Я хочу развернуть микросервис на виртуальной машине Azure Ubuntu, используя один из следующих стеков: docker-compose/AKS с использованием Traeffic в качестве обратного прокси-сервера.
Я ищу самое дешевое, но разумное с точки зрения безопасности решение.
Будет ли открытие порта 443 в моем брандмауэре виртуальной машины (остальные будут закрыты) и перенаправление его на общедоступный IP-адрес в Azure создать серьезный риск или нарушить правила безопасности (это будет тестовая среда, поэтому такие вещи, как DDOS, меня не беспокоят).
При использовании AKS это будет порт службы LoadBalancer 443, сопоставленный с общедоступным IP-адресом Azure, поэтому почти такой же подход, но без прямого контроля брандмауэра виртуальной машины (Kubernetes управляет всем остальным).
Существует NSG, разрешающая входящий Интернет только для порта 443. Все микросервисы будут защищены с надлежащей проверкой подлинности, и только службы, необходимые конечным пользователям, будут доступны через обратный прокси-сервер общедоступному Интернету. Я искал архитектуру этого типа в Интернете, но ничего не нашел.
ретон012
1 ответ
На такие вопросы нет ответа «да» или «нет». Короче говоря, вы должны взвесить риски и выгоды.
WAF может затруднить некоторые атаки. Против других атак это не имеет никакого значения. Это имеет свою стоимость — как по сложности, так и по денежной оценке.
В целом это верно для всего, что вы делаете, — оно имеет свои издержки и выгоды.
Запуск программ на машине, подключенной к Интернету, еще несколько лет назад был общий способ выполнения малых и средних развертываний; это действительно изменилось только с облачными средами.
переживи это