Mejores prácticas para proteger un servidor web y un trabajador externo

2

Supongamos que estoy hospedando un servidor web y una caja separada fuera del sitio que procesa los datos. El servidor web interactúa con el trabajador utilizando la API del trabajador sobre el puerto 2888. ¿Cómo sería el diseño de una infraestructura segura?

Estaba pensando en tener solo 2 firewalls: uno frente al servidor web con el puerto 80 abierto al público y el puerto 28888 (para el trabajador) abierto solo a la IP del trabajador y un firewall frente al trabajador con solo 28888 abierto a la IP del servidor web. ¿Se aseguraría esto o necesitaría una VPN?

Gracias

    
pregunta Kar 18.11.2014 - 09:51
fuente

1 respuesta

3

Si una VPN es necesaria en este escenario dependerá en gran medida de la naturaleza del tráfico entre el trabajador y el servidor web y si está preocupado por los ataques Man-In-The-Middle (MITM).

Una VPN podría agregar dos beneficios potenciales a su seguridad aquí. En primer lugar, debe cifrar los datos entre los puntos finales. Obviamente, esto es un beneficio de seguridad si el tráfico entre los dos puntos finales no está cifrado de forma predeterminada (por ejemplo, a través de HTTP). Sin embargo, si los datos ya están encriptados, puede haber un beneficio limitado aquí.

El otro beneficio podría ser la autenticación de los puntos finales. En este momento, está restringiendo la dirección IP de origen mediante un cortafuegos, pero siempre existen riesgos potenciales (en una red no confiable como Internet) de que alguien pueda colocarse "entre" los puntos finales como un Hombre en el Medio. Una VPN configurada correctamente debería incluir la autenticación de los puntos finales, lo que debería impedir este tipo de ataque. Sin embargo, podría ser que el tráfico de la aplicación ya maneje esto (por ejemplo, HTTPS con certificados de confianza), por lo que la VPN podría no agregar mucho.

Por lo tanto, existen beneficios potenciales, dependiendo de la naturaleza del tráfico de la aplicación.

    
respondido por el Rоry McCune 18.11.2014 - 12:16
fuente

Lea otras preguntas en las etiquetas