这是一个非常普遍的问题,不确定它是否重复,因为我还没找到答案。
我的公司非常关注数据的安全性,意味着,我们非常关注托管我们的应用程序以及我们的数据库。我们正在处理非常敏感的信息,例如医疗数据。我们以前使用AWS,意味着使用完全没有SSL的原始实例。我们将我们的Web应用程序迁移到Heroku,因为它是由cloudforce购买的,我们并不需要关心安全性,对所有这些内容进行笔测试。
然后,我们将heroku的SSL端点与goDaddy SSL证书一起使用,我们认为这可能会进一步增强网站的安全性。
我可以说我是网络安全中的超级菜鸟,但这些措施是否足够?
答案 0 :(得分:0)
这确实是一个普遍的问题,因此只能提供一般答案。此外,这一切都取决于您如何定义" 足够 "。
当然使用SSL可以为您提供优势,使用它比使用SSL更好。
但请确保您了解SSL执行和不执行的操作。有限的清单:
答案 1 :(得分:0)
如果您正在处理医疗数据,您所描述的措施本身并不足够。 SSL证书将确保您的数据在通过网络时受到保护(加密)。证书还将为您的用户识别服务器(减轻中间人攻击)。
但是在处理敏感数据时,您还必须确保您的数据在静止时受到保护(在数据库中加密或加密数据库文件本身)。您还必须采取措施防止未经授权的访问。这意味着您的用户需要对自己进行身份验证,并且您必须授予他们访问权限或阻止他们根据自己的身份或所处的角色(RBAC)进行访问。
Google对此答案中的任何条款都会为您提供更多信息。