Wir haben unsere Plattform auf Google Cloud gehostet. Es ist ein Startup und ein ziemlich schlankes Setup mit
1 x Nginx | fungiert als Webserver | Öffentliches Subnetz 1 x Datenbankserver | internes Subnetz
Bildbeschreibung hier eingeben
Ich bin mir zu 100 % sicher, dass dies keine empfohlene Vorgehensweise ist, da wir bei herkömmlichen On-Premise-Systemen unseren Webserver nie öffentlich zugänglich machen und er sich immer hinter unseren Firewalls befindet. Aber ich bin verwirrt, welche Möglichkeiten ich habe, meinen Webserver zu schützen.
kann mir bitte jemand dabei helfen, das Folgende zu erreichen
Internetbenutzer <------> Firewall (auf GCP gehostet) <----------> Nginx-Webserver <------> DB.
Da dies ein Startup ohne Finanzierung ist, helfen Sie mir bitte mit einigen kostengünstigen/Open-Source-Optionen.
Grüße, AJ
Antwort1
Standardmäßig ist Ihr VPC (Netzwerk) bereits durch die Google Cloud Firewall geschützt, sofern Sie nicht mehr Ports öffnen, als Sie wirklich benötigen.
Zu Beginn gibt es zweiStandard- und implizite Regeln, das Erlauben von ausgehendem und Verweigern von eingehendem Zugriff, das nur überschrieben, aber nicht entfernt werden kann.
Das zweite wichtige Merkmal besteht darin, dass die RegelnStaatsbürgerlich, wo die Antwort auf eine autorisierte Verbindung durch die Firewall zugelassen wird.
Ein weiterer wichtiger Faktor ist, dass die Regeln entweder zulassen oder verweigern. Die Regel kann nicht einfach als Aktion protokolliert werden. Hier finden Sie alleSpezifikationen.
Ein Tutorial zu Firewall-Regeln mit einigen Konfigurationsbeispielen finden Sie hierSeite
Wenn ich über Ihren Fall nachdenke, kann ich in dieser Art etwas vorschlagen:
1) Webserver und DB befinden sich im selben VPC (internes Netzwerk)
2) Verwenden Sie eine Firewall-Regel, die an ein Tag angehängt ist, beispielsweise: http-Server oder https-Server, und lassen Sie einen oder beide Ports 80 und 443 zu.
3) Richten Sie Ihre Datenbank ein und entfernen Sie die damit verbundene externe IP, um den Schutz zu erhöhen.
4) Fügen Sie beiden VMs ein Tag hinzu, dass nur der Webserver mit der Datenbank kommunizieren kann und umgekehrt.
5) Wenn Sie vorausdenken (und hoffen, dass Ihr Projekt erfolgreich ist), können Sie mit einer kleinen Investition den Vorteil einesHTTP(S)-LastenausgleichDadurch wird noch mehr Schutz geboten (z. B. DDOS-Minderung) und die Last auf mehrere Webserver verteilt (und so Redundanz und horizontale Skalierung bereitgestellt).