¿Cómo alojar los paneles de control de administración y monitoreo de aplicaciones?

Navega tus respuestas
3

Estoy en medio de completar una aplicación web para producción. Este es mi primero. Estoy en el punto en el que tengo que armar un panel de administradores para una supervisión y administración integrales del mismo. Ahora, soy consciente de que hay herramientas de terceros que pueden hacer muchas cosas más fáciles, pero algunas funcionalidades de gestión e información son específicas de la aplicación, y mi panel de control de administración pretende cubrirlas.

Ya que solo tengo ideas vagas sobre cómo desarrollar y dónde ocultar un tablero de este tipo, me pregunto cómo los sitios grandes (Twitter, Instagram) lo hacen. Tengo el presentimiento de que ocultan sus paneles de administración del público dentro de una red privada virtual o una nube privada virtual con direcciones IP privadas.

  • ¿Es correcto este supuesto?

  • Si es así, ¿cómo se maneja el código fuente del sitio de administración en relación con el código fuente de la aplicación web? Es el código fuente de los dos sitios que se manejan por separado o en conjunto, y recibe un tratamiento especial ?

Otro enfoque con el que estoy familiarizado es alojar el panel de administración y la aplicación web juntos en el mismo dominio. Algo así como admin.mydomain.com o mydomain.com/admin Sin embargo, esto no es deseable para mí, ya que requerirá robots.txt entradas que indiquen exactamente dónde se puede encontrar el sitio de administración. Me gustaría que la ubicación del sitio de administración no fuera conocida en absoluto.

Entonces, ¿qué otras opciones están disponibles que desconozco?

ACTUALIZACIÓN: el hecho de que quiera ocultar el sitio de administración no significa que pretenda ser relajado con la autenticación. Se requerirán contraseñas seguras y MFA en el sitio de administración, ya sea que esté oculto o no.

    
pregunta Duos 08.03.2016 - 19:48
fuente

2 respuestas

1

Felicitaciones por terminar una aplicación.

Sugerencias:

Ocultar frente a la protección
No confíes en esconder el tablero. En su lugar, confíe en controlar el acceso con roles y una lista blanca de direcciones IP.

Control de acceso basado en roles
Lo que sucede a menudo es que una página administrativa está bloqueada por el control de acceso, pero la URL a la que se envía la página no está bloqueada, por lo que aquellos que no son administradores pueden realizar comandos administrativos si conocen la URL de back-end. Un marco de control de acceso centralizado y basado en roles en su aplicación es el mejor para esto y la mayoría de los marcos de aplicaciones web tienen uno. Es más fácil configurar todo esto si las páginas de administración están en un dominio diferente o en un directorio como mydomain.com/admin.

Separación de inquietudes:
Cualquier cosa que no sea el propósito principal de su nueva aplicación será manejada mejor por una herramienta hecha para ese propósito. Por ejemplo, "monitorear" suena como algo para lo que es mejor un software de administración de registro centralizado. Tal vez su organización ya tenga uno de estos.

Restringir a la red interna
Sí, tu suposición es correcta. Puede apostar a que los sitios web grandes no permiten que sus paneles de administración sean accesibles a aquellos que no están en una red interna. Usted mencionó VPN. Si es posible, haga que los paneles de administración solo estén disponibles en la red interna.

    
respondido por el mcgyver5 08.03.2016 - 20:34
fuente
0

La forma más sencilla de resolver esto es alojar el portal de administración en el mismo dominio, luego restringir las páginas basadas en direcciones IP, como el bloqueo que se asigna a su empresa, o una conexión VPN común. Apache y NGINX vienen con esta funcionalidad por defecto. Luego, si necesita permitir que los contratistas o trabajadores remotos, también incluya esas direcciones IP en la lista blanca y mantenga la seguridad de su portal.

    
respondido por el Ohnana 08.03.2016 - 20:07
fuente

Lea otras preguntas en las etiquetas

Todos los puertos están sin filtrar ¿Mejor alternativa a la lista blanca de rutas WAF?