Рейтинг:1

Нужно ли веб-приложениям/API использовать HTTPS, если прокси-сервер уже использует его в архитектуре микросервисов?

флаг it

Если мой прокси-сервер уже использует HTTPS/SSL, есть ли смысл для других моих приложений также реализовывать его?

Я пробую архитектуру микросервисов через Docker/Kubernetes и использую Nginx в качестве обратного прокси-сервера для нескольких приложений/сервисов.Только прокси-сервер имеет открытые порты.

И если реализовать его все еще сложно, как создать такие сертификаты для контейнерной среды?

anx avatar
флаг fr
anx
Ваш вопрос эквивалентен * «Должен ли я шифровать соединения, которые никогда не покидают машину, на которой работает прокси-сервер?» *
Lex Li avatar
флаг vn
Если вы пройдете предыдущие обсуждения в различных контекстах, ответ должен быть очевиден, https://security.stackexchange.com/search?q=https+internal# Если вы можете получить сертификат для прокси-сервера, интересно, почему вы не можете сделать то же самое для других приложений.
djdomi avatar
флаг za
ИМХО зависит от безопасности. если пользователь выполняет аутентификацию, она должна быть зашифрована e2e любыми способами. Но это должно быть больше вопросом безопасности. как сказал. Если вы можете гарантировать, что I. e. поскольку вы работаете в регионе ЕС, никто не может прервать трафик в атаке MITM, что, по моему мнению, у вас никогда не получится, вы можете это сделать.Если это просто информационный сайт, на который, насколько мне известно, никто не может войти, то нет смысла использовать e2e-шифрование. Напоминаем, что GDPR также может повлиять на общественные услуги, если вы оказываете услугу в любом из затронутых мест или выглядите слишком
флаг it
@anx да, я планирую разместить все в контейнерах. И я не очень хорошо разбираюсь в стандартах с точки зрения безопасности, поэтому я понятия не имею, как злоумышленники делают свои вещи.
флаг it
@LexLi Извините, я разработчик программного обеспечения, но не изучал безопасность так глубоко, поэтому я не знаю, по каким критериям искать это. Я пытался искать, но похоже, что я использую разные термины. Что касается сертификатов, в настоящее время я использую самоподписанные, и, судя по тому, что я нашел, похоже, что сертификаты, которые вы покупаете, основаны на доменных именах. Я думаю, мне нужно провести более глубокое исследование того, как работают эти SSL, сертификаты и защищенное соединение.
флаг it
@djdomi да, это то, о чем я думаю на практике. Кроме того, сертификаты SSL довольно дороги для моего небольшого сольного проекта, и кто знает, когда он привлечет внимание людей.
djdomi avatar
флаг za
дорогой? Например, давайте зашифруем бесплатно даже для доменов с подстановочными знаками. Так что никаких оправданий?! Следующая попытка ;)
Lex Li avatar
флаг vn
Поскольку вы всего лишь разработчик, я предлагаю вам сообщить об этом вашим сетевым администраторам, которые должны обладать обширными знаниями по таким темам. Компания или институт, скорее всего, будут иметь свой собственный центр сертификации, чтобы можно было легко генерировать любые сертификаты и управлять ими.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.