Должен ли общедоступный веб-сайт находиться внутри VPN со связанным с ним частным веб-сайтом?
В ближайшем будущем у меня будет блог WordPress, общедоступный и видимый для всех, у кого есть личный кабинет. Эта область членов имеет доступ к некоторым частным данным в специальной базе данных с финансовыми данными, поэтому такую информацию следует просматривать только пользователям сайта.
Частный сайт будет работать внутри VPN в деловой локальной сети и небольшом сервере, и мне интересно, было бы хорошей идеей разместить эту частную часть вместе с общедоступным сайтом.
На самом деле, из-за уязвимостей WordPress (сейчас это желаемая цель), я думаю, что если злоумышленник получит доступ к сайту WP, который находится внутри VPN, он сможет атаковать "изнутри", и в конце концов он сможет даже доступ к частному сайту и его данным.
Разве не было бы более подходящим иметь публичный сайт снаружи, например, на VPS? Доступ в личный кабинет будет осуществляться через безопасный протокол (HTPPS), и мне интересно, есть ли какие-нибудь рекомендации на эту тему.
2 ответа
Да, типичная конфигурация будет иметь ваш общедоступный веб-сайт на отдельном сервере, который находится в общедоступном Интернете. Если ему нужны какие-либо данные из вашей частной базы данных, вы должны настроить NAT, который будет отображать один порт, только для IP-адреса, на котором работает ваш веб-сайт.
Вы также можете сделать еще один шаг, и ваше общедоступное интернет-устройство просто обратится через прокси к веб-серверу, который находится в частной или полуприватной сети.
Первый вопрос заключается в том, должны ли публичные и частные сайты работать вместе. В идеале они должны выполняться отдельно, с общедоступным сайтом на внешнем сервере и частным сайтом на сервере в локальной сети.
Если они должны быть запущены на одном сервере, то риск того, что частные данные будут скомпрометированы, одинаков независимо от того, размещены они снаружи или внутри. Вопрос в том, можно ли использовать скомпрометированный сервер для доступа к данным и системам, не связанным с сайтом. Для защиты от этого вы хотите разместить сервер в демилитаризованной зоне, если вы размещаете его внутри.