Dev&Ops - EP38 - Cómo asegurar una aplicación web: Tips esenciales desde el lado de SRE / SysAdmin

En este episodio profundizamos en cómo asegurar una aplicación o sitio web desde el lado de sistemas, con tips prácticos que cualquier SRE, SysAdmin o ingeniero de infraestructura debe implementar sí o sí.Douglas explica:🔐 Protección desde el Edge (WAF, DDoS, rate limits, challenge pages) – Por qué Cloudflare es hoy una de las mejores herramientas (incluso en su plan gratuito). – Cómo bloquear países, bots, endpoints críticos y ataques comunes como XSS, SQL injection o brute force.🌐 Encriptación y seguridad entre el proxy y el servidor – Cómo y por qué encriptar toda comunicación con Origin Certificates, TLS/SSL y buenas prácticas modernas. – Evitar el bypass directo al servidor bloqueando todo tráfico excepto el proveniente del CDN o WAF.🛡️ Uso correcto de NGINX / Traefik como reverse proxy – Por qué no deberías exponer directamente tu application server (Node, Go, Python, PHP). – Manejo de headers de seguridad, CORS, ocultamiento de información sensible y logging responsable.💾 Cifrado de datos en reposo y en tránsito (Encryption at Rest & Transit) – Cuándo aplicarlo, por qué algunos estándares lo exigen y qué impacto real tiene en rendimiento.Además, discutimos casos reales, errores comunes y cómo pensar como un atacante para reducir el riesgo.Un episodio sumamente útil para cualquier equipo que quiera mejorar su postura de seguridad sin gastar miles de dólares en infraestructura.📑 Capítulos:(00:00) Intro(01:26) Presentación del tema: Seguridad desde el lado SRE / SysAdmin(04:00) ¿Qué tan involucrado está un developer en la seguridad de una app?(09:57) La colaboración entre SRE, seguridad y desarrollo(11:33) El rol de infraestructura vs. el rol del equipo de seguridad(14:42) Experiencia real: Cumplimiento de PCI y estándares críticos(17:10) Cómo pensar el flujo de un request: de arriba hacia abajo(18:40) Tip #1: Protección desde el Edge (WAF, CDN, DDoS, Rate Limit) (22:30) Usando challenges, bloqueo por país y reglas anti-bots (24:17) Protección de páginas de login y paneles administrativos (27:30) Cloudflare Zero Trust y accesos controlados (29:39) ¿Por qué no aplicar rate limit en el código? (31:14) La realidad del tráfico malicioso en internet (34:22) Tip #2: Encriptar la conexión entre el proxy y tu servidor (36:39) Certificates, Origin Certs y buenas prácticas TLS (38:52) El gran error: permitir tráfico directo a tu servidor (41:49) Ejemplo real: El ataque constante a servidores expuestos (46:10) El impacto del SSL hoy en día y cómo ha cambiado la industria (47:15) Repaso: Edge + Origin Lockdown + Certificados (47:56) Tip #3: Usar NGINX o Traefik como reverse proxy obligatorio (50:43) Por qué no deberías exponer directamente tu application server (52:47) Reglas, CORS, headers, ocultamiento y logs (55:42) Qué no se debe loggear por seguridad y legalidad (56:25) Con estos primeros 3 tips bloqueás el 95% de ataques (58:29) Tip situacional: Encryption at Rest y seguridad interna (01:00:12) Cuándo encriptar discos, bases de datos y servicios internos (01:02:35) Impacto del cifrado en rendimiento: mito vs realidad (01:05:49) Resumen: El mínimo obligatorio para cualquier aplicación (01:06:10) Cierre del episodio + Reflexión final (01:08:40) Despedida

There are no comments yet.

Please log in to write the first comment.