Мы разместили нашу платформу на Google Cloud. Это стартап и его довольно простая настройка с
1 X Nginx | действует как веб-сервер | Публичная подсеть 1 x Сервер базы данных | внутренняя подсеть
введите описание изображения здесь
Я на 100% уверен, что это не рекомендуемая практика, потому что в традиционном on-premise мы никогда не размещаем наш веб-сервер публично, и он всегда находится за нашими брандмауэрами. Но я озадачен тем, какие у меня есть варианты защитить мой веб-сервер
может ли кто-нибудь подсказать мне, как достичь нижеследующего
Интернет-пользователи <------> Брандмауэр (размещенный на GCP) <-------> Веб-сервер Nginx <------> База данных.
Поскольку это стартап без финансирования, пожалуйста, помогите мне с недорогими вариантами/вариантами с открытым исходным кодом.
Привет, ЭйДжей!
решение1
По умолчанию ваш VPC (сеть) уже защищен брандмауэром Google Cloud Firewall, если только вы не откроете больше портов, чем вам действительно нужно.
Для начала, есть дваправила по умолчанию и подразумеваемые правила, разрешение на выход и запрет на вход, которые можно только переопределить, но не удалить.
Вторая важная характеристика заключается в том, что правилас сохранением состояния, где ответ на авторизованное соединение разрешен через брандмауэр.
Другим важным фактором является то, что правила либо разрешают, либо запрещают. Правило не может просто войти в систему как действие. Здесь вы можете найти всеХарактеристики.
В этом руководстве есть руководство по правилам брандмауэра, включающее несколько примеров конфигурации.страница
Размышляя о вашем случае, я могу предложить что-то вроде этого:
1) Веб-сервер и БД находятся в одной и той же VPC (внутренней сети)
2) Используйте правило брандмауэра, прикрепленное к тегу, например: http-server или https-server, и разрешите один или оба порта 80 и 443.
3) Настройте базу данных и удалите связанный с ней внешний IP-адрес, чтобы повысить уровень защиты.
4) Прикрепите к обеим виртуальным машинам тег, с помощью которого только веб-сервер сможет обмениваться данными с базой данных и наоборот.
5) Думая наперед (и надеясь, что ваш проект будет успешным), с небольшими дополнительными инвестициями вы можете получить выгоду отБалансировщик нагрузки HTTP(S)это обеспечит еще большую защиту (например, снижение DDOS-атак) и распределит нагрузку между несколькими веб-серверами (обеспечивая избыточность и горизонтальное масштабирование).