我們在 Google Cloud 上託管了我們的平台。它是一家新創公司,其設置非常精簡
1 個 Nginx |充當網頁伺服器 |面向公眾的子網路 1 x 資料庫伺服器 |內部子網路
我 100% 確定這不是建議的做法,因為在傳統的本地部署中,我們從不將我們的 Web 伺服器面向公眾,並且它始終位於我們的防火牆後面。但我很困惑,我有什麼選擇來保護我的網頁伺服器
誰能指導我實現以下目標
網路使用者 <------> 防火牆(託管在 GCP 上) <--------> Nginx Web 伺服器 <--------> DB.
由於這是一家沒有資金的新創公司,請幫我提供一些低成本/開源選項。
乾杯AJ
答案1
預設情況下,您的 VPC(網路)已受到 Google Cloud Firewall 的保護,除非您開啟的連接埠多於實際需要的連接埠。
首先,有兩個預設和默示規則,只能覆蓋但不能刪除的允許出口和拒絕入口。
第二個重要特徵是規則有狀態的,其中允許透過防火牆對授權連線進行回應。
另一個重要因素是規則要麼允許,要麼拒絕。該規則不能簡單地記錄為操作。在這裡你可以找到所有規格。
有一個防火牆規則教程,其中包括一些設定範例頁
考慮到您的情況,我可以提出以下建議:
1)WebServer和DB在同一個VPC(內部網路)
2) 使用附加到標籤的防火牆規則,例如:http-server 或 https-server,並允許連接埠 80 和 443 中的一個或兩個。
3) 設定資料庫並刪除與其關聯的外部 IP 以增強保護。
4) 將標籤附加到兩個 VM,只有 Web 伺服器可以與資料庫通信,反之亦然。
5) 提前思考(並希望您的專案能夠成功),透過多一點投資,您可以增加HTTP(S) 負載平衡器這將提供更多保護(例如 DDOS 緩解)並平衡多個 Web 伺服器的負載(提供冗餘和水平擴展)。