Heroku + SSL Endpoint + goDaddy의 SSL 인증서. 보안이되어 있습니까?

Question

이것은 매우 일반적인 질문입니다. 복제본이 실제로 아직 내 대답을 찾지 못했는지는 확실하지 않습니다.

우리 회사는 데이터 보안에 대해 매우 우려하고 있습니다. 즉, 우리 회사는 앱 호스팅과 데이터베이스 호스팅에 대해 매우 특별합니다. 우리는 의료 데이터와 같은 매우 민감한 정보를 다루고 있습니다. 우리는 이전에 AWS를 사용했는데, SSL이없는 원시 인스턴스를 사용한다는 것을 의미합니다. 우리는 cloudforce에 의해 구매 된 우리의 웹 애플 리케이션을 Heroku로 마이그레이션했으며, 보안에 대해서는 신경 쓰지 않아도되며, 모든 것들을 펜 테스트합니다.

그런 다음 heroku의 SSL 끝점을 goDaddy SSL 인증서와 함께 사용하여 사이트의 보안을 강화할 수 있다고 생각합니다.

나는 웹 보안에있어 매우 멍청하다고 말할 수 있지만 이러한 조치는 충분합니까?

Answer 1

의료 데이터를 다루는 경우 설명하는 방법만으로는 충분하지 않습니다. SSL 인증서를 통해 데이터가 유출되면 데이터를 보호 (암호화) 할 수 있습니다. 또한 인증서는 사용자에게 서버를 식별합니다 (중간자 공격 완화).

그러나 민감한 데이터를 다룰 때는 데이터를 안전하게 보호해야합니다 (데이터베이스에서 암호화되거나 데이터베이스 파일 자체를 암호화). 또한 무단 액세스를 방지하기위한 조치를 취해야합니다. 즉, 사용자는 자신을 인증해야하며 자신이 누구인지 또는 자신이 속한 역할 (RBAC)에 따라 액세스 권한을 부여하거나 액세스하지 못하도록해야합니다.

Google이 답변에있는 용어 중 하나를 사용하면 더 많은 정보를 얻을 수 있습니다.

Answer 2

실제로는 일반적인 질문이므로 일반적인 대답 만 제공 할 수 있습니다. 또한, 그것은 모두 ""으로 정의하는 방법에 따라 달라집니다. ".

당연히 SSL을 사용하면 이점을 얻을 수 있습니다.

하지만 SSL이하는 것과하지 않는 것을 이해해야합니다. 제한된 목록 :

• SSL 은 클라이언트 en 서버 간의 통신을 암호화합니다.
• SSL 은 서버의 ID를 준수합니다 (개인 키를 안전하게 관리하는 경우).
• SSL 는 어떤 방법으로 사용자의 신원을 준수하지 않는 엔드 포인트
• SSL 모든 액세스를 금지하지 않습니다.