¿Por qué las aplicaciones web deben usar múltiples gatekeepers?

1

He estado leyendo una lista de verificación de seguridad para el diseño de aplicaciones web que se puede encontrar en:

enlace

Una de las recomendaciones es "usar múltiples gatekeepers". He leído la explicación pero no entendí nada. Aquí está la explicación:

  

En el lado del servidor, puede usar las políticas del Protocolo de seguridad de IP (IPSec) para proporcionar restricciones de host para restringir la comunicación de servidor a servidor. Por ejemplo, una política IPSec puede restringir que cualquier host, aparte de un servidor web designado, se conecte a un servidor de base de datos. IIS proporciona permisos web y restricciones de Protocolo de Internet / Sistema de nombres de dominio (IP / DNS). Los permisos web de IIS se aplican a todos los recursos solicitados a través de HTTP independientemente del usuario. No proporcionan protección si un atacante logra iniciar sesión en el servidor. Para esto, los permisos NTFS le permiten especificar listas de control de acceso por usuario. Finalmente, ASP.NET proporciona autorización de URL y autorización de archivo junto con las principales demandas de permisos. Al combinar estos guardianes, puede desarrollar una estrategia de autorización efectiva.

Básicamente, lo que me gustaría saber es, ¿qué se entiende por "múltiples guardianes"? Gracias :)

    
pregunta Matthew 14.09.2013 - 10:56
fuente

2 respuestas

4

Aunque personalmente estoy en desacuerdo con el uso del término "guardianes" en este sentido, creo que se refieren a los diversos componentes / módulos de defensa que conforman una estrategia de defensa en profundidad para el mismo.

Un ejemplo de esto sería, mientras que un archivo web.config no se puede leer a través de HTTP en texto plano, cualquier usuario que inicie sesión en el sistema a través de una solución de escritorio remoto (SSH, rDesktop, VNC, TeamViewer, PowerShell, etc.) sería capaz de leerlo claramente. En tal caso, no solo tendrá que configurar los permisos web de IIS para bloquear el acceso, sino que también tendrá que configurar los permisos NTFS (sistema de archivos) para especificar qué usuarios pueden leer / escribir / ejecutar ese archivo en particular.

Por lo tanto, creo que están diciendo que una combinación en serie de estos "guardianes" lo ayudará a desarrollar una estrategia de autorización efectiva.

    
respondido por el Rohan Durve 14.09.2013 - 14:02
fuente
0

Utilizamos una IP estática o un rango de IP como un autenticador de segundo factor para usuarios y dispositivos privilegiados. Consulte también el Estándar de verificación de seguridad de la aplicación OWASP enlace aunque no encontré la autenticación multifactor IP que se encuentra allí.

    
respondido por el WaltHouser 07.03.2014 - 16:24
fuente

Lea otras preguntas en las etiquetas