¿Asegurar el backend de su aplicación web?

Navega tus respuestas
3

Estamos lidiando con cómo los arquitectos son back-end para la seguridad. Algunas de las recomendaciones que he visto tienen este aspecto:

Algunos tendrán otro servidor de seguridad entre el servidor de aplicaciones y la base de datos (que estaría en la red interna).

La pregunta está en las páginas altamente interactivas de hoy, donde gran parte de la lógica está en JavaScript ¿Cómo funcionaría esto? Javascript generalmente necesita recibir json. Supongo que en esta estructura, el servidor web no puede comunicarse directamente con el servidor de la base de datos. Así que tendrías que pasar por el servidor de aplicaciones. Todo eso está muy bien cuando sus páginas son estáticas y el único código que se comunicará con el servidor de aplicaciones será el servidor web, pero en general, javascript deberá comunicarse con el servidor de aplicaciones (que en nuestro caso serán servicios REST). También asumo que en esta estructura lo único que puede comunicarse con el servidor de aplicaciones es el servidor web.

    
pregunta coding4fun 09.10.2015 - 18:33
fuente

1 respuesta

2

Eso es realmente correcto.

Solicitud de página web típica:

  • Javascript realiza una solicitud al servidor web
  • El servidor web valida la solicitud
    • Si la solicitud es incorrecta, rechácela
    • Si la solicitud es buena, envíela al servidor de aplicaciones
  • El servidor de aplicaciones recibe la solicitud de los datos, los recupera y los envía al servidor web
  • El servidor web formatea los datos en un JSON y los envía de vuelta al cliente
  • El cliente recibe datos, valida lo que espera y hace algo

Por supuesto, esto es algo que probablemente hayas visto una y otra vez, pero realmente no explica por qué el servidor web está ahí ... ¿o sí?

Veamos el servidor web que valida la solicitud:

Aquí hay tres cosas que pueden suceder:

  • La solicitud es maliciosa, esta instancia del servidor deja de funcionar
    • Debido a la forma en que formatearon este servidor web, esa solicitud maliciosa no afecta a la base de datos o al servidor de aplicaciones, por lo que solo debe reiniciar su instancia
  • Alguien se entromete en el servidor web y se aísla en una red de honeypots
  • El ataque DDOS llega al servidor web, no a la base de datos o al servidor de aplicaciones

básicamente, la ventaja de esto es que puede hacer que su punto de DNS se dirija al servidor web, y mantener el servidor de su aplicación, la base de datos en secreto y el acceso directo a IP, lo que significa que cualquier otro servicio (como informes de datos) permanecerá activo si su sitio web abajo.

    
respondido por el Robert Mennell 09.10.2015 - 19:51
fuente

Lea otras preguntas en las etiquetas

Entendiendo el proceso de firma y verificación a través de una CA ¿Puede un malware de Android instalar un certificado SSL / TLS en dispositivos no root?