Hospedamos nossa plataforma no Google Cloud. É uma startup e sua configuração bastante enxuta com
1 x Nginx | atuando como servidor web | Sub-rede voltada ao público 1 x Servidor de banco de dados | sub-rede interna
insira a descrição da imagem aqui
Tenho 100% de certeza de que esta não é uma prática recomendada porque no local tradicional, nunca colocamos nosso servidor web voltado para o público e ele sempre esteve atrás de nossos firewalls. Mas estou confuso sobre quais são minhas opções para proteger meu servidor web
alguém pode me orientar sobre como alcançar abaixo
Usuários da Internet <------> Firewall (hospedado no GCP) <-------> Servidor Web Nginx <------> Banco de dados.
Como se trata de uma startup sem financiamento, por favor me ajude com algumas opções de baixo custo/código aberto.
Felicidades, AJ
Responder1
Por padrão, sua VPC (rede) já está protegida pelo Google Cloud Firewall, a menos que você abra mais portas do que realmente precisa.
Para começar, há doisregras padrão e implícitas, permitem saída e negam entrada que só podem ser substituídas, mas não removidas.
A segunda característica importante é que as regras sãocom estado, onde a resposta a uma conexão autorizada é permitida através do firewall.
Outro fator importante é que as regras permitem ou negam. A regra não pode simplesmente registrar como uma ação. Aqui você encontra todos osespecificações.
Há um tutorial para regras de firewall incluindo alguns exemplos de configuração nestepágina
Pensando no seu caso, posso sugerir algo nesse sentido:
1) WebServer e DB estão na mesma VPC (Rede Interna)
2) Use uma regra de firewall anexada a uma tag, como exemplo: http-server ou https-server e permita uma ou ambas as portas 80 e 443.
3) Configure seu banco de dados e remova o IP Externo associado a ele para aumentar a proteção.
4) Anexar uma tag em ambas as VMs que somente o WebServer pode comunicar com o Banco de Dados e vice-versa.
5) Pensando no futuro (e esperando que seu projeto dê certo) com um pouco mais de investimento você pode agregar o benefício de umBalanceador de carga HTTP(S)isso fornecerá ainda mais proteção (mitigação de DDOS, por exemplo) e equilibrará a carga para vários servidores Web (fornecendo redundância e escalonamento horizontal).