コンテンツ ドリブンのウェブアプリ バックエンドのセキュリティ

バックエンド セキュリティ（サーバーサイド セキュリティとも呼ばれます）とは、ウェブ アプリケーションのバックエンド コンポーネント（サーバー、サーバーサイド コア、データベース、API エンドポイントなど）を脅威や脆弱性から保護する手法を指します。セキュリティは、非公開の顧客データの機密性、整合性、可用性を確保することから、ウェブ アプリケーション開発に不可欠な要素です。

Backend as a Service プロダクトを使用するメリットの 1 つは、多くの脅威管理作業が自動的に行われることです。ただし、最も安全なバックエンドであっても、不適切なユーザー権限の設定などにより、安全でない場合があります。

コンテンツ主導のウェブ アプリケーションを開発する場合、プログラミング技術、構成と設定のベスト プラクティス、ツール、インフラストラクチャ、サービスを利用して、潜在的な脅威やリスクを軽減することが重要です。OWASP トップ 10 では、ウェブ アプリケーションの現在と新たなセキュリティ リスクの概要と、Google Cloud でリスクを軽減する方法を確認できます。

ウェブ アプリケーション ファイアウォール

Google Cloud Armor などのウェブ アプリケーション ファイアウォール（WAF）は、一般的なウェブ脆弱性や攻撃など、さまざまなオンラインの脅威からウェブ アプリケーションを保護するように設計されたセキュリティ ソリューションです。外部リクエストと内部システムの間のレイヤとして機能し、多くの場合、外部トラフィックを受信するロード バランシングまたはエンドポイントに直接統合されます。トラフィックを許可または拒否するセキュリティ ポリシーに基づいて受信リクエストをモニタリングおよび分析し、悪意のあるリクエストや潜在的な脅威をブロックします。WAF は、ウェブ アプリケーションの包括的なセキュリティ戦略を構築するために、定期的なセキュリティ テスト、安全なコーディング方法、ネットワーク セキュリティ管理などの他のセキュリティ対策とよく併用されます。多くのクラウド プロバイダは、ウェブ アプリケーション ホスティング環境に統合できる WAF サービスを提供しています。

バックエンドを保護するように Google Cloud Armor を設定する方法の詳細をご覧ください。

受信トラフィックのプロキシレイヤ

受信プロキシレイヤ（リバース プロキシとも呼ばれる）は、クライアント リクエストとウェブサーバー、アプリケーションまたはサービスの間にあるネットワーク セキュリティ コンポーネントです。背後にあるサーバーに代わって、中継点として機能し、受信リクエストを処理します。セキュリティ、ロード バランシング、キャッシュ、ルーティングなど、いくつかの利点があります。

マネージド プロキシ（またはファサード）レイヤとは、サードパーティ プロバイダまたは組織のプロキシ サーバーのデプロイ、メンテナンス、運用を監督するマネージド サービスにアウトソーシングされるネットワーク インフラストラクチャ コンポーネントを指します。マネージド プロキシ レイヤは、ネットワーク セキュリティを強化し、パフォーマンスを最適化して、追加のネットワーク機能を提供します。マネージド プロキシレイヤを利用することで、ネットワーク コンポーネントに関連する運用と管理の責任を軽減し、社内の IT チームの負担を軽減できます。多くの場合、これらのサービスはスケーラブルであり、特定のセキュリティ要件やコンプライアンス要件を満たすようにカスタマイズできます。

たとえば、外部からアクセス可能な API の場合、Apigee はクラウドネイティブの API 管理プラットフォームです。トラフィックがバックエンドに到達する前に、トラフィックの管理、リクエストの分離、セキュリティ ポリシーの適用を行う機能を提供します。

サービスのベスト プラクティス

アプリケーションで使用しているサービスのセキュリティに関するベスト プラクティスを検討し、そのアドバイスに従ってください。たとえば、Cloud Run では、リクエストを認証し、クラウド リソースを保護します。Cloud SQL では、データの構成、設計、管理に関するベスト プラクティスに従ってください。

Secret Manager のようなシークレット管理システムは、API キー、証明書、暗号鍵などのアプリケーションのシークレットへの安全な保存、管理、アクセスを処理します。これらのサービスは、コネクタを介して他のバックエンド サービスに接続できるため、バックエンド システムはシークレットに安全にアクセスできます。

バックエンドで他の API、SDK、サービスを使用する場合は、それぞれのベスト プラクティスも調査して実践してください。たとえば、Google Maps Platform サービスを使用している場合は、API キーの処理とアプリの保護に関する推奨ベスト プラクティスに従ってください。

ロギングや監査アクセスなどのモニタリングとアラートも考慮すべき重要な側面です。

Google Cloud セキュリティのベスト プラクティスでは、安全なアーキテクチャとアプリの設計に関する全般的なブループリントと概要を提供しています。Security Command Center には、構成ミス、脆弱性、その他のリスクを特定する自動ツールなど、Google Cloud でのセキュリティ管理とリスク管理のためのツールスイートが含まれています。

開発に関するベスト プラクティス

バックエンドの実装に使用するフレームワークと言語のベスト プラクティスに従ってください。最も一般的なウェブ フレームワークには、従うべきガイドとベスト プラクティスが公開されています。

潜在的な問題の特定には、開発パイプラインまたはビルド パイプラインの一部として自動分析ツールの使用を検討してください。

OWASP ウェブ セキュリティ テストガイドでは、ウェブ アプリケーションに特化したテスト フレームワークを提供しています。