Introdução ao Cloud App Security

Fornecer um aplicativo ou aplicativo seguro é um requisito fundamental. Isso é especialmente verdadeiro em um ambiente de nuvem.

Segurança de Aplicativos
Construir e manter um aplicativo seguro abrange muitos aspectos. Alguns lidam com os usuários pretendidos (bem-comportados), alguns com os “bandidos”:

  • Autenticação: A maioria de nós possui um cartão de identidade, passaporte ou um crachá (acesso / empresa). Mostramos esses documentos para estabelecer nosso nome e pessoa. Eles ajudam a provar que somos o verdadeiro “cara” e não algum falso. Autenticação é o processo de identificação, de identificação de um usuário específico.
  • Autorização: Uma vez que uma pessoa ou usuário tenha sido identificado (autenticado), o próximo passo é estabelecer os privilégios concedidos. O que o usuário está autorizado a fazer? Eu tenho permissão para entrar no prédio “A” no campus, mas não no data center. Eu li o acesso a alguns dados da conta, mas não posso modificar nenhuma informação do pedido nem dar descontos.

Observe que, muitas vezes, a combinação de autenticação e autorização é chamada de Identity and Access Management (IAM).

  • Código de aplicativo seguro: todos os desenvolvedores experientes sabem que o código deles contém bugs. Alguns dos defeitos de código são inofensivos, alguns causam vulnerabilidades de aplicativos. Ao aplicar a análise de código e realizar testes de penetração, é possível encontrar buracos comuns. O código do aplicativo pode ser protegido.
  • Segurança de dados: Ao considerar a segurança de dados, muitas vezes há uma diferenciação sobre dados em repouso (dados armazenados), dados em trânsito (em transmissão) e dados em uso (atualmente processados ​​em um computador). Os dados manipulados pelo aplicativo precisam ser armazenados (dados em repouso) de modo que somente usuários autorizados (necessários – “precisam saber”) tenham acesso a eles. Além disso, a criptografia de dados ajuda a reduzir os riscos de cópias não autorizadas e acesso de baixo nível. Proteger os dados em uso é uma questão da infraestrutura em nuvem que discuti anteriormente.
  • Rotas Seguras: Conexões (dados em trânsito) para o aplicativo, bem como do aplicativo para serviços e recursos, precisam ser protegidas, ou seja, criptografadas. Isso garante que outras pessoas na rede não possam simplesmente ouvir o tráfego de dados.
  • Auditoria e monitoramento: depois que as outras medidas são implementadas e o aplicativo está em produção, o comportamento do aplicativo e as interações do usuário precisam ser monitorados quanto a anomalias. Dependendo do tipo de aplicativo, auditorias regulares de aplicativos e acesso a dados podem ser necessárias.

Há mais tópicos que podem ser listados para o que contribui para a segurança do aplicativo. Então, já é bastante complexo. Além disso, podemos considerar que muitas leis, como a maioria das regulamentações, exigem um esforço “de última geração” para proteger um aplicativo e seus dados. Assim, requer reavaliações regulares de se todos os blocos de construção para segurança de aplicativos estão em vigor e estão atualizados.

Para se concentrar na lógica do aplicativo, na funcionalidade e no lado comercial, os desenvolvedores podem delegar ou “terceirizar” algumas das tarefas de segurança.