開発の速度と複雑さ-常に成長しています
最近、開発分野は、ソフトウェアを作成する古典的な慣習から、すべてが慎重に設計され、考えられ、何十回もテストされた長い、ゆっくり、徹底した、徹底的なアプローチから、変化の絶え間ない流れで迅速な製品作成を保証するアジャイル技術へのかなり急速な移行を遂げています開発中と最初のリリースのリリース後の両方の機能で。
多くの人は、ソフトウェアを長期間正しく作成すると、市場に参入するまでに単純に不要で時代遅れになる可能性があることに気付き始めています。 したがって、Webプロジェクトの開発でも使用されている次のアプローチがますます頻繁に観察されています。
- 集中的な短いブレーンストーミングプロジェクトのコンセプト
- リリースイテレーションプランの大まかな「推定」(1〜6か月間)。単純な言語で記述されたWebプロジェクトの機能を優先度の高い順に並べます。 そして彼らは本番リリースの最初のリリースを、「部分的に」でもできるだけ早くリリースしようとしています。
- 開発チームが2〜4週間で実行できる最優先機能の選択と明示的な評価(1日以内)
- ボードおよびその他の集団通信手段を使用した迅速な設計(1日以内)および選択された優先機能の開発
- 「迅速に実行される」機能のデモ、ユーザーからのフィードバックの受信(最初は社内)、ユーザーによるテスト
- 可能な限り早期のフィードバックと...より集中的なテストのための実稼働環境での機能の結論:-)
- サークル内のステップ3などに進みます
Webプロジェクトの「高速」開発の問題
「クイック」開発の明らかな利点に加えて:
- ユーザーは、最も迅速に要求される機能を取得します。
- 開発者は、最も優先度の高いタスクのみを扱います。
- Webプロジェクトは時代に対応し、市場の課題やユーザーの要求に迅速に対応し、適切に変化します
- 官僚、中期および長期計画は実質的に無効化されています-すべての努力は、即時のタスクを特定および計画することに専念しています
リスクと脅威がありますが、その重要性は素人に評価するのが難しいことがよくあります。
- 時間の不足と限られた予算のために、Webプロジェクトのアーキテクチャはあまり考えられていません。そのため、たとえば、「スローダウン」を開始したり、開発が困難で高価になったりします。
- 時間と予算の制約が不足していること、およびITスペシャリストの資格が不十分である可能性があるため、Webプロジェクトのセキュリティ問題に十分な注意が払われていません。
状況は、情報技術がより複雑で混乱しているという事実によって悪化し、プログラマーは、関連する、しばしば異なる技術の急速に成長しているコーンを理解できるようにする必要があります。 そして、勉強の時間は割り当てられていないか、十分に与えられていません。 人々は実際に...実際のプロジェクトから学ぶことを余儀なくされています。
どうする?
上記のタスクに対する考えられる解決策の1つは、「Webプロジェクトを迅速、効率的かつ穴なしで行う」ことです。情報セキュリティの分野の専門家によって設計および実装された既製のツール、ライブラリ、およびフレームワークを使用することです。 時代に対応し、絶えず出現する脅威から私たちを守るツール。
Bitrixプラットフォームには、Webプロジェクトの情報セキュリティを確保するための効果的なツールが単純に詰め込まれています。
Bitrix Platform Core-ダイハード
おそらく多くの人が、当社にはBitrixプラットフォーム用に生成されたすべてのソフトウェアコードの徹底的な監査を含む情報セキュリティ部門があることを知っています。 したがって、プラットフォームのコアは最大限に保護されています。これは、CC9 Hacker Festivalでの良好な結果と、 有名なセキュリティ専門家であるPositive Technologiesによる独立監査の結果を含めることで証明されています。
さらに、プラットフォームコアAPIによって送信されるデータを完全に検証するポリシーのおかげで(はい、パフォーマンスが低下します)、SQLインジェクションWebプロジェクトの一般的な脅威は除外されます(WebプロジェクトコードがAPIを通じて厳密に機能する場合、標準の一部です)統合品質)、およびXSS攻撃の可能性が大幅に減少します。
また、情報セキュリティ部門の専門家は、外部情報の脅威を常に監視し、Webプロジェクトを保護するためのプロアクティブなツールを作成/開発します。これについては後で検討します。
Webプロジェクトのセキュリティステータスの「視覚化」
目の前に「セキュリティパネル」があり、タスクは、必要に応じて「現在のセキュリティレベル」を「初期」から「標準」以上に上げるための推奨設定を行うことです。 シンプルで明確-セキュリティを強化したいので、エキスパートシステムの推奨事項に従ってレベルを上げます。
このパネルは次のようになります。
Webプロジェクト入力のフィルタリング
「プロアクティブフィルター(Webアプリケーションファイアウォール)」-サブシステムは、Webプロジェクトに送信されるすべてのデータ(投稿、Cookieなど)をフィルター処理して、既知の脆弱性(XSS、SQLインジェクション、PHPを含む)を悪用します。 もちろん、誤検知が発生する可能性があるため、ツールはカスタマイズ可能です。
ツールは、それ自体で安全なBitrixプラットフォームのコア(上記参照)を保護するのではなく、プログラマー(1C-Bitrixに基づくWebプロジェクト)によって実行される「プラットフォーム上のアドオン」を保護することに注意することが重要です。 残念ながら、予算、時間、資格がないため、プログラムコードは情報セキュリティに関してプログラマーによって「十分に」チェックされないことがあります。この強力なツールは、この種のエラーやホールを防ぎます。 したがって、プラットフォームの開発があなたの意見では「弱い」開発チームである場合-あなたのためのツールです!
そしてもちろん、すべての攻撃はイベントログに記録されます。
これがどのように機能するかです:
Webウイルス対策
このツールは以前のツールとは少し異なる動作をします-Webプロジェクトクライアントブラウザーに送信される情報をフィルターします。
残念ながら、多くの場合、管理者とWebプロジェクトマネージャーのコンピューターはウイルスに感染しています。 ウイルスは、ブラウザ、FTPクライアント、およびその他のWebプロジェクト管理ツールからパスワードを抽出し、Webプロジェクトファイル自体に感染します。 朝になると、顧客から電話がかかり、サイトにアクセスできないと言われます。 それは感染しており、サイトの代わりに警告付きの赤いウィンドウが開きます。そして、Webプロジェクトマネージャーの1人が夜に自宅から感染したパーソナルコンピューターから来て、サイトに感染したニュースを追加したためです。
もちろん、このツールはウイルス対策ソフトウェアに取って代わるものではありませんが、ウイルス対策ソフトウェアと連携して動作し、Webプロジェクトを運用するセキュリティポリシーの誤りを確実に防ぎます。 また、他のウイルス対策ソフトウェアと同様に、インターネット経由で定期的に更新されます。
グループセキュリティポリシー
ここでの考え方は、Webプロジェクトのユーザーアカウントと管理者アカウントが異なるセキュリティレベルを持つグループに関連付けられているということです( セキュリティが高いほど、原則としてシステムの使いやすさが低下します)。
リストからグループのセキュリティレベルを選択するか、「おいしい」パラメータを手動で再生できます(意味がわかっている場合)。 従業員グループが持つ権限が大きいほど、良いレベルでのセキュリティレベルが高くなります。
セッション保護
認証後、セッション識別子がクライアントとWebプロジェクトの間を行き来します。これは多くの場合、ハッカーの標的です。 共有ホスティングでセッションを保護するには、それらをデータベースに保存することをお勧めします。また、セッションに対する攻撃を複雑にするために、識別子を変更する機会を与えます。
管理セクションの保護
システム管理ツールを使用して、特定のサブネットを持つWebプロジェクトの管理セクションへのアクセスを許可すると便利ですが、このタスクを容易にするツールも提供します。 このツールは非常に人気があり便利です-特に共有ホスティングでは:
SSLかSSLか?
そして、これはあなたにとって便利です。 Webプロジェクトですべてのクライアントトラフィックを暗号化するのは無駄で不便です(ただし、セキュリティを確保するためにこれを実行したい人もいます)。 ただし、個人データと認証ポイントを含む特定のセクションは非常に便利です。
プラットフォームではこれを直接行いません。SSLを提供するタスクをシステム管理サービスとWebソリューションデザイナーに割り当てます。
夏のパートナー会議で、非対称暗号化(クライアントのブラウザーでJavaScriptを使用してパスワードを暗号化するRSA 1024ビット)に基づくオープン形式(誰もがSSLを構成できるわけではありません)でのパスワード送信を防ぐための技術のプラットフォームの次のリリースでのリリースを発表しました。
ワンタイムパスワード
もちろん、強力なハッカーによるパスワードのハイジャックからSSLを介してWebプロジェクトの認証手順を保護することはできますが、これは他のチャネル(電子メール、テーブルとナイトスタンドにある紙片、デスクトップ上の記録)からのパスワード、特に管理者パスワードを保存しませんなど
パスワードを最大限に保護するために、多くの場合、2要素認証を使用します。 Bitrixプラットフォームは、このテクノロジーのバリエーションを実装しています 。 かわいいキーチェーンを従業員に配ったり、ソフトウェアを使用してワンタイムパスワードを生成したりします 。 これで、(ある程度)a)パスワードの傍受は役に立たないタスクになること、b)Vasily Pupkinがサイトにログオンした場合、それは彼自身の自由意志、またはVasilyであることが確実になります-しかし、銃口で。
結論
情報セキュリティを確保し、Bitrixプラットフォームに組み込まれた個人データを保護するための専門的なツールのおかげで、これに基づいて大量に作成されたソリューションは「かなり強力で持続可能な」と考えることができます。
1C-BitrixでWebプロジェクトを作成することにより、あなた(または当社のパートナー)は、手間と予算を当面のタスクに集中させ、プラットフォームとそのツールのセキュリティ問題を信頼できます。
ただし、Webプロジェクトのセキュリティに対する闘争は常にすべての面で行われなければならないことを十分に理解する必要があります。特効薬はなく、体系的なアプローチのみがあり、ビジネスプロセスと情報セキュリティポリシーを明確に考えて、Webプロジェクトを99.9%の難攻不落の要塞にします。
誠意をこめて、統合と実装の品質管理責任者
アレクサンドル・セルブル