La semana pasada, la empresa de seguridad Appthority publicó un informe titulado HospitalGown: La exposición del backend que pone en riesgo los datos de la empresaque destacó vulnerabilidades recién descubiertas entre aplicaciones móviles y bases de datos backend inseguras que contienen datos de la empresa. La vulnerabilidad no está causada por el código de la aplicación, sino por el hecho de que los desarrolladores de la aplicación no protegen adecuadamente los servidores backend con cortafuegos y autenticación.
Appthority citó una serie de exposiciones en múltiples plataformas backend, con una primera iteración del informe mencionando Couchbase. Sin embargo, después de una revisión posterior, los investigadores se dieron cuenta de la inclusión inadvertida y ofrecieron la siguiente declaración a Couchbase:
Aunque nuestro equipo de investigación analizó los servidores Couchbase encontrados en la naturaleza, descubrimos que todos requerían autenticación... Couchbase aparecía en la lista de forma inexacta cuando en realidad se refería a un proveedor de alojamiento CouchDB.
Se trata de la misma autentificación sobre la que mi colega Wayne Carter escribió en un blog anterior titulado Seguridad de los datos descentralizados con Couchbase Mobile
La seguridad es una previsión para Couchbase - algo que hemos incorporado desde el principio en lugar de añadirlo a posteriori. Construirlo de esta manera también ayuda a aliviar la carga del desarrollador.
En cuanto a la autenticación, es compatible con la autenticación conectable, incluida la compatibilidad inmediata con los proveedores de inicio de sesión públicos más conocidos, como Facebook, y los proveedores estándar de OpenID Connect (OIDC). Además, los desarrolladores pueden escribir su propio proveedor personalizado. Los desarrolladores también pueden restringir el acceso al sistema a los usuarios autenticados correctamente u, opcionalmente, permitir usuarios anónimos.
Pero espera, hay más.
Como Wayne escribió anteriormente, existe la expectativa de que las aplicaciones funcionen siempre, con y sin conexión a Internet. Cumplir esta expectativa requiere el acceso y almacenamiento de datos descentralizados directamente en un dispositivo. La gestión de datos descentralizados introduce una serie de riesgos de seguridad que es fundamental gestionar, que es lo que descubrieron los investigadores de Appthority. Además de la autenticación del usuario, existen otras cuatro preocupaciones clave en materia de seguridad cuando se trabaja con el almacenamiento y el transporte de datos:
- Acceso de lectura/escritura de datos
- Transporte de datos por cable
- Almacenamiento de datos en el dispositivo
- Almacenamiento de datos en la nube
Couchbase Mobile resuelve cada uno de estos problemas.
- Para Acceso de lectura/escritura de datos existen herramientas de política de granularidad fina que permiten controlar el acceso a los datos para usuarios y funciones individuales. Los permisos de lectura se conceden a nivel de documento y los de escritura a nivel de campo.
- Transporte de datos por cablepara datos en movimiento, es sobre TLS.
- Almacenamiento de datos en el dispositivopara los datos en reposo en el dispositivo, utiliza el cifrado del sistema de archivos integrado en el dispositivo y el cifrado de base de datos completa AES de 256 bits.
- Almacenamiento de datos en la nubePara los datos en reposo en la nube, puedes configurar Couchbase Server para que use File System Encryption.
Couchbase Mobile te permite gestionar fácilmente tus datos a través de toda la red y la pila de aplicaciones. Esto incluye almacenamiento, acceso, sincronización y seguridad en la nube, en teléfonos, en y tabletas, en la web, en tu televisor, en tu coche y en todas partes.
Cuando la seguridad es una cremallera eufemística, cubrimos las espaldas de nuestros clientes.
