Методы и инструменты защиты персональных данных клиентов в решениях на платформе Битрикс

    Сегодня мы поговорим о защите персональных данных клиентов и других, не менее важных, аспектах информационной безопасности веб-проектов.

    Скорость и сложность разработки — постоянно растет


    В последнее время область разработки переживает довольно стремительный переход от классических практик создания программного обеспечения — долгого, медленного, обстоятельного, досконального подхода, при котором все тщательно проектируется, продумывается, испытывается десятки раз — к Agile методикам, обеспечивающим быстрое создание продукта с одновременным постоянным потоком изменений в его функционал как во время разработки, так и после выхода первого релиза.

    Многие все отчетливее понимают, что если писать софт долго и правильно, то он может к моменту выхода на рынок оказаться просто ненужным и устаревшим. Поэтому все чаще и чаще наблюдается следующий подход, применяемый в том числе в разработке веб-проектов:
    1. Интенсивный непродолжительный мозговой штурм концепции проекта
    2. Грубое «прикидывание» плана итераций релиза (на 1-6 месяцев) с упорядочиванием описанных простым языком фич веб-проекта по убыванию приоритета. Причем стараются выпустить первый релиз в продакшн как можно быстрее, даже «по частям».
    3. Выбор и экспресс-оценка наиболее приоритетных фич, которые можно сделать за 2-4 недели командой разработки (не больше дня)
    4. Быстрое проектирование (не больше дня) с использованием досок и других средств коллективных коммуникаций и разработка выбранного приоритетного функционала
    5. Демонстрация «быстро сделанного» функционала, получение обратной связи от пользователей (сначала внутри компании), тестирование пользователями
    6. Вывод сделанного функционала в продакшн для скорейшего получения обратной связи и… более интенсивного тестирования :-)
    7. Переход к п.3 и так далее по кругу


    Проблемы «быстрой» разработки веб-проектов


    Помимо очевидных плюсов «быстрой» разработки:
    1. Пользователи получают наиболее востребованный функционал максимально быстро
    2. Разработчики занимаются только самыми приоритетными задачами
    3. Веб-проект шагает в ногу со временем, оперативно реагируя на вызовы рынка и запросы Пользователей и адекватно меняясь
    4. Бюрократия, среднесрочное и долгосрочное планирование сведены практически сведены на нет — все силы брошены на выявление и планирование ближайших задач

    имеются риски и угрозы, важность которых нередко сложно оценить непрофессионалу:
    1. Из-за недостатка времени и ограниченности бюджета, плохо продумывается архитектура веб-проекта, из-за чего он может, например, начать «тормозить» или его станет сложно и дорого развивать
    2. Из-за недостатка времени и ограниченности бюджета, а также возможно недостаточной квалификации IT-специалистов, вопросам безопасности веб-проектов уделяется недостаточное внимание, если этим вообще кто-нибудь занимается

    Ситуация усугубляется еще тем, что информационные технологии становятся все сложнее и запутаннее, и программисту нужно уметь разбираться в интенсивно увеличивающемся конусе смежных, нередко непохожих технологий. А времени на учебу — либо не выделяется, либо дается неадекватно мало. Люди — фактически вынуждены учиться на… реальных проектах.

    Что же делать?


    Одним из возможных решений поставленной выше задачи: «делать веб-проекты быстро, качественно и без дыр» — использовать готовые инструменты, библиотеки и фреймворки, спроектированные и реализованные экспертами в области информационной безопасности. Инструменты, шагающие в ногу со временем и защищающие нас от постоянно возникающих угроз.

    Платформа Битрикс — просто нашпигована эффективными инструментами обеспечения информационной безопасности веб-проектов.

    Ядро платформы Битрикс — «крепкий орешек»


    Наверно многие знают, что в нашей компании имеется отдел информационной безопасности, в задачи которого входит тщательный аудит всего создаваемого программного кода платформы Битрикс. Поэтому ядро платформы — максимально защищено, о чем свидетельствуют в том числе хорошие результаты на фестивале хакеров CC9 и результаты независимого аудита от известного эксперта в области безопасности — Positive Technologies.



    Более того, благодаря политике тотальной проверки данных, передаваемых API ядра платформы (да, немного в ущерб производительности), распространенная угроза веб-проектов «SQL-инъекция» — исключена (если код веб-проекта работает строго через API, что входит в наши стандарты качества интеграции), а вероятность XSS-атак — серьезно снижена.

    Также, специалисты отдела информационной безопасности проводят постоянный мониторинг внешних информационных угроз и создают/развивают проактивные инструменты защиты веб-проектов — которые мы далее рассмотрим.

    «Визуализация» состояния защиты веб-проекта


    У вас имеется перед глазами «Панель безопасности» и ваша задача — выполнить рекомендуемые настройки для повышения, в случае необходимости, «текущего уровня безопасности» с «Начального» до «Стандартного» и выше. Просто и наглядно — хотите больше безопасности, значит повышайте уровень, выполняя рекомендации экспертной системы.

    Выглядит эта панелька так:



    Фильтруем входные данные веб-проекта


    «Проактивный фильтр (Web Application Firewall)» — подсистема фильтрует все передаваемые веб-проекту данные (посты, куки и т.п.) на предмет эксплуатации известных уязвимостей: XSS, SQL Injection, PHP Including и ряда других. Конечно, ложные срабатывания могут быть, поэтому инструмент настраивается.

    Важно отметить, что инструмент защищает не ядро платформы Битрикс, которое безопасно само по себе (см. выше), а именно «надстройку над платформой», выполненную программистами — веб-проект на базе 1С-Битрикс. К сожалению, из-за недостатка бюджета, времени и квалификации, программный код «иногда» не достаточно хорошо проверяется программистами на предмет информационной безопасности — и именно от возможных ошибок и дыр подобного вида страхует вас данный мощный инструмент. Поэтому, если разработку на платформе ведет, на ваш взгляд, «слабоватая» команда разработчиков — инструмент для вас!

    И конечно, все атаки — регистрируются в журнале событий.

    Вот так это работает:





    Веб-антивирус



    Этот инструмент работает несколько иначе, чем предыдущий — он фильтрует информацию, передаваемую в браузер клиентов веб-проекта.

    К сожалению, нередко компьютеры администраторов и менеджеров веб-проектов — заражены вирусами. Вирусы достают пароли из браузеров, FTP-клиентов и других инструментов управления веб-проектом и… заражают сами файлы веб-проекта. Утром вам начинают звонить клиенты и говорить, что на сайт нельзя зайти, т.к. он заражен и вместо сайта открывается красное окно с предупреждением — а все из-за того, что один из менеджеров веб-проекта ночью из дома зашел с персонального зараженного компьютера и добавил… зараженную новость на сайт.

    Данный инструмент, конечно, не заменяет антивирусное программное обеспечение, а действует с ним в унисон и определенно страхует вас от ошибок в политике безопасности эксплуатации веб-проекта. И, как любой антивирус — периодически обновляется через Интернет.

    Политики безопасности групп


    Идея тут в том, что учетные записи пользователей и администраторов веб-проекта привязываются к группам, имеющим разные уровни безопасности (чем выше безопасность, тем как правило ниже удобство работы с системой).

    Можно выбрать уровень безопасности группы из списка, а можно поиграть «вкусными» параметрами вручную (если понимаете, что они означают). Чем больше у сотрудников группы полномочий, тем более высокий уровень безопасности она должна, по-хорошему, иметь:



    Защита сессий


    После авторизации между клиентом и веб-проектом начинает гулять идентификатор сессии, который нередко является целью хакеров. Для защиты сессии на разделяемых хостингах мы предлагаем их хранить в базе данных, а для затруднения атак на сессию мы даем возможность менять ее идентификатор.



    Защита административного раздела


    Полезно разрешить доступ к административному разделу веб-проекта с определенных подсетей средствами системного администрирования — но мы также предоставляем инструмент, облегчающий эту задачу. Инструмент достаточно популярный и удобный — особенно на разделяемых хостингах:



    SSL или не SSL?


    А это как вам удобно. Весь трафик клиентов с веб-проектом шифровать — расточительно и неудобно (хотя для обеспечения секьюрности это некоторым очень хочется сделать). А вот определенные разделы, содержащие персональные данные и точки авторизации — весьма полезно.
    Напрямую в платформе мы не занимаемся этим — возлагая задачу обеспечения SSL на службу системного администрирования и проектировщика веб-решения.

    На летней партнерской конференции мы анонсировали выход в ближайшем релизе платформы технологии защиты от передачи пароля в открытом виде (не у всех есть возможность настроить SSL) — на базе асимметричной криптографии (шифруем пароль JavaScript-ом в браузере клиента, RSA 1024 bit).

    Одноразовые пароли


    Конечно, вы можете защитить процедуру авторизации на веб-проекте посредством SSL от перехвата паролей грозными хакерами, но… это не спасет от утечки паролей, особенно административных, по другим каналам — е-мейл, бумажечки на столе и в тумбочке, записи на рабочем столе и т.п.

    Для максимальной защиты паролей нередко пользуются двухфакторной авторизацией. В платформе Битрикс реализована разновидность этой технологии. Вы раздаете сотрудникам симпатичные брелочки или используете софт для генерации одноразовых паролей. Теперь можно быть уверенным в том (до определенной степени), что а) перехват пароля становится бесполезной задачей, б) если на сайте авторизовался Василий Пупкин, то это именно он по собственному желанию, либо Василий — но под дулом пистолета.

    image

    Выводы


    Благодаря встроенным в платформу Битрикс профессиональным инструментам обеспечения информационной безопасности и защиты персональных данных — массово создаваемые решения на ее основе можно считать «довольно прочными и устойчивыми».

    Создавая веб-проект на 1С-Битриксе вы (или наш Партнер) можете сконцентрировать усилия и бюджет на решаемой задаче, доверяя вопросы обеспечения безопасности платформе и ее инструментам.

    Однако, нужно хорошо понимать, что борьба за безопасность веб-проекта должна постоянно идти по всем фронтам, серебряной пули нет и только системный подход, четко продуманные бизнес-процессы и политики обеспечения информационной безопасности сделают ваш веб-проект неприступной крепостью на… 99.9%.

    С уважением, руководитель направления контроля качества интеграции и внедрений
    Александр Сербул
    1С-Битрикс
    77,00
    Компания
    Поделиться публикацией

    Комментарии 1

      +3
      Что мне нравиться в битриксе, это то, что он уже подумал о безопасности, фильтрации входных данных и т. п. Можно сосредоточиться на разработке бизнес логики, вместо продумывания возможных дыр и закрытия их. (а если не будет стороннего тестирования, то дыры все равно будут).

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое