Sto creando un'applicazione web per uso interno al lavoro. Struttura di database relazionale prevalentemente di base (clienti, ordini, film, ecc.). Sarà usato in più negozi in città.
Qual è la prassi migliore per esporre l'app per i dipendenti? Forse configurando un server VPN che permetterà di connettersi alla rete dove frontend e backend sono in esecuzione? Oppure esporre l'intero server a Internet pubblico?
La tua domanda (come affermato da Joshua) non è necessariamente un problema di sicurezza. Ma parte di esso potrebbe essere, quindi ecco alcune informazioni di base su cui potresti voler pensare:
Se crei un'applicazione web e la crei pensando alla sicurezza, i tuoi due rischi più probabili potrebbero essere: 1) Perdita di dati (ad esempio dal tuo database) e 2) compromissione del server e (in seguito) un attacco da quel puntare verso i tuoi clienti o terze parti. Se la tua applicazione web utilizza l'autenticazione corretta e tutti i noti meccanismi di sicurezza, potrebbe essere sufficiente e potresti semplicemente metterlo su internet (questo è quello che fanno un bel po 'di siti;). Potresti anche metterlo su una VPN interna e diminuire la superficie di attacco in quel modo. Un utente malintenzionato dovrebbe ottenere l'accesso alla VPN, prima di essere in grado di attaccare il server stesso. Ciò potrebbe aumentare la complessità degli attacchi ma anche aumentare la complessità della tua infrastruttura. Poiché entrambi possono essere ugualmente sicuri e non sicuri, questa non è una domanda di sicurezza.
Leggi altre domande sui tag vpn web-application exposure