Как защитить связь веб-сервера с сервером приложений и сервером базы данных?
У меня есть приложение с изображениями докеров всех. Я установил Изолированные серверы для моего приложения.
Веб-сервер => Сервер приложений => Сервер базы данных
Веб-сервер настроен с Nginx с конфигурацией SSL на месте. Сервер приложений и базы данных не имеет прямого доступа к внешнему миру, веб-сервер будет обращаться к серверу приложений, а сервер приложений - к серверу базы данных.
Все коммуникации, кроме веб-сервера, осуществляются по протоколу HTTP, но эти серверы (сервер приложений и сервер базы данных) не могут иметь прямой доступ.
Как сделать веб-сервер => сервер приложений => сервер базы данных безопасным обменом?
ПРИМЕЧАНИЕ: На сервере приложений и сервере базы данных контейнеры Docker работают для моего Приложение.
Краткий ответ
Когда дело доходит до безопасности, не существует серебряной пули, будь то подход или продукт.
Длинный ответ
Как уже упоминалось другие считают, что к этому вопросу можно подойти с разных сторон. Правильный подход будет рассматривать стек от начала до конца и соответственно уменьшать векторы атаки. Некоторые примеры включают, но не ограничиваются:
- Сеть - Обеспечение правильной сегментации сети и списков контроля доступа (ACL) между уровнями, а также надлежащая реализация межсетевого экрана по периметру, чтобы гарантировать, что упомянутые уровни сервера приложений и базы данных остаются недоступен извне.
- Серверы - Правильная установка исправлений и соответствие требованиям, например, Техническое руководство по внедрению безопасности (STIG) и реализация инфраструктуры открытого ключа (PKI / SSL), где это возможно.
- Приложения - Реализация независимо от того, какое сообщество вендоров и / или поставщиков одобрило усиление защиты конфигурации и передовые методы.
- Процессы - Правильное использование контроля доступа на основе ролей (RBAC) с разделением проблем и принципом наименьших привилегий, должным образом реализованным.