Geliştiriciler için oluşturulan sunucusuz Postgres veritabanı Neon, Neon Authorize’ı başlattı. Geliştiricilerin izinleri ve erişim kontrollerini kolaylıkla yönetmesine olanak tanır.
Bu yeni teklif, üçüncü taraf araçlarıyla erişildiğinde bile verileri kötü niyetli aktörlerden koruyan bir Postgres ilkel öğesi olan Postgres RLS’den (Satır Düzeyinde Güvenlik) yararlanıyor ve uygulama geliştiriciler için yeni dağıtım modelleri aracılığıyla kullanımı çok daha basit hale getiriyor.
Neon Üründen Sorumlu Başkan Yardımcısı Bryan Clark, “Veritabanı katmanında yetkilendirme politikaları oluşturmak son derece mantıklı, ancak özellikle geniş ölçekte hantal bir görev olabilir” dedi. “Neon Authorize’ı kullanarak, yetkilendirme politikalarını yönetmek ve güvenliği artırmak için Postgres RLS’nin gücünden yararlanmak her zamankinden daha kolay.”
Açık Web Uygulama Güvenliği Projesi’nin (OWASP) en son araştırmasına göre, bozuk erişim kontrolü en ciddi web uygulaması güvenlik riski olmaya devam ediyor. Arızalar genellikle bilgilerin yetkisiz olarak ifşa edilmesine, değiştirilmesine, verilerin imha edilmesine veya kullanıcının sınırları dışında bir ticari işlevin gerçekleştirilmesine yol açar. Raporda “uygulamaların %94’ünün bir tür bozuk erişim kontrolü açısından test edildiği” belirtiliyor. Bu, geliştiricileri temel özellikler üzerinde çalışmak yerine tekrarlayan operasyonel görevler döngüsüne kilitlerken, şirketler yalnızca izinlerle ilgilenmek için daha fazla mühendislik kaynağına ihtiyaç duyuyor.
Postgres RLS, veritabanı yöneticilerinin, kullanıcının PostgreSQL veritabanında hangi veri satırlarına erişebileceğini ve bunları düzenleyebileceğini kontrol etmesine olanak tanıyan güçlü bir güvenlik özelliğidir. Diğer filtreleme veya sorgu kriterlerinden önce bir tabloya filtre uygulayarak çalışır; filtre, güvenlik politikasına göre verileri daraltır veya reddeder. RLS, veritabanı kullanıcısının bağlanmasına bağlı olarak erişimi sınırlamak için yaygın olarak kullanılır ve aynı zamanda çok kiracılı uygulamalarda veri güvenliğini sağlamak için de kullanılabilir.
Neon Authorize ile geliştiricilerin mevcut kimlik doğrulama sağlayıcılarını doğrudan Neon ile entegre etmelerine olanak tanıyarak Postgres RLS’yi benimsemek her zamankinden daha kolay. Bunu yaptıktan sonra veritabanına yapılan çağrıların kimlik doğrulaması, kimlik doğrulama sağlayıcısı tarafından oluşturulan bir JSON Web Token (JWT) ile doğrulanabilir. Artık geliştiriciler, bir sunucuya veya arka uca ihtiyaç duymadan tamamen istemci tarafında uygulamalar geliştirebilirler.
“Daha önce evde geliştirilen bir yaklaşımı Neon Authorize ile değiştirmek, uygulama kodunu basitleştirdi, asimetrik anahtar şifreleme kullanımı yoluyla daha iyi güvenlik sağladı ve daha önce RLS’yi doğrudan Postgres’te uygularken gerekli olan ek SQL komutlarının ve gereksiz işlemlerin kullanımını ortadan kaldırarak performansı artırdı. “dedi Lockdown Ventures’tan Andy Young. “Geçiş bir günden az sürdü ve Neon Authorize standart JWT’leri temel aldığından birden fazla kiracı, kullanıcı, grup ve çalışma alanı gibi kavramları kapsayan güçlü güvenlik kurallarını uygulamak için kolaylıkla genişletilebilir.”