現在、イントラネット内でのみアクセスできるWebサイトである内部CRMシステムがあります。上司は今、人々が家からでも外出先でもそれを使用できるように、それを外の世界にさらしたいと思っています。私の懸念は、顧客ベースを外の世界に公開するという事実に基づくセキュリティです。私は次のように3層のセキュリティを実装しました。
基本的に、Webセキュリティに関しては少し新しいです。誰かが私に何かが足りないかどうかについてアドバイスをくれますか?または何かを変更する必要がありますか?
検討しなければならないことはたくさんありますが、これにすぐに答えるのは非常に難しいでしょう。そのため、あなたを助けたり、始めたりするのに役立つさまざまなリソースを紹介します.
まず、 http://security.stackexchange.comをプラグインします。特定の質問がある場合は、大きな助けになる可能性があります。
さて、あなたがチェックすべきより差し迫った事柄に移りましょう:
システムはファイアウォールの背後にありますか? 少なくとも、外部から直接アクセスできないサーバーに DB を配置することをお勧めします。
サイトに対してさまざまな (無料の) セキュリティ ツールを調べて実行し、問題を見つけようとします。例: https://asafaweb.com http://sectools.org/
一般的なエクスプロイト (SQL インジェクションなど) を読んで、それらを防止していることを確認してください: https://www.owasp.org/index.php/Top_10_2010-Main https://www.owasp.org/index.php/カテゴリ:脆弱性
トークンはどのように渡されますか? また、別のユーザーがそれを取得した場合 (たとえば、別のマシンにキャッシュされた後) はどうなりますか?
適切なパスワード保護ポリシーがあることを確認してください (適切な複雑さ、3 回の試行後にアカウントをロックすることでブルート フォース攻撃から保護します)。
これがあなたにとって大きな懸念事項である場合 (最悪のシナリオでのビジネスへのリスクを考慮してください)、専門家に依頼するか、システムに対してセキュリティ テストを実行する人を検討してください。
または、上記のコメント (+1) で mrunion が見事に指摘しているように、これを Web 上で公開する必要がないように、これを開く他のより安全な方法を検討しましたか?
これで始められることを願っています。