Sunucu tarafı güvenliği olarak da bilinen arka uç güvenliği, bir web uygulamasının arka uç bileşenlerini (sunucular, sunucu tarafı çekirdeği, veritabanı ve API uç noktaları dahil) tehditlerden ve güvenlik açıklarından korumak için kullanılan uygulamaları ifade eder. Güvenlik, özel müşteri verilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağladığı için web uygulaması geliştirmenin önemli bir parçasıdır.
Arka Uç ürünlerini hizmet olarak kullanmanın avantajlarından biri de tehdit yönetimi işlerinin büyük kısmının sizin adınıza yapılmasıdır. Ancak en güvenli arka uç bile, örneğin yanlış kullanıcı izinlerinin ayarlanmasıyla güvensiz hale gelebilir.
İçerik odaklı bir web uygulaması geliştirirken potansiyel tehditleri veya riskleri azaltmak için programlama tekniklerini, yapılandırma ve kurulumla ilgili en iyi uygulamaları, araçları, altyapıyı ve hizmetleri kullanmak son derece önemlidir. OWASP Top Ten, mevcut ve gelişmekte olan web uygulaması güvenlik risklerine ve Google Cloud'da bunların nasıl azaltılabileceğine dair genel bir bakış sunar.
Web Uygulaması Güvenlik Duvarları
Google Cloud Armor gibi bir Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarını yaygın web güvenlik açıkları ve saldırılar da dahil çeşitli online tehditlerden korumak için tasarlanmış bir güvenlik çözümüdür. Bunlar, harici istekler ile dahili sistemleriniz arasında bir katman görevi görür. Genellikle doğrudan yük dengelemeye veya harici trafiğin alındığı uç noktaya entegre edilir. Trafiğe izin veren veya trafiği reddeden, kötü amaçlı istekleri ve potansiyel tehditleri engelleyen güvenlik politikalarına göre gelen istekleri izleyip analiz ederler. WAF'ler, web uygulamaları için kapsamlı bir güvenlik stratejisi oluşturmak amacıyla genellikle düzenli güvenlik testleri, güvenli kodlama uygulamaları ve ağ güvenliği denetimleri gibi diğer güvenlik önlemleriyle birlikte kullanılır. Birçok bulut sağlayıcısı, web uygulaması barındırma ortamlarına entegre edilebilen WAF hizmetleri sunar.
Arka uçunuzu korumak için Google Cloud Armor'ı ayarlama hakkında daha fazla bilgi edinin.
Gelen trafik için proxy katmanı
Genellikle ters proxy olarak adlandırılan gelen proxy katmanı, istemci istekleri ile web sunucuları, uygulamalar veya hizmetler arasında yer alan bir ağ güvenliği bileşenidir. Gelen istekleri aracı görevi görür ve arkasındaki sunucular adına ele alır. Güvenlik, yük dengeleme, önbelleğe alma ve yönlendirme gibi çeşitli avantajlar sunar.
Yönetilen proxy (veya ön cephe) katmanları, dış kaynak olarak üçüncü taraf sağlayıcı ya da bir kuruluş için proxy sunucularının dağıtımını, bakımını ve işletilmesini denetleyen yönetilen bir hizmet tarafından kullanılan ağ altyapısı bileşenini ifade eder. Yönetilen proxy katmanları ağ güvenliğini artırır, performansı optimize eder ve ek ağ işlevleri sağlar. Yönetilen proxy katmanlarını kullanarak ağ bileşenleriyle ilgili operasyonel ve idari sorumluluklardan kurtulabilir, böylece şirket içi BT ekiplerinin üzerindeki yükü azaltabilirsiniz. Bu hizmetler genellikle ölçeklenebilirdir ve belirli güvenlik ya da uygunluk gereksinimlerini karşılayacak şekilde özelleştirilebilir.
Örneğin Apigee, bulutta yerel bir API yönetim platformudur. Örneğin, harici olarak erişilebilen bir API, trafik arka uca ulaşmadan önce trafiği yönetmek, istekleri ayırmak ve güvenlik politikalarını uygulamak için özellikler sunar.
Hizmetlerle ilgili en iyi uygulamalar
Uygulamanızın kullandığı hizmetler için en iyi güvenlik uygulamalarını göz önünde bulundurun ve önerilerine uyun. Örneğin, Cloud Run için isteklerinizin kimliğini doğruladığınızdan ve bulut kaynaklarınızı güvence altına aldığınızdan emin olun. Cloud SQL için verilerinizi yapılandırma, tasarlama ve yönetmeyle ilgili en iyi uygulamaları takip edin.
Secret Manager gibi bir gizli anahtar yönetim sistemi; güvenli depolama, yönetim ve uygulamanızın API anahtarları, sertifikalar ve şifreleme anahtarları gibi gizli anahtarlarına erişim işlemlerini gerçekleştirir. Bu hizmetler, bağlayıcılar aracılığıyla diğer arka uç hizmetlerinize bağlanarak arka uç sistemlerinizin gizli anahtarlarınıza güvenli bir şekilde erişmesini sağlar.
Arka ucunuzda başka API, SDK veya hizmet kullanıyorsanız bunların en iyi uygulamalarını da araştırıp takip edin. Örneğin, bir Google Haritalar Platformu hizmeti kullanıyorsanız API anahtarlarını işleme ve uygulamanızı koruma ile ilgili önerilen en iyi uygulamaları izleyin.
Günlük kaydı ve denetleme erişimi de dahil olmak üzere izleme ve uyarı oluşturma işlemleri de göz önünde bulundurulması gereken önemli unsurlardır.
Google Cloud güvenlik en iyi uygulamaları, güvenli mimari ve uygulama tasarımları hakkında genel mavi baskılar ve genel bakışlar sağlar. Security Command Center'da yanlış yapılandırmaları, güvenlik açıklarını ve diğer riskleri belirlemeye yarayan otomatik araçlar da dahil olmak üzere Google Cloud'da güvenlik ve risk yönetimi için bir araç paketi bulunur.
Geliştirme için en iyi uygulamalar
Arka ucu uygulamak için kullandığınız çerçeve ve dille ilgili en iyi uygulamaları takip edin. En popüler web çerçevelerinin yayınlanmış kılavuzları ve izlenmesi gereken en iyi uygulamalar vardır.
Geliştirmenizin bir parçası olarak otomatik analiz araçlarını kullanabilir veya olası sorunları tespit etmenize yardımcı olması için ardışık düzen oluşturabilirsiniz.
OWASP Web Güvenliği Testi Kılavuzu, özel olarak web uygulamalarını hedefleyen bir test çerçevesi sağlar.