В приведенном выше компонуемом сценарии нет кода, обрабатываемого веб-сервером. Код веб-сайта создается заранее в изолированной среде, защищенной надежной архитектурой безопасности Netlify и сегментированной от других пользователей Netlify. После развертывания общедоступные статические активы зеркалируются в периферийную сеть CDN Netlify в виде файлов без сохранения состояния, предоставляемых посетителям.
Распространенные ошибки конфигурации, такие как случайное раскрытие конфиденциальных резервных копий баз данных или каталогов контроля версий, смягчаются процессом сборки и развертывания . Кодовая база, которая создает веб-сайт, отделена от активов, которые предоставляются клиенту. Система управления ресурс whatsapp для оаэ контентом бэкэнда физически изолирована от веб-сайта фронтэнда. Кроме того, код не выполняется на стороне сервера, что снижает влияние уязвимости бэкэнда, а сам сайт остается отделенным от организационной архитектуры.
Влияние DDoS-атак снижается, поскольку периферийная сеть, в которой развернут сайт, рассчитана на обработку огромного объема трафика.
определенные классы уязвимостей OWASP Top 10 снижают риск. Отличным примером этого являются уязвимости Server-side Request Forgery (SSRF). Наибольший эксплуатируемый риск уязвимости SSRF возникает, когда они могут быть использованы для доступа к внутренней инфраструктуре. Развертывание сайта в пограничной сети, как в сценарии, отделяет сайт от любой заметной инфраструктуры, гарантируя, что даже если уязвимость SSRF будет обнаружена в компонуемом веб-приложении, воздействие будет уменьшено. Другие классы уязвимостей OWASP, такие как Cross Site Scripting (XSS), остаются проблемой, особенно если не соблюдаются передовые методы устранения этих уязвимостей, такие как использование шаблонов JSX.
Независимо от того, компонуемые они или нет, важно понимать, где в приложении находятся данные, как осуществляется доступ к ним, и проводить тестирование на наличие потенциальных уязвимостей, которые могут подвергать эти данные воздействию частей приложения, нарушающих ожидаемую сегментацию. В конечном счете, сегментация и изоляция приложений компонуемой архитектуры могут быть благом для безопасности при правильном использовании.
Композитная версия архитектуры этого же стека может быть headless WordPress веб-сайтом и базой данных, которые не являются общедоступными, с интерфейсом frontend, разработанным с использованием фреймворка Gatsby. Затем сайт создается статически и развертывается и кэшируется в сети Netlify edge .
Используя компонуемую архитектуру
-
- Posts: 8
- Joined: Tue Jan 07, 2025 4:39 am