L'SSL bidirezionale è sufficiente per più server Web che comunicano tra loro?

3

Ho un numero fisso di server web. Ogni server Web rappresenta un'azienda e gli utenti dell'azienda parlano al server Web assegnato. Ho questa configurazione per decentrare i database. Quindi, se un server Web viene violato, l'hacker acquisisce solo una piccola quantità dei dati totali. I miei clienti non sono disposti a caricare le loro informazioni in un database su un singolo server web. I server web eseguono il webfram di django per python. Sto pensando a SSL unidirezionale come protocollo di comunicazione standard tra gli utenti e i server web. Questa sembra essere la scelta più logica in quanto fornisce un buon modo per identificare i server Web delle aziende per gli utenti.

Devo anche avere una comunicazione tra i server web per lo scambio di dati. Qui sto pensando al protocollo SSL bidirezionale. Voglio usare il modulo python 3 ssl da un server web per comunicare con django su un altro server web. Il modulo ssl fornirà un certificato client. Quindi django agirà da server sull'altro server Web e riceverà il certificato client. Voglio usare il seguente modulo per django per utilizzare il certificato client per l'autenticazione:   link .

In questo modo ho un'implementazione SSL bidirezionale che autentica i server Web tra loro.

Non penso che la VPN sia una buona soluzione perché i server web non si fidano l'uno dell'altro. Ecco perché non voglio andare su OpenVPN o IPSec.

L'SSL bidirezionale è un buon modo o dovrei usare qualcosa di diverso come IPSec?

    
posta user1872507 23.05.2015 - 19:59
fonte

1 risposta

1

Sembra un buon piano. Alcuni aspetti da considerare sono:

  1. Le chiavi private devono essere private. Ciò significa probabilmente un negozio sicuro con qualche tipo di password / chiave per sbloccare il negozio. Spesso il supporto del sistema operativo o del framework è più semplice. Gli HSM saranno un'alternativa più sicura, ma suppongo che sarebbero eccessivi nella tua situazione.
  2. È necessario fornire l'autorizzazione quando un server sta parlando con un altro. Avere spesso un account utente speciale per i server remoti ha senso (e assomiglia a ciò che la libreria supporta).
  3. L'aggiunta di firewall o altre regole di autenticazione per limitare gli IP per le comunicazioni tra server può aggiungere sicurezza.

Sembra che tu sia sulla strada giusta.

    
risposta data 23.05.2015 - 22:58
fonte

Leggi altre domande sui tag