La seguridad en una aplicación WEB

-

En la época actual, hablar de aspectos relacionados con la seguridad es un tema de alta prioridad, sobre todo desde que el manejo de información personal ha sido tan intenso mediante diversos dispositivos electrónicos. Por lo que es primordial el tomar todas las medidas posibles para garantizar que entre los primeros objetivos y características de cualquier sistema de información se encuentren presentes los conceptos fundamentales de integridad, confidencialidad y disponibilidad de la información. Por ello en esta ocasión comentaremos sobre un esquema de seguridad que ha sido utilizado por algunas empresas dedicadas al desarrollo de productos de software genéricos, los cuales atienden a diversas necesidades de clientes de distintos ámbitos y con necesidades operativas distintas, pero para los cuales el manejo seguro de la información es siempre igual de trascendente.

Considerando que los productos en los que nos centraremos para este artículo, tienen un enfoque web, pues son la principal línea de soluciones hoy en día, es pertinente establecer como punto de inicio que para la arquitectura de los mismos es recomendable desarrollar un esquema de tres capas, para realizar la operación completa: La Aplicación de Administración, el Sitio o Aplicación Pública y el Núcleo.

La Aplicación de Administración: Debe ser un sitio construido en la misma plataforma y cuyo propósito es proporcionar una interfaz que da acceso a las herramientas de configuración y publicación a los usuarios administradores para poder llevar a cabo la configuración operativa de los productos, mediante la creación y configuración de distintas instancias tanto de sitios como de los recursos y funcionalidades que formarán parte de un nuevo portal. En esta capa se integrará un repositorio de usuarios muy particular que permita realizar las actividades generales de creación, administración y funcionalidad de los sitios de uso específico que se construirán con la plataforma, así como la de sus recursos, contenidos y por supuesto la administración de usuarios y sus permisos, al mismo tiempo que permita el acceso a bitácoras de acción, errores y monitoreo del estado de la memoria, accesos a bases de datos, etc.

El sitio o Aplicación Pública: Como resultado de la operación de los productos, se construye un sitio web que se muestra a los usuarios finales y en el cual se encuentra la información, contenidos, recursos, que son el propósito central del sitio de operación específica que se construyó mediante la Aplicación de Administración. Por supuesto esta es la capa Front-End de toda la plataforma y las reglas de seguridad y presentación de componentes aplican igual en esta capa. Por supuesto estos sitios, instancias y recursos están ligados a repositorios de usuarios a fin de poder otorgarles permisos y atributos adecuados para hacer uso de todos ellos, pues aun cuando los usuarios sean “anónimos”, siempre existe un perfil asociado que le concede determinados permisos de operación y así controlar que se muestra o se oculta a cada usuario dependiendo de las reglas de presentación, calendarización o atributos de usuario.

El Núcleo. Esta es la capa de la arquitectura que provee los servicios necesarios para manejar los recursos y funcionalidades diversas, además de “atrapar” y controlar los errores, y por supuesto controlar los accesos a las bases de datos. Además se utiliza la especificación JAAS (Java Authentication and Authorization Service) para la autenticación de usuarios. El Núcleo realiza además las validaciones necesarias para mostrar solo aquellos recursos a los que el usuario tiene acceso y registra los accesos y errores a bitácoras. En esta capa se encuentran también los elementos para controlar y asegurar la Disponibilidad, Confidencialidad, Integridad, etc. Analicemos cada aspecto.
  • Disponibilidad: La importancia de contar con un sistema de caché para cada recurso ayuda a reducir los tiempos de IO (Input-output) para los recursos de mayor operación y que cambian poco o que son estáticos. Con lo que el tiempo de respuesta de cada página se acelera y el desempeño es más rápido. Además de que es posible realizar configuraciones particulares para agregar equipos que soporten la demanda de tráfico, mediante esquemas de Cluster o balanceo de cargas, a fin de asegurar que el sitio se mantenga en operación. Una acción importante también es almacenar en memoria la mayor cantidad de información posible, pues esto no sólo acelerará la respuesta del sitio sino que además limita la posibilidad de modificación de información de forma importante, pues no se realizan grandes escrituras a disco, sino actualizaciones en memoria que pudieran ser descartados. Además de considerar algoritmos que soporten la compresión en línea, a fin de reducir el consumo de ancho de banda.
  • Confidencialidad: Un punto importante es tener un único punto de entrada y salida de información, o distribuidor. El punto es que este componente tenga la función de procesar todos los requerimientos que se realicen por parte de los usuarios a los distintos sitios, ya sean los públicos o el de Administración. Pues con esto se asegura que solo se entregarán los recursos correspondientes a los usuarios con los permisos adecuados. Lo importante es asegurar que todos los recursos, páginas, etc. forzosamente hagan uso de este distribuidor, de forma que no sea posible hacer uso directo de los URL de cada página o componente como una alternativa para evadir la seguridad. Ahora para el caso de los repositorios de usuario y sus contraseñas, se recomienda que estas sean almacenadas una vez han pasado por un SHA ("Secure Hash Algorithm" por sus siglas en inglés, un conjunto de funciones diseñado por la Agencia de Seguridad Nacional de los Estados Unidos) a fin de que no sea posible obtenerlas desde consultas directas a la Base de Datos.
  • Integridad: Regresando al Distribuidor, podemos indicar que un aspecto crucial para garantizar la integridad de la información que entra y sale del sistema se basa en el uso adecuado del distribuidor, para que sea este quien de manera dinámica construya cada página cuando esta le es solicitada, pues así, se integrarán solo los recursos con las características de seguridad correspondientes, lo que por supuesto reduce las posibilidades de suplantar la información, en caso de que algún servidor quedará comprometido por algún motivo.
También es importante resaltar que deben tomarse medidas adicionales para evitar el riesgo por ataques de Estilo de Inyección, Evasión de autenticación y URL mal formados, Perfilados de aplicación, por mencionar solo algunos.

Para el primer caso, se recomienda verificar que los algoritmos que realizan los llamados a Base de Datos lo hagan mediante esquemas de PreparedStatement, pues así la información de pre compila y las sentencias no se forman de datos provenientes de Internet. Con lo que se evita que se realice una inyección SQL. Para el segundo tipo de ataque mencionado, la evasión de autenticación, tenemos que como toda la estructura de los sitios se forma de manera dinámica en memoria y no desde directorios físicos en el disco, los URL que se generan siempre envían la solicitud al distribuidor, quien se encarga como ya dijimos de evaluar las reglas de cada recurso y así se verifica que el usuario tenga permisos para acceder a los recursos solicitados. Y en el último ejemplo, el perfilado de aplicación, se realiza una captura de errores que se muestran solo en la Aplicación de Administración, y al usuario siempre se le envía una pantalla de error genérica a fin de no mostrarle la información interna del sistema y comprometer así, algún tipo de integridad de la misma.

Por supuesto esto significa que la Aplicación de Administración debe tener también niveles de seguridad adicional en su operación, y para ello adicional a los mecanismos ya mencionados, se cuenta con un esquema de roles y perfiles para cada usuario, que permitan controlar qué funcionalidades o información puede ver un usuario, pues no se puede permitir que todos vean todo. Los mayores ataques y fugas de información, y sucesos de sistemas comprometidos, vienen acompañados de elementos internos normalmente humanos.

Espero que esta revisión rápida de los esquemas de seguridad que han sido usados en diversos productos de uso público, permitan tener un panorama más amplio de algunas de las características técnicas que pueden ser consideradas en los esquemas y arquitecturas de aplicaciones para mejorar el nivel de seguridad del activo más importante de la época actual… NUESTRA INFORMACIÓN.


Comentarios

Publicar un comentario

Entradas más populares de este blog

¿Qué tan inteligente es realmente una Inteligencia Artificial?

-
Imagen
  Recientemente se habla mucho de IA (Inteligencia Artificial), de como se aplica en los chatbot, para la generación de imágenes, videos, archivos de audio o música o en los grandes y múltiples beneficios que traerán las aplicaciones que usen IA en diversas disciplinas o industrias. De la misma manera hemos oído de los riesgos que conlleva el permitir un desarrollo acelerado de estas tecnologías, pues podrían llegar a dominarnos o en última instancia decidir eliminar a la humanidad. Incluso se hablo de que muchos de los grandes intelectuales y empresarios han pedido una pausa de al menos 6 meses en el desarrollo de las IA para tratar de evitar la consolidación de dichos riesgos. Aunque muchos dicen que esta supuesta pausa, es solamente un pretexto para que otras compañías puedan dar alcance a las empresas hoy punteras en esta tecnología, reduciendo las supuestas preocupaciones a meras especulaciones económicas y estrategias de posicionamiento de mercado por parte de los gigantes de Si
Leer más

Entre el Desarrollo y el Negocio. Un Producto tecnológico como negocio

-
Imagen
Todos hemos oído historias sobre grandes empresas surgidas de la mente de jóvenes genio quienes en el garaje de su casa construyeron los cimientos de sus imperios. Y ¿Si ellos lo hicieron por qué nosotros no?  La intención de estas líneas es brindar una idea del panorama general de los distintos elementos a considerar mientras se desarrolla un Producto Tecnológico y su ecosistema comercial, pues alguna vez todos hemos tenido la idea un producto (Ya sea de Software o Hardware) que sería capaz de hacernos ricos al tiempo que revolucionamos el mundo, al mismo y puro estilo del mismísimo Jobs.  Aunque lamentablemente solo unos cuantos siguen adelante y se lanzan a la aventura de producirlo y muchos menos aún los que llegan exitosamente al mercado y más escasos aquellos que realmente lograr cambiar el paradigma del mundo. Por supuesto es claro que las muestras de coraje y atrevimiento de ir hasta el final del camino, no son los únicos ingredientes que se necesitan para lograr que un
Leer más

Más allá de la programación… Un cuento de Desarrollo de Servicios

-
Imagen
DESARROLLO DE SERVICIOS A PRODUCTOS DE SOFTWARE Era el primer lunes de marzo cuando Vicente Herrera, responsable de Servicios a Productos de la empresa NetLink, se reunió con los miembros de su equipo de trabajo: -Buen día a todos, gracias por su puntualidad. Los he convocado a esta reunión para discutir la estrategia de lanzamiento del nuevo producto para aplicaciones web ‘Anyweb’, que como saben se trata de una nueva plataforma tecnológica basada en el concepto de Internet de las Cosas y nuestro reto es concluir el desarrollo de los servicios que lo soporten en un tiempo de apenas tres meses. -En México, la industria de desarrollo de Software está llena de empresas que se dedican a la consultoría y al desarrollo de aplicaciones a la medida, y para ello en el 99% de los casos se utilizan productos fabricados por empresas transnacionales y de manera muy aislada, casi inexistente, productos de software nacionales. Por ello es tan importante que se fomente la cultura y el modelo
Leer más

Web Semántica, Una línea de negocios

-
Imagen
En las últimas décadas la tecnología de Internet y los múltiples dispositivos para estar conectados han adquirido un papel más importante en nuestra vida diaria, modificando la forma como trabajamos, hacemos negocios, estudiamos, mantenemos amistades e incluso conseguimos pareja. Este fenómeno se ha llamado “Sociedad de la Información”, pues tenemos la posibilidad de acceder a cualquier tipo de información de manera más rápida y eficiente en cualquier lugar y momento; y con la llegada de las redes sociales podemos incluso ser los generadores de esa información. Hagamos algo de historia para entender mejor este fenómeno: Cuando se comenzó a oír el término “Súper Carretera de la Información” y que era necesario para una empresa tener una dirección “www” y su cuenta de correo electrónico, pocos entendían claramente lo que significaba, y por qué era importante y qué beneficios les traería a sus empresas. Los informáticos se volvieron pieza clave en esta época, pues eran los únic
Leer más

Humanos mejorados

-
Imagen
¿Serán los Ciborgs Ficción o solo una historia por ser contada? “Les preocupaba tanto si podrían lograrlo que no se detuvieron a pensar si debían hacerlo” – Iam Malcolm, Jurassic Park "Que Dios nos ayude. Hemos caído en manos de ingenieros" - Ian Malcolm, Jurassic park Pensar en el desarrollo de tecnologías capaces de mejorar en toda forma posible las habilidades y sentidos humanos, es algo que nos ha acompañado desde las primeras historias de ciencia ficción y han sido parte de la cultura popular de muchas generaciones. Pero ¿Qué tan reales y factibles son estos conceptos? ¿Qué tan cerca estamos de poder verlo en “carne y circuitos” en los próximos años? O ¿Acaso es algo que ya estamos viviendo de forma discreta? y que por la pérdida de nuestra capacidad de asombro y el “hambre” que tenemos de más y más avances tecnológicos, ¿hemos dejado de percibir y apreciar lo que ya estamos usando hoy día? Comencemos por hacer un breve repaso de cuál ha sido la tendencia de
Leer más