan beberapa manfaat, termasuk keamanan, load balancing, caching, dan perutean.
Lapisan proxy (atau fasad) terkelola mengacu pada komponen infrastruktur jaringan yang dialihdayakan ke penyedia pihak ketiga atau layanan terkelola yang mengawasi deployment, pemeliharaan, dan pengoperasian server proxy untuk suatu organisasi. Lapisan proxy terkelola meningkatkan keamanan jaringan, mengoptimalkan performa, dan menyediakan fungsi jaringan tambahan. Dengan memanfaatkan lapisan proxy terkelola, Anda dapat melimpahkan tanggung jawab operasional dan administratif yang terkait dengan komponen jaringan, sehingga mengurangi beban tim IT internal. Layanan ini sering kali skalabel dan dapat disesuaikan untuk memenuhi persyaratan kepatuhan atau keamanan tertentu.
Misalnya, untuk API yang dapat diakses secara eksternal, Apigee adalah platform pengelolaan API berbasis cloud yang menyediakan fitur untuk mengelola traffic, mengisolasi permintaan, dan menerapkan kebijakan keamanan sebelum traffic mencapai backend.
Praktik terbaik layanan
Pertimbangkan praktik terbaik keamanan untuk layanan yang digunakan aplikasi Anda dan ikuti sarannya. Misalnya, untuk Cloud Run, pastikan untuk mengautentikasi permintaan Anda dan mengamankan resource cloud Anda. Untuk Cloud SQL, ikuti praktik terbaik untuk mengonfigurasi, merancang, dan mengelola data Anda.
Sistem pengelolaan secret seperti Secret Manager menangani penyimpanan, pengelolaan, dan akses yang aman ke secret aplikasi Anda, seperti kunci API, sertifikat, dan kunci kriptografis. Layanan ini dapat dihubungkan ke layanan backend Anda yang lain melalui konektor, sehingga sistem backend Anda dapat mengakses secret Anda dengan aman.
Jika Anda menggunakan API, SDK, atau layanan lain di backend, lakukan juga riset dan ikuti praktik terbaiknya. Misalnya, jika Anda menggunakan layanan Google Maps Platform, ikuti praktik terbaik yang direkomendasikan untuk menangani kunci API dan melindungi aplikasi Anda.
Pemantauan dan pemberitahuan, termasuk akses logging dan audit juga merupakan aspek penting yang perlu dipertimbangkan.
Praktik terbaik keamanan Google Cloud memberikan ringkasan biru dan ringkasan umum tentang arsitektur dan desain aplikasi yang aman. Security Command Center mencakup serangkaian alat untuk pengelolaan keamanan dan risiko di Google Cloud, termasuk alat otomatis untuk mengidentifikasi kesalahan konfigurasi, kerentanan, dan risiko lainnya.
Praktik terbaik pengembangan
Ikuti praktik terbaik untuk framework dan bahasa yang Anda gunakan untuk mengimplementasikan backend. Framework web paling populer telah memublikasikan panduan dan praktik terbaik yang harus diikuti.
Pertimbangkan alat analisis otomatis sebagai bagian dari pengembangan atau build pipeline untuk membantu mengidentifikasi potensi masalah.
Panduan Pengujian Keamanan Web OWASP menyediakan framework pengujian yang secara khusus ditargetkan untuk aplikasi web.