Na semana passada, a empresa de segurança Appthority publicou um relatório intitulado HospitalGown: A exposição de back-end que coloca os dados corporativos em risco, que destacou vulnerabilidades recém-descobertas entre aplicativos móveis e bancos de dados de back-end inseguros que contêm dados corporativos. A vulnerabilidade não é causada pelo código do aplicativo, mas pela falha dos desenvolvedores de aplicativos em proteger adequadamente os servidores de back-end com firewalls e autenticação.
A Appthority citou uma série de exposições em várias plataformas de back-end, com uma iteração inicial do relatório mencionando o Couchbase. No entanto, após uma análise posterior, os pesquisadores perceberam a inclusão inadvertida e ofereceram a seguinte declaração ao Couchbase:
Embora a nossa equipe de pesquisa tenha analisado os servidores Couchbase encontrados na natureza, descobrimos que todos eles exigiam autenticação... O Couchbase foi listado de forma imprecisa quando, em vez disso, se referia a um provedor de hospedagem CouchDB.
Essa é a mesma autenticação sobre a qual meu colega Wayne Carter escreveu em um blog anterior intitulado Resolvendo problemas de segurança de dados descentralizados com o Couchbase Mobile
A segurança é uma ideia prévia para o Couchbase - algo que incorporamos desde o início, em vez de ser acrescentado como uma reflexão posterior. A criação dessa forma também ajuda a aliviar o ônus do desenvolvedor.
No lado da autenticação, oferecemos suporte à autenticação conectável, incluindo suporte pronto para uso para provedores de login públicos populares, como o Facebook, e provedores padrão do OpenID Connect (OIDC). Além disso, os desenvolvedores podem criar seu próprio provedor personalizado. Os desenvolvedores também podem restringir o acesso ao sistema a usuários autenticados com êxito ou, opcionalmente, permitir usuários anônimos.
Mas espere, tem mais.
Como Wayne escreveu anteriormente, há uma expectativa de que os aplicativos sempre funcionem - com e sem conexão com a Internet. Para atender a essa expectativa, é necessário acessar e armazenar dados descentralizados diretamente em um dispositivo. O gerenciamento de dados descentralizados apresenta uma série de riscos de segurança que são essenciais para gerenciar, e foi isso que os pesquisadores da Appthority descobriram. Além da autenticação do usuário, há quatro outras preocupações importantes de segurança ao trabalhar com armazenamento e transporte de dados:
- Acesso de leitura/gravação de dados
- Transporte de dados na rede elétrica
- Armazenamento de dados no dispositivo
- Armazenamento de dados na nuvem
O Couchbase Mobile resolve cada uma dessas questões.
- Para Acesso de leitura/gravação de dados existem ferramentas de política refinadas que permitem controlar o acesso aos dados para usuários e funções individuais. As permissões de leitura estão no nível do documento e as permissões de gravação estão no nível do campo.
- Transporte de dados na rede elétricaO sistema de gerenciamento de dados, para dados em movimento, é por TLS.
- Armazenamento de dados no dispositivopara dados em repouso no dispositivo, usa a criptografia integrada do sistema de arquivos do dispositivo e a criptografia completa de banco de dados AES de 256 bits.
- Armazenamento de dados na nuvemPara dados em repouso na nuvem, você pode configurar o Couchbase Server para usar a criptografia do sistema de arquivos.
O Couchbase Mobile permite que você gerencie facilmente seus dados em toda a rede e pilha de aplicativos. Isso inclui armazenamento, acesso, sincronização e segurança na nuvem, em telefones, em e tablets, na Web, na TV, no carro e em qualquer outro lugar.
Quando a segurança é um zíper eufemístico, estamos cobrindo as costas de nossos clientes.
