Порт 443 с выходом в Интернет в Azure — проблемы безопасности
Я хочу развернуть микросервис на виртуальной машине Azure Ubuntu, используя один из следующих стеков: docker-compose/AKS, используя Traeffic в качестве обратного прокси-сервера.
Я ищу самое дешевое, но разумное с точки зрения безопасности решение.
Будет ли открытие порта 443 в брандмауэре моей виртуальной машины (остальное будет закрыто) и пересылка его на общедоступный IP-адрес в Azure создаст серьезный риск или нарушит правила безопасности (это будет тестовая среда, поэтому такие вещи, как DDOS, меня не беспокоят).
При использовании AKS это будет порт службы LoadBalancer 443, сопоставленный с общедоступным IP-адресом Azure, поэтому подход практически такой же, но без прямого контроля над брандмауэром виртуальной машины (Kubernetes управляет всем остальным).
Существует группа безопасности сети, которая разрешает входящий трафик из Интернета только через порт 443. Все микросервисы будут защищены с помощью надлежащей аутентификации, и только те службы, которые необходимы конечным пользователям, будут доступны через обратный прокси-сервер общедоступному Интернету. Я искал архитектуру такого типа в Интернете, но ничего не нашел.
1 ответ
На такие вопросы нет ответа «да» или «нет». Короче говоря, вам придется взвесить риски и выгоды.
WAF может затруднить некоторые атаки. Против других атак это не имеет никакого значения. У этого есть своя цена – как по сложности, так и по денежному эквиваленту.
В целом это справедливо для всего, что вы делаете: это имеет свои издержки и выгоды.
Еще несколько лет назад запуск чего-либо на машине, подключенной к Интернету, был распространенным способом выполнения развертываний малого и среднего размера; на самом деле все изменилось только с появлением облачных сред.