Hosting
Securitate
Securitatea este importantă, dar, din fericire, cu o soluție Software-as-a-Service cum este Zento, aceasta nu mai este o problemă de care trebuie să-ți faci griji pentru magazinul tău online.
Știm că pentru a construi un sistem securizat, securitatea trebuie să fie un punct de atenție încă din faza de dezvoltare, nu o optimizare ulterioară.
În securitatea oricărei soluții, există 2 componente:
-
Securitatea aplicației
-
Securitatea sistemului
Securitatea aplicației reprezintă măsurile de securitate adoptate în codul aplicației și există standarde și bune practici atât pe codul de frontend cât și cel de backend. Programatorii se protejează împotriva vulnerabilităților prin codul pe care-l scriu, precum și prin actualizarea librăriilor și framework-urilor utilizate. Un proces riguros de code review și testarea automată cu tool-uri de securitate asigură detectarea din timp a problemelor de securitate încă din faza de development, mult înainte ca acestea să ajungă în producție.
Securitatea sistemului se referă la securitatea infrastructurii de hosting pe care rulează aplicația, iar în acest articol ne vom concentra pe următoarele subiecte:
-
SSL & Criptare
-
Izolare
-
Securitatea Containerelor
-
Firewall
SSL & Criptare
Securitatea începe cu certificatul SSL generat de către AWS Certificate Manager și atașat direct la nivelul CDN-ului CloudFront, astfel încât toate conexiunile sunt securizate prin HTTPS. Certificatele sunt reînnoite automat de către Amazon, iar din moment ce sunt direct atașate la CloudFront, cheile de securitate ale acestora nu sunt disponibile spre descărcare nimănui, reducând astfel suplimentar riscul de compromitere.
Criptare at-rest este aplicată atât bazei de date, cât și fișierelor stocate, deși având în vedere rețeau privată VPC, este imposibilă conectarea din exterior chiar și la datele criptate. Ciptarea at-rest este însă o cerință de securitate în multiple standarde, deci Zento o aplică tuturor datelor.
Izolare
În plus față de criptarea traficului și a datelor stocate, o altă practică importantă pe care o aplicăm în sistemele Zento este permiterea accesului din Internet la cât mai puține servicii este posibil.
Drept urmare, conectarea la bazele de date este permisă exclusiv din rețeaua privată internă (VPC), fără acces din exterior; astfel, nici o conexiune nu poate fi realizată la baza de date din exterior, păstrând-o complet izolată de Internet.
Fișierele stocate în S3 sunt blocate de la posibilitatea de a fi făcute publice, deci singurul mod în care acestea sunt accesibile este prin CloudFront, pe URL-uri explicit permise.
Securitatea Containerelor
Zento rulează folsind
Pentru o securitate sporită, codurile care rulează în aceste containere pe Kubernetes și Lambda, sunt executate în medii read-only, astfel încât vulnerabilități care se bazează pe alterarea codurilor să nu aibă un vector de atac.
Firewall
Peste toate aceste straturi de securitate construite în soluția Zento, toate apelurile sunt protejate de AWS Web Application Firewall (WAF) care este atașat de CloudFront și care detectează și blochează eventualele atacuri. Apelurile sunt protejate de atacuri de tip DDoS (Distributed Denial of Service) și de mai puțin cunoscutele EDoS (Economic Denial of Sustainability); acest nou tip de atac, bombardează un serviciu nu cu intenția de a-l face offline (ceea ce în cloud poate fi dificil), ci cu scopul de a crește costurile de hosting.
WAF evoluează constant și protejează împotriva noilor tipuri de atac descoperite.
Securitatea este importantă, dar unul dintre avantajele unei soluții SaaS ca și Zento este că nu este problema taca și comerciant, ci a noastră ca și furnizor de tehnologie.