Tenemos dos hosts, teóricamente en el mismo centro de datos. Las dos máquinas están alojadas en Online.net. Estamos teniendo un pequeño debate: si el tráfico entre los dos hosts está cifrado.
El tráfico que necesitamos para intercambiar son consultas de Redis. Los datos que se intercambiarán son los ID de usuario de Twitter y Facebook, un código para indicar el trabajo que se debe realizar y un ID de mercado, que en sí mismo es un UUID. Una consulta y respuesta típica sería:
> hgetall Twitter:12345
1) 1) "c4a9c7f0-78d1-0132-b14c-70921c10876c"
2) "F"
Las dos implementaciones en las que estamos pensando:
-
Use un túnel SSH con reenvío de puertos para ocultar el servidor Redis de la Internet pública. En la máquina que aloja el servidor de Redis, cree un usuario independiente con una sola tecla de auror, con los valores adecuados para no permitir la ejecución de programas arbitrarios;
-
Simplemente use el firewall para limitar el tráfico a Redis a la única dirección IP que necesitamos, nada más.
No estamos seguros de cuál sería "más seguro" (o más apropiadamente, menos riesgoso). Agregar usuarios y configurar SSH introduce complejidad, mientras que agregar una regla de firewall es mucho más simple. Por otro lado, si un atacante lee paquetes en vuelo, ¿qué datos útiles pueden recopilar?
De lo que quiero protegerme es después de haber obtenido acceso a la máquina cliente, un atacante podría posicionarse en la máquina del servidor Redis, que alberga muchos más servicios.