y
у меня оч удачно есть вопрос для веберов. покритикуйте пожалуйста, я перенаправлю ребятам
Дано:
Задача: максимально обезопасить админку и ручки, которые к ней относятся, т.е. уменьшить "attack surface"
Идеи:
Нужна конструктивная критика:
Дано:
• "Стандартное" веб приложение: два фронтенда - клиентский и админка, клиентские мобильные приложения, и бекенд (REST API) один на всех • Фронтенды на React (статика) • В бекенде есть API ручки, которые только для админки. Там различные уровни прав, ACL, 2FA и пр. В общем-то всё по best practices. • Данные в бекенде очень чувствительные - персональные, коммерческие и пр.Задача: максимально обезопасить админку и ручки, которые к ней относятся, т.е. уменьшить "attack surface"
Идеи:
• React код админки может содержать подсказки на то, какие есть ручки в API и как с ними работать. Лучше его закроем web proxy, чтоб левые не получили к нему лёгкий доступ. • API закрыть сложно, поскольку одни и те же ручки могут использоваться и админкой и клиентом. Идея такая - если сессия от админки (сотрудника), то API применяет дополнительный ACL по IP адресу источника. Чтоб пройти проверку по IP, сотрудники работают через тот же web proxyНужна конструктивная критика:
• Глядя со стороны, есть какие-то плюсы и минусы этого подхода? • Может другие варианты?