TEORIA · INFRAESTRUCTURA

Mòdul 6: Hardening d'Infraestructura Web

Mesures de protecció a nivell de servidor d'aplicacions i xarxa per garantir un entorn de producció robust i segur.

6.1

Elecció de Frameworks i Servidors

🗓️

Versions LTS

En producció sempre s'han de triar versions LTS (Long Term Support) per garantir parxes de seguretat durant 3-5 anys.

🚀

Servidors d'Aplicacions

No s'usa el servidor de desenvolupament. S'utilitzen uWSGI, Gunicorn o PHP-FPM amb especificacions WSGI/ASGI.

⚠️
Regla d'or: Mai utilitzis servidors com Django runserver o PHP -S en entorns de producció; no estan dissenyats per ser segurs ni escalables.
Cicle de vida de versions LTS
Diagrama: Cicle de vida LTS images/teoriaM03/lts-lifecycle.png
Llegir més: Long-term support — wikipedia.org
6.2

Proxy Invers i WAF

🛡️

Proxy Invers (Nginx/Apache)

Amaga la IP real del backend i centralitza SSL. Directiva clau: proxy_pass.

+
🧱

WAF (Web Application Firewall)

Filtra peticions HTTP sospitoses (SQLi, XSS) usant eines com ModSecurity.

💡
Eina de referència: ModSecurity amb el Core Rule Set (CRS) d'OWASP (signatures de patrons d'atac). Registra els atacs a modsec_audit.log.
Esquema Proxy Invers i WAF
Esquema: Proxy Invers + WAF images/teoriaM03/Arquitectura-con-WAF-Nginx-Controller.webp
Llegir més: NGINX Reverse Proxy — nginx.com
6.3

Rate Limiting i Docker

Rate Limiting (Nginx): Protecció contra abusos i DoS. Es configura amb limit_req_zone per definir el límit de peticions per IP.
📦
L'ús de contenidors permet aïllar l'aplicació del sistema operatiu host, reduint la superfície d'atac.

Bones pràctiques de seguretat en Docker:

🚫

No executar com a root

Configurar l'usuari USER dins del Dockerfile per evitar privilegis excessius en cas de bretxa.

Imatges oficials

Utilitzar imatges base verificades i mantenir-les actualitzades per evitar vulnerabilitats conegudes.

🔑

Docker Secrets

Gestionar claus i dades sensibles mitjançant Secrets en lloc de variables d'entorn en text pla.

Seguretat en contenidors Docker
Diagrama: Docker Security layers images/teoriaM03/docker-security.png
Llegir més: Docker Engine Security — docker.com

🗂️ Resum: Hardening d'Infraestructura

LTS Versions de suport a llarg termini (3-5 anys) per a producció.
WSGI/ASGI Servidors d'aplicacions robustos (Gunicorn, uWSGI) en lloc dels de dev.
Proxy Invers Nginx/Apache per ocultar el backend i gestionar SSL de forma centralitzada.
WAF ModSecurity + OWASP CRS per filtrar atacs HTTP comuns (SQLi, XSS).
Docker Aïllament, usuaris non-root i gestió segura de secrets.