Ejemplos para arquitecturas de seguridad (web)

Navega tus respuestas
1

Acabo de empezar a trabajar en mi tesis para terminar mis estudios. Sin embargo, el campo en el que escribo mi tesis es bastante nuevo para mí. Tengo la tarea de crear una "Estrategia / Arquitectura de acceso remoto" para crear una conexión segura de extremo a extremo.

Un punto final de la conexión es BI (es decir, números, web, servidores de bases de datos, LDAP).

Se supone que el otro extremo es un teléfono inteligente (iOS o Android).

Comencé mi investigación leyendo mucho sobre estándares de seguridad como ISO27k, BSI Grundschutz, etc. No puedo perder la sensación de que esos estándares de seguridad son demasiado amplios para el inicio de mi investigación.

Esos estándares proporcionan un gran comienzo para la seguridad comercial, pero también cubren la seguridad en forma de desastres naturales.

Estoy buscando algunos documentos de seguridad que muestren la arquitectura de seguridad de los sitios web o los servicios web, muestran qué tecnologías están en uso (SSL, DMZ, Firewalls, SSL-Termination).

Mi plan es analizar esas arquitecturas y aprender de ellas.

¿Conoces algún buen libro, estudio u otro material de seguridad que pueda darme un buen comienzo en este tema?

P.s. Sé que la seguridad del servicio web / web no cubre la pérdida del dispositivo (lo que probablemente sería un gran riesgo en un entorno móvil)

    
pregunta theXs 12.09.2012 - 09:56
fuente

1 respuesta

1

Es un error tratar de centrarse en una arquitectura que funcione para todo. Eso simplemente no existe. La solución debe coincidir con el problema y los requisitos de una aplicación en particular. Por lo tanto, mi consejo es: no pierda el tiempo buscando una "arquitectura" única para todos; en su lugar, observe las necesidades de algunas aplicaciones específicas y busque una solución que funcione bien para esa aplicación.

Si desea un canal de comunicación seguro de extremo a extremo, use TLS. No se necesita una arquitectura de seguridad sofisticada. Si eso no es lo que está buscando, probablemente deba editar su pregunta para identificar sus requisitos con mayor claridad.

Si su objetivo es comprender mejor algunas formas de proteger las aplicaciones web, entonces lo que desea no es "una arquitectura", sino solo una encuesta de trabajo en esta área. En ese caso, también debería pasar algún tiempo leyendo los materiales de OWASP. También debe consultar los recursos vinculados en materiales para principiantes para la seguridad web . Otro consejo: use la barra de "búsqueda" en la parte superior derecha de este sitio, y puede encontrar mucha más información sobre la seguridad web.

No empezaría por leer documentos de estándares. Probablemente no sean el mejor recurso para comenzar a aprender sobre esta área.

P.S. Puede que sea demasiado sensible, pero debo admitir que soy escéptico si la gente se enfoca demasiado en la "arquitectura" en lugar de centrarse en resolver el problema. Entonces, solo una pequeña sugerencia: es posible que desee comenzar por identificar cuál es el problema que desea resolver. Eso te ayudará a asegurarte de que te estás enfocando en un problema real. Entonces, puede hacerse preguntas como: ¿cuáles son los requisitos de seguridad? ¿Cuáles son los recursos que deben ser protegidos? ¿Cuál es el modelo de amenaza? ¿Cuáles son algunos controles o mitigaciones disponibles que ayudan a enfrentar esas amenazas?

    
respondido por el D.W. 14.09.2012 - 09:25
fuente

Lea otras preguntas en las etiquetas

¿Qué problemas de seguridad existen al ejecutar una aplicación glassfish directamente en el puerto 443? Cálculo de valores de clave secreta de PGP