Heroku + SSL Endpoint + goDaddy 的 SSL 证书。是否安全

Question

这是一个非常笼统的问题，不确定是否重复，因为我还没有真正找到答案。

我的公司非常关注数据的安全性，也就是说，我们非常注重托管我们的应用程序和数据库。我们正在处理非常敏感的信息，例如医疗数据。我们以前使用 AWS，这意味着使用根本没有 SSL 的原始实例。我们将 Web 应用程序迁移到 Heroku，因为它是由 cloudforce 购买的，我们真的不需要关心安全性，对所有这些东西进行渗透测试。

然后，我们将 heroku 的 SSL 端点与 goDaddy SSL 证书一起使用，我们认为这可能会进一步增强网站的安全性。

我可以说我是网络安全方面的超级菜鸟，但这些措施是否足够？

Answer 1

如果您正在处理医疗数据，仅靠您描述的措施是不够的。 SSL 证书将确保您的数据在通过网络传输时受到保护（加密）。证书还将向您的用户识别服务器（减轻中间人攻击）。

但是在处理敏感数据时，您还必须确保您的数据受到静态保护（在数据库中加密或对数据库文件本身进行加密）。您还必须采取措施防止未经授权的访问。这意味着您的用户需要对自己进行身份验证，并且您必须根据他们的身份或角色授予他们访问权限或阻止他们获得访问权限 (RBAC)。

Google 对于此答案中的任何术语都会为您提供更多信息。

Answer 2

这确实是一个笼统的问题，所以只能提供笼统的答案。此外，这完全取决于您如何定义“足够”。

当然，使用 SSL 会给你带来好处，你有它总比没有它好。

但请确保您了解 SSL 的作用和不作用。有限的列表：

• SSL 确实加密客户端和服务器之间的通信。
• SSL确实符合服务器的身份（如果他设法保证他的私钥安全的话）。
• SSL 不会阻止对您的端点的任何访问
• SSL 不以任何方式符合用户的身份。