LogoLogo
TH
TH
  • เริ่มต้นกับ AVALANT ONEWEB
    • เริ่มต้นกับ Avalant ONEWEB
    • การพัฒนาแบบดั้งเดิมเทียบกับ Low Code
    • แนวคิดของ ONEWEB
      • แอพพลิเคชัน ONEWEB
      • ONEWEB AppSpace
      • ONEWEB Runtimes
      • สตูดิโอออกแบบ ONEWEB
  • การติดตั้งและตั้งค่า ONEWEB PLATFORM
    • ติดตั้งและกําหนดค่าแพลตฟอร์ม ONEWEB
    • วางแผนการติดตั้ง ONEWEB ของคุณ
      • ออกแบบสถาปัตยกรรม ONEWEB
        • สถาปัตยกรรมอิสระ
        • สถาปัตยกรรมความพร้อมใช้งานสูง
        • สถาปัตยกรรมคลาวด์
        • การผลิตเทียบกับการกู้คืนจากภัยพิบัติเทียบกับสภาพแวดล้อมการทดสอบ
        • การกําหนดค่าเซิร์ฟเวอร์ ONEWEB
        • การตรวจสอบใน ONEWEB
      • การพิจารณาขนาด
        • การปรับขนาด CPU
        • การปรับขนาดหน่วยความจํา
        • การปรับขนาดพื้นที่จัดเก็บ
        • การปรับขนาดเครือข่าย
      • ตรวจสอบข้อกำหนดเบื้องต้นสำหรับการติดตั้ง ONEWEB
        • ข้อกําหนดของฮาร์ดแวร์
        • ข้อกําหนดของซอฟต์แวร์
        • ข้อกําหนดของฐานข้อมูล
        • ข้อกําหนดด้านความปลอดภัย
        • ข้อกําหนดของเครือข่าย
        • ความต้องการของลูกค้า
        • Third-party Tools
    • ติดตั้งและจัดการคอมโพเนนต์ ONEWEB
      • สิทธิ์ของผู้ใช้
      • เตรียมซอฟต์แวร์ที่จำเป็น
        • เตรียมเซิร์ฟเวอร์ฐานข้อมูล
          • PostgreSQL
        • เตรียมเว็บเซิร์ฟเวอร์
          • Apache Web Server
        • เตรียมเซิร์ฟเวอร์แอพพลิเคชัน
          • การกำหนดค่า ONEWEB บน Wildfly
            • ขั้นตอนที่ 1 เตรียมสิทธิ์ผู้ใช้ฐานข้อมูล
            • ขั้นตอนที่ 2 กำหนดค่าการเข้าถึง Wildfly Management Console
            • ขั้นตอนที่ 3 สร้าง driver ฐานข้อมูล
            • ขั้นตอนที่ 4 สร้างแหล่งข้อมูล
            • ขั้นตอนที่ 5 ปรับใช้ไฟล์เก็บถาวรของแอพพลิเคชัน
            • ขั้นตอนที่ 6 การลงชื่อเพียงครั้งเดียว
            • ขั้นตอนที่ 7 การเข้ารหัส Wildfly และ Undertow
            • ขั้นตอนที่ 8 การรับรองความถูกต้องด้วย Wildfly
            • ขั้นตอนที่ 9 การพิสูจน์ตัวตนด้วย LDAP
          • ปรับแต่งเธรด
      • ติดตั้งส่วนประกอบแอพพลิเคชัน ONEWEB
        • ติดตั้ง ONEWEB Application Designer
        • ติดตั้ง ONEWEB Application Server
        • ติดตั้ง ONEWEB Page Designer
        • ติดตั้ง ONEWEB Page Server
      • การติดตั้งส่วนประกอบกระบวนการทำงานของ ONEWEB
        • ติดตั้ง ONEWEB Process Designer
        • ติดตั้ง ONEWEB Process Server
      • ติดตั้งส่วนประกอบการรวม ONEWEB
        • ติดตั้ง ONEWEB Microflow Designer
        • ติดตั้ง ONEWEB Microflow Server
        • ติดตั้ง ONEWEB IAM
      • ตรวจสอบการติดตั้ง ONEWEB
        • การตรวจสอบแอพพลิเคชัน
        • การตรวจสอบกระบวนการ
        • การตรวจสอบการรวมระบบ
  • การออกแบบและพัฒนาแอพพลิเคชันโดย ONEWB
    • การออกแบบและพัฒนาแอพ ONEWEB
    • การออกแบบแอพ ONEWEB
      • วิธีการเลือกระหว่างเว็บแอพและแอพมือถือ
      • วิธีการเลือกรูปแบบการออกแบบ ONEWEB ของคุณ
        • แอพ UI: UX/UI เท่านั้น
        • ประมวลผลกระบวนการทางธุรกิจของแอพเท่านั้น
        • แอพส่วนต่อประสาน: การรวมเข้ากับระบบอื่นเท่านั้น
        • แอพที่ซับซ้อน: รวม UX / UI, กระบวนการทางธุรกิจและอินเทอร์เฟซ
    • ออกแบบและพัฒนา UX/UI
      • UX/UI คืออะไร?
      • แนวทางปฏิบัติที่ดีที่สุดสําหรับ UX/UI
        • สิ่งที่ควรทำ (Do)
        • สิ่งที่ไม่ควรทำ (Don't)
        • วิธีเลือกระหว่าง Smart Form และ Page
      • ส่วนประกอบ UX/UI (UX/UI Components)
        • Smart Forms
          • Entity คืออะไร?
          • โมดูลภายในเอนทิตี
          • ปุ่มและการกระทํา
          • โหมดเอนทิตี
          • รูปแบบสมาร์ทฟอร์ม
            • Single Tab Forms
            • Multiple Tab Forms (General Tab)
            • Parent Child Forms
          • ขั้นตอนการสร้าง Smart Form ครั้งแรก
            • Step by Step เพื่อสร้างสมาร์ทฟอร์มแรกของคุณ
            • ปรับใช้รูปแบบ smart form ของคุณ
          • คุณสมบัติของ Smart Form
            • การค้นหาสากล
        • Pages
          • เพจคืออะไร?
            • Static Page
            • Dynamic Page
            • Page Navigation
          • คุณสมบัติของ Page
            • Header Footer
            • Dynamic Image
            • Switch Language
            • Custom Font
            • Custom Icon
            • Pass Parameter
            • Signature Pad
            • Theme Designer
            • Local Storage in Page
            • Sync Service in Page
            • Local Notification in Page
            • Push Notification in Page
            • Multi-language
            • Splash Screen
            • Plugin
            • App Icon
            • PGD Directives
            • Charts
            • UI Kits
            • Component Extension
            • Share Pages as Template
            • Page Expression Editor
            • Page Structure window
            • Popup Properties Editor
            • Box Model Editor
            • Environment Variables
            • Improved Drag & Drop
            • Microflow Version settings
            • Custom Dependencies
            • Navbar
            • Display Flex
            • Builder setting
          • เริ่มการสร้าง Web Page Application
            • ขั้นตอนการสร้างหน้าแรกของคุณ
            • การแสดงตัวอย่างเว็บเพจ
          • เริ่มการสร้าง Mobile Page Application
            • ขั้นตอนการสร้างหน้าเพจมือถือ
            • แสดงตัวอย่างแอพมือถือ
            • Mobile App CI/CD
        • Dashboard
          • Widget Dashboard
            • ขั้นตอนในการสร้าง widget dashboard
              • สร้างหน้า dashboard
              • สร้างเมนู dashboard
              • สร้าง chart widget
              • เพิ่ม widget บนเพจ
              • กำหนดค่า chart widget
              • กำหนดค่าชุดแผนภูมิ
              • แก้ไขชุดแผนภูมิ
              • เปลี่ยนแผนภูมิเป็นแผนภูมิวงกลม
              • เปลี่ยนสีของวงกลม
              • เพิ่มชุดข้อมูลอื่นลงในแผนภูมิ
              • เปลี่ยนแผนภูมิเป็นแผนภูมิแบบเรียงซ้อนของคอลัมน์
              • เปลี่ยนสีชุดข้อมูล
            • ปรับใช้ dashboard ของคุณ
          • Dashboard ที่ใช้ของ Page Extension
            • เพิ่ม chart ลงใน page
            • สร้าง Microflow
            • รวมแผนภูมิกับข้อมูล
        • รายงาน
          • การทำงานร่วมกับเครื่องมือการรายงาน
        • Menu & Navigation
          • เมนูและการนําทางใน ONEWEB
          • เชื่อมโยงเมนูไปยัง smart form
          • เชื่อมโยงเมนูไปที่ page
          • เชื่อมโยงเมนูไปยัง URL ภายนอก
      • UX /UI มือถือ
        • Web Responsive
          • Smart Form Responsive
          • Web Page Responsive
        • Mobile hybrid
        • Build Mobile App
          • เพิ่ม CI Server
          • รายละเอียด AppStore และ Playstore
      • การปรับแต่ง UX/UI
        • การปรับแต่ง Smart Form
          • ปรับแต่ง Look & Feel
          • เพิ่มตรรกะการตรวจสอบความถูกต้อง
          • เพิ่มตรรกะการคํานวณ
          • เพิ่ม SQL แบบกําหนดเอง
          • เพิ่ม class Java ภายนอก
        • การปรับแต่งหน้า
          • CSS ที่กําหนดเอง
          • JS action ที่กำหนดเอง
          • แหล่งข้อมูลของบุคคลที่สาม (Third party resources)
          • Extensions ที่กำหนดเอง
        • แอพมือถือ
      • การรวม UX/UI เข้ากับ Process, Micro flow, UI ภายนอก
        • การรวม Smart Form เข้ากับ Process
        • การรวม Page กับ Microflow
        • การรวม Page กับ Process
        • การรวม Smart Form กับ Microflow
      • Import/Export/Clone UX/UI
        • Export Import Clone Smart Forms
          • Export Entity
          • Import Entity
          • Clone Entity
        • Export Import Clone in Pages
          • Export Import App
          • Clone Pages
          • Import page จาก App อื่น
      • UX/UI Test & Debug guideline
    • ออกแบบและพัฒนา Process
      • Process คืออะไร?
      • แนวทางปฏิบัติที่ดีที่สุดสําหรับ Process Design
      • ส่วนประกอบของ Process
        • Business Process คืออะไร?
        • Process Template Diagram
        • Process Activity
          • Human Task
            • การจัดสรรงานและการจัดคิวสำหรับ Human Task
          • Gateway Decision
          • Web Service Task
          • Sub Process
          • Java Task
          • Database Task
          • File Read Task
          • File Input Task
          • Timer
          • Error Handling
          • Event Trigger
          • Push Notification
        • Business Object & Data Mapping
        • Formula Editor
          • Formula Editor for Data Mapping
          • Formula Editor for Gateway Condition
        • Work Party
        • Upload File
        • Environment Configuration
        • Process Instance
      • สร้าง Process แรกของคุณ
        • สร้างแอพพลิเคชัน
        • สร้าง process diagram ของคุณ
        • จำลอง process ของคุณ
        • ปรับใช้ process ของคุณ
      • การรวม
        • การรวม Process กับ UX/UI
        • การรวม Process กับ Microflow
      • การตรวจสอบ
        • การตรวจสอบกระบวนการ
        • การตรวจสอบงาน
        • SLA & OLA
        • การตรวจสอบ Dashboard
      • การตรวจสอบความถูกต้องของกระบวนการ
      • นำเข้า/ส่งออก Process
      • การปรับใช้กระบวนการจากสภาพแวดล้อมการพัฒนาไปยังสภาพแวดล้อมอื่น
      • รายการสิ่งที่ต้องทำ
      • แนวทางการทดสอบและแก้ไขข้อบกพร่องของกระบวนการ
      • สลับภาษา
      • การโยกย้าย Instance ของ Process
      • ซิงค์ผู้ใช้
      • ส่วนขยายที่กําหนดเอง
        • สร้างพื้นที่ทำงานสำหรับ Extension
        • สร้าง extension ในพื้นที่ทํางาน
        • ติดตั้ง Extension ในแอพพลิเคชัน
        • จัดการ extension
        • ใช้ Extension ใน workflow
    • การทำงานร่วมกับระบบอื่นๆ
      • ONEWEB Integration คืออะไร?
        • การรวมกับระบบอื่น from/to Microflow
        • การรวมกับระบบอื่นๆ from/to Process Flow
        • การรวมกับ App Runtime
      • แนวทางปฏิบัติที่ดีที่สุดสําหรับการรวม ONEWEB
      • Microflow เปรียบเทียบกับ Process Flow
      • พัฒนาการผสานรวมกับ ONEWEB Microflow
        • Embedded Microflow เทียบกับ Runtime Microflow Server
        • Integration Node
        • Synchronous เทียบกับ Asynchronouse
        • Data Mapping
        • Logic/Coding แบบกำหนดเอง
        • การแปลงข้อมูล
        • สร้าง Microflow แรกของคุณ
          • สร้างแอพพลิเคชัน
          • จำลอง flow ของคุณ
          • ปรับใช้ Microflow ของคุณ
            • Embedded Microflow
            • Microflow Server
          • สร้าง Flow
        • การรวม Microflow กับ UX/UI
          • รวม Smart Form กับระบบอื่นๆ โดยใช้ Microflow
          • รวม Page กับระบบอื่นๆ โดยใช้ Microflow
        • นำเข้า/ส่งออก Microflow
        • Upload File
        • การกำหนดค่า Environment
        • สลับภาษา
        • Push Notification
        • ส่วนขยายที่กำหนดเอง
        • JSON Path Mapping
        • Excel Reader
        • Excel Writer
        • Validation Node
        • JavaScript Node
      • App Runtime REST API
        • ตัวอย่างกรณีการใช้งานสําหรับ APP Runtime API
        • สร้างแอพแบบกําหนดเองเพื่อเรียกใช้ APP Runtime REST API
      • Process Runtime REST API
        • ตัวอย่างกรณีการใช้งานสําหรับ Process API
    • การออกแบบข้อมูลและการจัดการการเข้าถึงเนื้อหา
      • การจัดการการเข้าถึงข้อมูล (Data Access Management)
      • แนวทางปฏิบัติสำหรับการจัดการการเข้าถึงข้อมูล
      • การเข้าถึงฐานข้อมูล
        • โครงสร้างฐานข้อมูล
        • การเข้าถึงข้อมูลจาก UX/UI
          • เข้าถึงฐานข้อมูลจาก Smart Forms
          • การเข้าถึงฐานข้อมูลผ่าน Page
        • การเข้าถึงฐานข้อมูลจาก Process
          • โหนด Database Activity
        • การเข้าถึงฐานข้อมูลจาก Microflow
          • โหนด Database
      • การเข้าถึงรูปภาพ ไฟล์ และเอกสาร
        • เข้าถึงผ่าน UX/UI
        • การเข้าถึงผ่านทาง Process/ Microflow
    • การออกแบบและใช้งานความรักษาความปลอดภัยและการปฏิบัติการตามข้อกำหนด
      • ความปลอดภัยและการปฏิบัติตามข้อกำหนด (What is Security & Compliance?)
      • แนวทางปฏิบัติที่ดีที่สุดสําหรับการรักษาความปลอดภัยและการปฏิบัติตามข้อกําหนด
      • ตรวจสอบ
        • การรวม LDAP
        • Open ID protocol
      • การอนุญาตและการควบคุมการเข้าถึง
        • Roles, Permissions และ Objects
        • การจัดการการควบคุมการเข้าถึงด้วย IAM
          • สร้างผู้ใช้
          • จัดการบทบาทและสิทธิ์ของผู้ใช้
          • จัดการสิทธิ์ และ Object
          • จัดการบทบาท
      • Token ใน ONEWEB
      • การบันทึก, การบันทึกการตรวจสอบ
      • รองรับ SSL
    • ออกแบบและพัฒนาแอพโดยใช้ AppSpace
      • สร้างแอพพลิเคชันใน AppSpace
      • เครื่องมือฐานข้อมูล
        • Data Designer
          • วิธีสร้างแอพ Data Designer
          • เครื่องมือ Data Designer
          • คุณสมบัติเอนทิตี
          • เปรียบเทียบ schemas
        • SQL Builder
          • วิธีสร้างแอพ SQL Builder
          • เครื่องมือ SQL Builder
          • การเชื่อมต่อ
        • Data Viewer
          • วิธีใช้ Data Viewer
          • เครื่องมือ Data Viewer
      • จัดการเวอร์ชันของแอพ
      • ไปป์ไลน์
        • ปรับใช้แอพพลิเคชัน
        • ปรับใช้ Kubernetes
        • การจัดการผู้ใช้
        • แจกจ่ายแอพ
      • จัดการการเข้าถึงของผู้ใช้
        • การบริหารทีมพัฒนา
        • การจัดการการเข้าถึงของผู้ใช้ปลายทาง
      • เปลี่ยนภาษาใน AppSpace
      • ลิ้งค์แอพพลิเคชัน
      • ลิ้งค์ส่วนประกอบ
      • รายละเอียดแอพ
        • แก้ไขแอพพลิเคชันที่มีลิ้งค์เสีย
      • ส่งออกแอพพลิเคชัน
      • นำเข้าแอพพลิเคชัน
      • Cloud Native
  • อ้างอิง
    • อ้างอิง
      • ข้อมูลอ้างอิง Page Designer
        • การสร้างแอปพลิเคชัน
          • การสร้าง Mobile Page
          • การสร้าง Web Page
        • เมนูเครื่องมือบน Page
          • เมนูเครื่องมือ Page Web
          • เมนูเครื่องมือ Mobile Pages
        • เครื่องมือจัดการ Page
          • เครื่องมือทั่วไป
            • การเพิ่ม element
            • การวาง element
            • การลบ element
            • การแก้ไขข้อความ
            • การจัดรูปแบบข้อความ
            • การเชื่อมไปยังหน้าอื่น
            • อัปโหลดรูปภาพ
            • การเพิ่มรูปภาพให้เพจ
            • การตั้งค่าเพิ่มเติม
        • Tab
          • การเพิ่ม Tab บน WEB
          • การเพิ่ม Tab บน Mobile
        • เมนู
          • การเพิ่มเมนูบน Mobile
  • คู่มือ API
    • คู่มือ API
    • App Runtime API
      • รายการ Method ทั้งหมดของ REST API และคำอธิบายการทำงานของฟังก์ชันการทำงานของ API
    • Process Runtime API
      • รายการ Method ทั้งหมดของ REST API และคำอธิบายการทำงานของฟังก์ชันการทำงานของ API
    • การจัดการ Session API
      • รายการ methods API ทั้งหมดของ Java และคำอธิบายการทำงานของ API
    • API ของMicroflow Runtime
      • รายการ Method ทั้งหมดของ REST API และคำอธิบายการทำงานของฟังก์ชันการทำงานของ API
    • IAM2 API
Powered by GitBook
On this page
Export as PDF
  1. การออกแบบและพัฒนาแอพพลิเคชันโดย ONEWB
  2. การออกแบบและใช้งานความรักษาความปลอดภัยและการปฏิบัติการตามข้อกำหนด

ความปลอดภัยและการปฏิบัติตามข้อกำหนด (What is Security & Compliance?)

การรักษาความปลอดภัยเป็นพื้นฐานของการปกป้องทรัพย์สิน เช่น เว็บเพจหรือข้อมูลลูกค้าในฐานข้อมูล ขณะที่คุณวิเคราะห์โครงสร้างพื้นฐานและแอปพลิเคชันของคุณ คุณจะสามารถระบุภัยคุกคามที่อาจเกิดขึ้นได้ และสามารถเข้าใจได้ว่าว่าภัยคุกคามแต่ละรายการมีความเสี่ยงในระดับใด การรักษาความปลอดภัยเป็นเรื่องเกี่ยวกับการจัดการความเสี่ยงและการใช้มาตรการที่มีประสิทธิภาพ

รากฐานของความปลอดภัย (The Foundations of Security)

ความปลอดภัยขึ้นกับองค์ประกอบดังต่อไปนี้

การรับรองความถูกต้อง (Authentication)

Authentication เป็นกระบวนการระบุไคลเอ็นต์ของแอปพลิเคชันของคุณ เป็นสิ่งที่ระบุว่าคุณเป็นใคร สิ่งเหล่านี้อาจเป็นผู้ใช้ปลายทาง บริการ กระบวนการ หรือคอมพิวเตอร์ ไคลเอ็นต์ที่รับรองความถูกต้องเรียกว่าตัวการ

การอนุญาต (Authorization)

Authorization เป็นกระบวนการที่ควบคุมทรัพยากรและการดำเนินการที่ไคลเอ็นต์ที่ผ่านการรับรองความถูกต้องได้รับอนุญาตให้เข้าถึง หรือการระบุว่าคุณสามารถทำอะไรได้บ้าง ทรัพยากรประกอบด้วยไฟล์ ฐานข้อมูล ตาราง แถว และทรัพยากรระบบ เช่น รีจิสตรีคีย์และข้อมูลการกำหนดค่า การดำเนินการรวมถึงการดำเนินการธุรกรรม เช่น การดำเนินการ CRUD

การตรวจสอบบัญชี (Auditing )

การตรวจสอบและการบันทึกที่มีประสิทธิภาพเป็นกุญแจสำคัญในการไม่ปฏิเสธ ซึ่งรับประกันว่าผู้ใช้ไม่สามารถปฏิเสธการดำเนินการได้

การรักษาความลับ (Confidentiality )

Confidentiality คือกระบวนการทำให้แน่ใจว่าข้อมูลยังคงเป็นส่วนตัวและเป็นความลับ และไม่สามารถดูได้โดยผู้ใช้ที่ไม่ได้รับอนุญาตหรือผู้ที่ติดตามทราฟฟิกผ่านเครือข่าย การเข้ารหัสมักใช้เพื่อบังคับใช้การรักษาความลับ รายการควบคุมการเข้าถึง (ACL) เป็นอีกวิธีหนึ่งในการบังคับใช้การรักษาความลับ

บูรณภาพ (Integrity )

คือการรับรองว่าข้อมูลจะไม่ถูกกระทำการใด ๆ อันมีผลให้เกิดการ เปลี่ยนแปลงหรือแก้ไขจากผู้ซึ่งไม่มีสิทธิ ไม่ว่าการกระทำนั้นจะมีเจตนาหรือไม่ก็ตาม

ความพร้อมใช้งาน (Availability)

Availability คือการรับรองได้ว่าข้อมูลหรือระบบเทคโนโลยีสารสนเทศ ทั้งหลายพร้อมที่จะให้บริการในเวลาที่ต้องการใช้งาน

วิธีการสร้าง Web Application ที่ปลอดภัย

หากยังไม่ทราบถึงภัยคุกคามที่จะเกิดขึ้น ก็จะยังไม่สามารถออกแบบ web application ที่ปลอดภัยได้ กฏหนึ่งที่สำคัญเป็นอย่างมากและแนะนำให้เป็นส่วนหนึ่งของขั้นตอนการออกแบบแอปพลิเคชันของคุณคือ วัตถุประสงค์ของการสร้างแบบจำลองภัยคุกคามคือการวิเคราะห์สถาปัตยกรรมและการออกแบบของแอปพลิเคชัน ที่จะช่วยระบุพื้นที่ที่อาจเสี่ยงซึ่งอาจเกิดจากความผิดพลาดของผู้ใช้งานเอง หรือผู้โจมตีที่มีเจตนาร้าย เพื่อการนั้นแล้ว การออกแบบด้วยความปลอดภัยโดยใช้หลักการความปลอดภัยที่ถูกพิสูจน์แล้ว ในฐานะนักพัฒนา คุณควรปฏิบัติตามเทคนิคการเข้ารหัสที่ปลอดภัยเพื่อพัฒนาโซลูชันที่ปลอดภัยและแข็งแกร่ง โดยการออกแบบและพัฒนาซอฟต์แวร์ชั้นแอปพลิเคชันต้องได้รับการสนับสนุนโดยเครือข่ายที่ปลอดภัย โฮสต์ และการกำหนดค่าแอปพลิเคชันบนเซิร์ฟเวอร์ที่จะปรับใช้ซอฟต์แวร์แอปพลิเคชัน

แนวทางการออกแบบเพื่อความปลอดภัย

การรักษาความปลอดภัยเครือข่ายของคุณ

โครงสร้างเครือข่ายนั้ประกอบไปด้วย routers firewall และ switch โดยบทบาทของเครือข่ายที่ปลอดภัยไม่เพียงป้องกันตัวเองจากการโจมตีตาม TCP/IP แต่ยังสามารถใช้มาตรการตอบโต้ได้ เช่น อินเทอร์เฟซการดูแลระบบที่ปลอดภัยและรหัสผ่านที่รัดกุม นอกจากนี้แล้วเครือข่ายที่ปลอดภัย ยังมีหน้าที่รับผิดชอบในการตรวจสอบข้อมูลที่กำลังถูกส่งอยู่ว่ามีความสมบูรณ์ดีหรือไม่ หากคุณทราบถึงเกี่ยวกับ port protocal หรือการสื่อสารที่อาจเป็นอันตรายที่ที่ระดับชั้นของเครือข่ายใด ให้ทำการตอบโต้ภัยคุกคามที่อาจเกิดขึ้นที่ระดับชั้นนั้น

ตารางหมวดหมู่ Network Component

หมวดหมู่

คำอธิบาย

Router

เราเตอร์เป็นวงแหวนเครือข่ายชั้นนอกสุด มีหน้าที่ส่งแพ็กเก็ตไปยัง Port และ Protocal ที่แอปพลิเคชัน ช่องโหว่ด้าน TCP/IP ทั่วไปมักถูกบล็อกที่วงแหวนนี้

Firewall

Firewall จะทำการบล็อค protocol และ ports ที่ applicationไม่ได้ใช้ นอกจากนี้ ไฟร์วอลล์ยังบังคับให้ใช้ทราฟฟิกเครือข่ายที่ปลอดภัยด้วยการกรองเฉพาะแอปพลิเคชันเพื่อบล็อกการสื่อสารที่เป็นอันตราย

Switch

Switch ใช้เพื่อแยกส่วนของเครือข่าย มักถูกมองข้ามหรือเชื่อถือมากเกินไป

การรักษาความปลอดภัยโฮสต์ (Securing Your Host )

สำหรับปัญหาด้านความปลอดภัยของ web application อันดับต้นๆ ในบทนี้จะรวบรวมไว้เป็นหมวดหมู่เอาไว้

ตารางหมวดหมู่ช่องโหว่ของแอปพลิเคชัน

หมวดหมู่

คำอธิบาย

การตรวจสอบค่าที่ถูกป้อน (Input Validation)

คุณจะไม่มีทางทราบเลยว่าข้อมูลที่กรอกลงมาในแอปพลิเคชันของคุณนั้นถูกต้องและปลอดภัย การตรวจสอบอินพุตหมายถึงวิธีที่แอปพลิเคชันของคุณกรอง ขัด หรือปฏิเสธอินพุตก่อนดำเนินการเพิ่มเติม

การตรวจสอบตัวตน (Authentication)

การรับรองความถูกต้อง (Authentication) เป็นกระบวนการที่เอนทิตีพิสูจน์ตัวตนของเอนทิตีอื่น โดยทั่วไปจะใช้ข้อมูลประจำตัว เช่น ชื่อผู้ใช้และรหัสผ่าน

การอนุญาต (Authorization)

Authorization เป็นวิธีที่แอปพลิเคชันของคุณจัดเตรียมการควบคุมการเข้าถึงสำหรับทรัพยากรและการดำเนินการต่างๆ

การจัดการการตั้งค่า (Configuration Management)

ตรวจสอบว่าแอปพลิเคชันของคุณทำงานอย่างไร เชื่อมต่อกับฐานข้อมูลใด ใครคือผู้ดูแลระบบของแอป และการรักษาความปลอดภัยถูกตั้งค่าไว้อย่างไร หัวข้อเหล่านี้คือ การจัดการการตั้งค่า ซึ่งเป็นวิธีที่แอปพลิเคชันของคุณจัดการกับปัญหาการดำเนินงานเหล่านี้

ข้อมูลที่อ่อนไหว (Sensitive Data)

วิธีการที่แอปพลิเคชันของคุณจัดการกับข้อมูลใดๆ ที่ต้องได้รับการปกป้องทั้งในหน่วยความจำ ผ่านสาย หรือในที่จัดเก็บถาวร

การจัดการข้อมูลการใช้งานเครือข่าย (Session Management)

เซสชันหมายถึงชุดของการโต้ตอบที่เกี่ยวข้องระหว่างผู้ใช้และเว็บแอปพลิเคชันของคุณ การจัดการเซสชันหมายถึงวิธีที่แอปพลิเคชันของคุณจัดการและปกป้องการโต้ตอบเหล่านี้

การเข้ารหัส (Cryptography)

ตรวจสอบว่าแอปพลิเคชันคุณเก็บชุดข้อมูลที่ควรถูกรักษาเป็นความลับอย่างไร และหากมีการแก้ไขชุดข้อมูลนั้นจะต้องทำอย่างไร ใน การเข้ารหัสนี้จะเป็นการพูดถึงการจัดการชุดข้อมูลที่ควรเป็นความลับ ทั้งในการจัดเก็บและการแก้ไข

การจัดการตัวแปร (Parameter Manipulation)

ฟิลด์ฟอร์ม อาร์กิวเมนต์ของสตริงข้อความค้นหา และค่าคุกกี้มักถูกใช้เป็นพารามิเตอร์สำหรับแอปพลิเคชันของคุณ การจัดการพารามิเตอร์หมายถึงวิธีที่แอปพลิเคชันของคุณป้องกันการดัดแปลงค่าเหล่านี้ และวิธีที่แอปพลิเคชันของคุณประมวลผลพารามิเตอร์อินพุต

ด้านการจัดการข้อผิดพลาด

(Exception Management)

การจัดการข้อผิดพลาดคือการตอบสนองเมื่อมีการเรียกใช้งานบางอย่างในแอปพลิเคชันเกิดความล้มเหลว แล้วแอปพลิเคชันนั้นมีการตอบสนองไปยังผู้ใช้งานที่ทำให้ผู้ใช้งานยังใช้งานส่วนอื่นของแอปพลิเคชันได้หรือไม่

(การตรวจสอบและการบันทึก) Auditing and Logging

เป็นการตรวจสอบว่าใครกำลังทำอะไร และมีการบันทึกแต่ละการกระทำหรือไม่ ซึ่งเป็นการทำเพื่อเมื่อเกิดเหตุการณ์ที่ไม่คาดฝันซึ่งเกี่ยวข้องกับความปลอดภัย เราจะสามารถตรวจสอบภายหลังได้

สรุป

มีการโจมตีทางเครือข่ายมากมายที่อาจมุ่งเป้ามาที่แอปพลิเคชันของคุณ ซึ่งพวกเขาอาจผ่านเข้ามาทาง HTTP ดังนั้น การแยกใช้การป้องกันแบบ fortress firewall และ ตัวป้องกัน host นั้นอาจไม่เพียงพอ เพื่อป้องกันแอปพลิเคชันของคุณ คุณควรใช้งานร่วมกันทั้ง 3 ส่วน เพื่อป้องกันทั้งในชั้นเครือข่าย (Network layor) ชั้นโฮสต์ (Host layer) และชั้นแอปพลิชัน นอกจากนี้แล้ว เครือข่ายที่ปลอดภัยและโครงสร้างพื้นฐานของแพลตฟอร์มโฮสต์นั้นเป็นสิ่งจำเป็น ดังนั้น แอปพลิเคชันของคุณจึงควรออกแบบและสร้างโดยใช้แนวทางการออกแบบและการพัฒนาที่ปลอดภัยตามหลักการความปลอดภัย (security principles)

แหล่งอ้างอิง [1] Microsoft, "Microsoft Pattern & Practices proven practices for predictable results", Web Application Security Fundamentals, Chapter 1, Network Component Categories, Table 1.1: Avaliable: https://msdn.microsoft.com/en-us/library/ff648636.aspx#c01618429_008. [Accessed Nov 14, 2017]. [2] Microsoft, "Microsoft Pattern & Practices proven practices for predictable results", Web Application Security Fundamentals, Chapter 1, Rationale for Host Configuration Categories, Table 1.2: Avaliable: https://msdn.microsoft.com/en-us/library/ff648636.aspx#c01618429_008. [Accessed Nov 14, 2017]. [3] Microsoft, "Microsoft Pattern & Practices proven practices for predictable results", Web Application Security Fundamentals, Chapter 1, Application Vulnerability Categories, Table 1.3: Avaliable: https://msdn.microsoft.com/en-us/library/ff648636.aspx#c01618429_008. [Accessed Nov 14, 2017].

Last updated 2 years ago