保护web服务器和外部工作人员的最佳实践

Question

假设我托管了一个web服务器和一个单独的处理数据的机器。web服务器通过端口2888使用工人的API与工作人员进行交互。安全基础设施的设计是什么样子的？

我想只有两个防火墙:一个在web服务器前面，端口80对公众开放，端口28888 (对于工人)只对工人的IP开放，一个防火墙在工作人员面前，只有28888打开web服务器的IP。这是安全的还是我需要一个VPN？

谢谢

Answer 1

在这种情况下，VPN是否必要在很大程度上取决于工作人员与web服务器之间流量的性质，以及您是否担心中间人(MITM)攻击。

VPN可以在这里为您的安全性增加两个潜在的好处。首先，对端点之间的数据进行加密。如果两个端点之间的通信在默认情况下未加密(例如，通过HTTP)，这显然是一种安全好处。但是，如果数据已经加密，那么这里的好处可能是有限的。

另一个好处是端点的身份验证。目前，您正在使用防火墙限制源IP地址，但总有一些潜在的风险(通过不受信任的网络(如Internet) )，即有人可以将自己“放置在”端点之间作为中间人。预先配置的VPN应该包括端点的身份验证，以防止这种攻击。但是，可能是应用程序通信已经处理了这个问题(例如，具有受信任证书的HTTPS )，因此VPN可能不会增加太多。

因此，根据应用程序流量的性质，也有潜在的好处。