Hemos alojado nuestra plataforma en Google Cloud. Es una startup y su configuración bastante sencilla con
1X Nginx | actuando como servidor web | Subred pública 1 x servidor de base de datos | subred interna
ingrese la descripción de la imagen aquí
Estoy 100% seguro de que esta no es una práctica recomendada porque en las instalaciones tradicionales, nunca pusimos nuestro servidor web de cara al público y siempre estuvo detrás de nuestros firewalls. Pero estoy desconcertado sobre cuáles son mis opciones para proteger mi servidor web.
¿Alguien puede guiarme para lograr lo siguiente?
Usuarios de Internet <------> Firewall (alojado en GCP) <-------> Servidor web Nginx <------> Base de datos.
Como se trata de una startup sin financiación, ayúdenme con algunas opciones de código abierto y de bajo costo.
Saludos AJ
Respuesta1
De forma predeterminada, su VPC (red) ya está protegida por Google Cloud Firewall a menos que abra más puertos de los que realmente necesita.
Para empezar, hay dosreglas predeterminadas e implícitas, permitir la salida y denegar la entrada que solo se pueden anular pero no eliminar.
La segunda característica importante es que las reglas soncon estado, donde se permite la respuesta a una conexión autorizada a través del firewall.
Otro factor importante es que las reglas permiten o niegan. La regla no puede simplemente registrarse como una acción. Aquí podrás encontrar todos losespecificaciones.
Hay un tutorial para reglas de firewall que incluye algunos ejemplos de configuración en estepágina
Pensando en su caso, puedo sugerir algo como esto:
1) El servidor web y la base de datos están en la misma VPC (red interna)
2) Utilice una regla de firewall adjunta a una etiqueta, como por ejemplo: servidor http o servidor https y permita uno o ambos puertos 80 y 443.
3) Configure su base de datos y elimine la IP externa asociada a ella para aumentar la protección.
4) Adjunte una etiqueta a ambas máquinas virtuales que solo el servidor web pueda comunicar con la base de datos y viceversa.
5) Pensando en el futuro (y esperando que su proyecto vuele) con un poco más de inversión puede sumar el beneficio de unaBalanceador de carga HTTP(S)eso proporcionará aún más protección (mitigación de DDOS como ejemplo) y equilibrará la carga en múltiples servidores web (proporcionando redundancia y escalamiento horizontal).