Il traffico tra due host nello stesso data center deve essere crittografato?

Naviga le tue risposte
5

Abbiamo due host, in teoria nello stesso centro dati. Le due macchine sono ospitate su Online.net. Stiamo discutendo un po ': dovrebbe il traffico tra i due host essere crittografato.

Il traffico che dobbiamo scambiare sono le query di Redis. I dati che saranno scambiati sono gli ID utente di Twitter e Facebook, un codice per indicare un lavoro da fare e un ID di mercato, che è esso stesso un UUID. Una query e una risposta tipiche sarebbero: 

> hgetall Twitter:12345
1) 1) "c4a9c7f0-78d1-0132-b14c-70921c10876c"
   2) "F"

Le due implementazioni a cui stiamo pensando:

  1. Utilizzare un tunnel SSH con port forwarding per nascondere il server Redis dalla rete pubblica. Sulla macchina che ospita il server Redis, crea un utente separato con un singolo aurthorized_keys, con i titoli appropriati per non consentire l'esecuzione di programmi arbitrari;

  2. Basta usare il firewall per limitare il traffico a Redis al singolo indirizzo IP di cui abbiamo bisogno, nient'altro.

Non siamo sicuri di quale sarebbe "più sicuro" (o più appropriatamente, meno rischioso). Aggiungere utenti e configurare SSH introduce complessità, mentre aggiungere una regola firewall è molto più semplice. D'altra parte, se un utente malintenzionato legge i pacchetti in volo, quali dati utili possono raccogliere?

Ciò di cui voglio proteggermi è dopo aver ottenuto l'accesso al computer client, un utente malintenzionato potrebbe entrare nel sistema server Redis, che ospita molti altri servizi.

    
posta François Beausoleil 13.07.2015 - 16:48
fonte

3 risposte

1

Direi che un ACL esplicito nel Firewall che consente il traffico da e verso i dispositivi in questione dovrebbe andare bene in questa istanza.

Sembra che le informazioni scambiate siano solo ID utente? Se questo è il caso e l'informazione non è necessariamente sensibile, non vedo un problema solo assicurandomi che le regole siano in atto per consentire il traffico.

    
risposta data 13.07.2015 - 19:36
fonte
3

Se le macchine erano sulla tua rete (casa, centro dati della tua azienda, ecc.), una semplice restrizione basata su IP e / o mettere le macchine relative a Redis su una VLAN separata dovrebbe essere sufficiente.

Tuttavia, nel caso di un provider di hosting, ti consiglio di considerare le loro reti come ostili e equivalenti a Internet aperta, nel qual caso dovresti creare la tua rete interna usando IPSec tra le tue macchine e passare il traffico non criptato che vuoi sopra che.

Non proteggerà contro la società di hosting che si impadronirà di te, ma per lo meno qualsiasi hacker dovrà fare molto di più (analisi della memoria che richiede l'hypervisor o l'accesso fisico) per ottenere le chiavi IPSec e dare un senso al tuo dati che cattura pacchetti passivi che è veramente facile.

    
risposta data 13.07.2015 - 20:58
fonte
1

Facebook ha finito per lavorare sulla crittografia di tutti i dati all'interno dei propri data center di proprietà privata.

La crittografia del traffico fornisce un sovraccarico ... un po 'piccolo nelle prestazioni della CPU se fatto bene, ma un po' non banale nel tempo amministrativo per capire come configurarlo senza problemi. Consiglierei un'opzione che non hai elencato: SSL con pool di connessioni e Perfect Forward Secrecy. La maggior parte del sovraccarico in SSL è all'interno dell'handshake iniziale asimmetrico, quindi il pooling aiuta le prestazioni. PFS significa che se le chiavi dell'host vengono compromesse in un secondo momento, una trasmissione crittografata registrata non avrà alcun valore.

Ciò significa che l'intercettazione anche attraverso un tocco di rete sarebbe essenzialmente inutile per un utente malintenzionato se hai un buon controllo del certificato.

    
risposta data 13.07.2015 - 21:54
fonte

Leggi altre domande sui tag

Se riempio un ipotetico HDD da 1 GB con 1024 file da 1 MB singoli, tutti i settori verranno sovrascritti? Un file pericoloso (virus, trojan, malware, ecc.) può causare danni all'interno di uno zip o rar?