Protezione della comunicazione tramite LAN nel provider VPS [duplicato]

0

Sono curioso delle best practice quando ci si connette da un'app a un DB in un provider cloud. Un rapido riassunto del nostro setup.

Abbiamo 4 server tutti sullo stesso provider, nella stessa regione in esecuzione come VPS. Ngnix è il proxy inverso, bilanciamento del carico su 2 server Node.JS. I server Node.js si connettono a un server MongoDB.

Quindi la mia domanda riguarda la sicurezza quando si tratta di Node.js > Connessione Mongo. Abbiamo i server Mongo e Node limitati a connettersi l'un l'altro tramite LAN tramite le tabelle IP. Le istanze DB e Node non sono accessibili al di fuori della LAN. Abbiamo anche abilitato l'autenticazione SCRAM-SHA-1 su MongoDB.

Dobbiamo abilitare TLS / SSL? Quali sono i rischi per la sicurezza di un cattivo attore all'interno del provider cloud che cerca di intercettare le nostre comunicazioni HTTP altrimenti non crittografate tra node.js e mongo server.

Stiamo pensando di aggiungere un certificato autofirmato tra il nodo e le macchine mongo. Ciò naturalmente aggiungerà un po 'di spese generali alla comunicazione.

Interessato ad ascoltare pensieri sulle migliori pratiche. Stai crittografando le comunicazioni all'interno della LAN sul tuo provider cloud o è eccessivo?

Correggimi se ho torto, ma qualcuno dovrebbe essenzialmente spiare il traffico a livello di router / interruttore interno per intercettare.

    
posta Cyph 03.09.2015 - 20:19
fonte

1 risposta

0

Utilizzare un livello di crittografia tra i nodi dell'infrastruttura è sempre una buona pratica e non è eccessivo.

Esiste sempre un rischio di perdita di dati a causa di fattori umani o di altro tipo. Ad esempio, immagina se uno dei router della tua azienda di hosting viene compromesso o, peggio ancora, c'è un dipendente ingrato che decide di ottenere informazioni sensibili sui suoi clienti. Entrambe le situazioni consentiranno agli aggressori di visualizzare tutto il traffico netflow e rubare dati non criptati, inclusi i tuoi, che consentono di accedere alla tua ulteriore infrastruttura.

Organizzare una VLAN utilizzando un tunnel crittografato è una pratica tradizionale nell'ambito della sicurezza delle informazioni. Ci sono molti software che permettono di farlo, come OpenVPN. Non ci vuole molto tempo per impostare un tunnel TLS e per quanto riguarda i tuoi dati sensibili vale sicuramente quel tempo.

    
risposta data 03.09.2015 - 22:01
fonte

Leggi altre domande sui tag