Systémová Dokumentace
Nefukční
Bezpečnost

Bezpečnost

Bezpečnost webového obchodu je zásadní pro ochranu citlivých informací vašich zákazníků a zajištění důvěryhodnosti vašeho online podnikání. Tato dokumentace vysvětluje, jak fungují různá bezpečnostní opatření, od šifrování dat v PostgreSQL až po konfiguraci reverse proxy s Nginx.

Šifrování v PostgreSQL

Šifrování dat na disku

Šifrování dat na disku chrání informace uložené v databázi před neoprávněným přístupem, pokud by se někdo dostal k fyzickému disku. Šifrování může být implementováno na úrovni souborového systému, kde jsou data na disku šifrována pomocí speciálních nástrojů nebo vestavěných funkcí operačního systému. Tento proces zajišťuje, že data jsou nečitelná bez odpovídajícího dešifrovacího klíče.

Šifrování komunikace pomocí SSL/TLS

Šifrování komunikace mezi klientem a databází pomocí SSL/TLS zajišťuje, že data přenášená po síti jsou chráněna před odposlechem a útoky typu man-in-the-middle. Když je SSL/TLS aktivováno, všechny informace přenášené mezi aplikací a PostgreSQL jsou zašifrovány, což znamená, že i kdyby byla komunikace zachycena, nebude čitelná bez odpovídajícího dešifrovacího klíče.

Bezpečnost webového serveru

Konfigurace Nginx jako reverse proxy

Nginx funguje jako reverse proxy tím, že přijímá požadavky od klientů a přeposílá je na backendový server, kde běží aplikace. Tento přístup má několik bezpečnostních výhod:

  1. Izolace aplikace: Nginx může skrýt skutečnou IP adresu backendového serveru, což zvyšuje bezpečnost aplikace.
  2. Zpracování SSL/TLS: Nginx může spravovat SSL certifikáty a dešifrovat komunikaci, což ulehčuje zátěž backendovému serveru.
  3. Load Balancing: Nginx může rozdělovat požadavky mezi více backendových serverů, čímž zvyšuje dostupnost a výkon aplikace.

Ochrana proti útokům

  1. Rate Limiting: Omezení počtu požadavků od jednoho klienta za určitý časový interval může zabránit DDoS útokům, kde útočník zaplavuje server velkým množstvím požadavků.
  2. Bezpečnostní hlavičky: Nginx může přidávat bezpečnostní hlavičky, které chrání aplikaci před některými druhy útoků, jako jsou XSS (Cross-Site Scripting) a clickjacking. Například hlavička X-Frame-Options zabraňuje vkládání stránky do rámců jiných webů, což může pomoci předejít clickjacking útokům.

Autentizace a autorizace

Bezpečné ukládání hesel

Bezpečné ukládání hesel je klíčové pro ochranu uživatelských účtů. Místo ukládání hesel v prostém textu se používají hashovací algoritmy, které hesla zakódují. Algoritmy jako bcrypt, Argon2 nebo scrypt jsou navrženy tak, aby byly odolné proti útokům hrubou silou. Hashovací algoritmy také zahrnují "sůl", což je náhodný řetězec přidaný k heslu před hashováním, což zajišťuje, že stejná hesla budou mít různé hashe.

Dvoufaktorová autentizace

Dvoufaktorová autentizace (2FA) přidává další vrstvu zabezpečení tím, že vyžaduje, aby uživatelé poskytli dvě formy ověření: něco, co vědí (heslo), a něco, co mají (např. mobilní telefon pro přijímání SMS kódů nebo autentizační aplikaci). Tím se výrazně snižuje riziko neoprávněného přístupu, i když by někdo získal uživatelské heslo.

Pravidelné aktualizace a údržba

Pravidelné aktualizace a údržba softwaru jsou nezbytné pro udržení bezpečnosti. Bezpečnostní aktualizace opravují známé zranitelnosti a chyby v softwaru. Mít aktuální software znamená minimalizovat riziko využití těchto zranitelností útočníky.

Monitorování a logování

Monitorování a logování umožňuje detekovat podezřelé aktivity a potenciální bezpečnostní incidenty. Systémy pro detekci průniků (IDS) a pravidelné analýzy logů mohou pomoci identifikovat a reagovat na bezpečnostní hrozby v reálném čase. Logování přístupů a chyb také poskytuje cenné informace pro audit a forenzní analýzu.

Tímto způsobem lze zajistit, že webový obchod zůstane bezpečný a chráněný proti různým hrozbám a útokům.

SchémaMinimální systémové požadavky