सवाल क्या सभी सर्वरों को HTTPS प्रोटोकॉल या केवल सार्वजनिक सामना करने वाले सर्वर का उपयोग करने की आवश्यकता है?


मेरे पास एचटीटीपीएस पर चलने वाला एक फ्रंट एंड वेब सर्वर है - यह सार्वजनिक चेहरा है - यानी बंदरगाह खुला है।

मेरे पास बैकएंड एपीआई सर्वर भी है जो मेरा वेबसर्वर एपीआई अनुरोध करता है - यह सार्वजनिक सामना कर रहा है और प्रमाणीकरण की आवश्यकता है - पोर्ट खुला है।

ये 2 सर्वर HTTPS पर चलते हैं।

एपीआई सर्वर के पीछे, कई अन्य सर्वर हैं। इन सर्वरों के लिए एपीआई सर्वर रिवर्स प्रॉक्सी। इन अन्य सर्वरों के लिए पोर्ट आने वाले यातायात के लिए खुले नहीं हैं। वे केवल एपीआई सर्वर के माध्यम से बात की जा सकती है।

मेरा प्रश्न ... क्या "अन्य कई सर्वर" को HTTPS पर चलाने की आवश्यकता है या, यह देखते हुए कि उन्हें बाहरी रूप से एक्सेस नहीं किया जा सकता है, क्या वे इसके बजाय HTTP पर सुरक्षित रूप से चल सकते हैं?

मैंने सोचा कि यह एक आम सवाल होगा लेकिन मुझे इसका जवाब नहीं मिला। धन्यवाद। यदि यह एक डुप्ली है तो कृपया मुझे सही उत्तर पर इंगित करें।


38
2017-08-29 17:12


मूल


एनएसए ने विदेशी लिंक में कैसे टैप किया है, इस बारे में प्रकाश में कि Google और याहू अपने डेटा केंद्रों के बीच संवाद करने के लिए उपयोग करते थे, मैं अनुशंसा करता हूं कि आप हमेशा मान लें कि एक कनेक्शन पर संदेह है। आप कभी नहीं जानते कि कोई कहां सुन सकता है, और माफ की तुलना में सुरक्षित होना बेहतर है। केवल एक बार जब मैं अकेले HTTP का उपयोग करने पर विचार करता हूं वह एक ही मशीन पर चलने वाली एक सेवा है जो इसका उपयोग करती है, केवल स्थानीय कनेक्शन के लिए खोलती है। - childofsoong
यदि आप आगे अनुसंधान करना चाहते हैं तो इसे एसएसएल ऑफलोडिंग और एसएसएल टर्मिनेशन के रूप में जाना जाता है। - Esben Skov Pedersen
यह पूछने की तरह है "क्या सभी दरवाजे ताले की जरूरत है, या सिर्फ बाहर के दरवाजे"? केवल आपके नेटवर्क के भीतर और उसके बिना खतरों पर विचार करते समय आप इस प्रश्न का उत्तर दे सकते हैं। - Ryan Griggs
के रूप में सुरक्षा। एसईसी कहते हैं: "सुरक्षा एक बहुत ही प्रासंगिक विषय है: आपके पर्यावरण में महत्वपूर्ण खतरे को किसी और के लिए अपरिहार्य माना जा सकता है, और इसके विपरीत। क्या आप उन्नत निरंतर खतरों के खिलाफ वैश्विक मूल्य की रक्षा करने की कोशिश कर रहे हैं? या आप एक लागत- कम प्रोफ़ाइल वाले छोटे व्यवसाय के लिए प्रभावी दृष्टिकोण? सबसे उपयोगी उत्तर प्राप्त करने के लिए आपको हमें बताना चाहिए: आप कौन सी संपत्तियों की रक्षा करने की कोशिश कर रहे हैं; आप जिस संपत्ति की रक्षा करने की कोशिश कर रहे हैं उसका उपयोग करते हैं, और जो आप सोचते हैं कि इसका दुरुपयोग करना चाहते हैं ( और क्यों); ... - D.W.
उस संपत्ति की सुरक्षा के लिए आप पहले से क्या कदम उठा चुके हैं; आपको क्या जोखिम लगता है कि आपको अभी भी कम करने की जरूरत है। "इस तरह का संदर्भ आवश्यक है। मेरा सुझाव है कि आप इस जानकारी को शामिल करने के लिए अपना प्रश्न संपादित करें। - D.W.


जवाब:


यह राय का विषय है, और नियामक मुद्दों के साथ भी करना है (यदि आप किसी का सामना करते हैं)।

भले ही यह वर्तमान में जरूरी नहीं है, मैं किसी भी अनुप्रयोग स्तर फ़ायरवॉल / लोड बैलेंसर्स / फ्रंट एंड सर्वर और बैक एंड सर्वर के बीच एचटीटीपीएस सक्षम रखने का एक बड़ा वकील हूं। यह एक कम हमले की सतह है। मैंने उन स्थानों के साथ अनुबंध किया है जिन पर अधिक संवेदनशील जानकारी पारित होने की आवश्यकता है - वहां शुरू करना बेहतर है।

जो आम तौर पर मैं सुझाव दूंगा वह एक आंतरिक सीए (यदि उपलब्ध हो) या स्वयं संकेत (अगर कोई आंतरिक सीए नहीं) बैक एंड सर्वर का उपयोग कर रहा है। अनावश्यक परिवर्तनों से बचने के लिए हम भविष्य में समाप्ति तिथि को भविष्य में अच्छे और दूर कर देंगे।


50
2017-08-29 17:26



वहां शुरू करना बेहतर है - वे शब्द जो आपको अंक देते हैं :) - danday74
यह एक अच्छा विचार है। आप एनएसए नहीं चाहते हैं अपने नेटवर्क टोपोलॉजी के मूर्ख चित्र बनाते हैं। - Kevin
अपने सभी संचारों को एन्क्रिप्ट करना आंतरिक छिपाने के खिलाफ सुरक्षा भी करता है - चाहे वह इंटर्न के कंप्यूटर के रूप में हो, जो कि बिल्ली चित्रों को ब्राउज़ करते समय एक ट्रोजन उठाया गया हो, या एक अप्रयुक्त डेस्क के पीछे नेटवर्क पोर्ट में प्लग किए गए एक छोटे से स्निफर, या एक वाईफाई पासवर्ड साझा किया गया हो थोड़ा बहुत ढीला। - Doktor J
"We'd set the expiration date nice and far into the future to avoid unnecessary changes."और कृपया समाप्त होने के बारे में चेतावनी देने के लिए कृपया अपने पसंदीदा निगरानी सुइट में एक नियम जोड़ें। कृपया! - GnP
@ जीएनपी मैं यह भी करता हूं - अगर यह 10 साल की अवधि के साथ प्रमाणित है तो हमारी नीति हमेशा बैकएंड सर्वर को उस अवधि के भीतर बदल देती है .. इसे थोड़ा अनावश्यक बनाता है और उत्तर में उल्लेख करने के लिए आवश्यक नहीं लगता है। - Tim Brigham


टी एल; डॉ आपको यातायात को एन्क्रिप्ट करना चाहिए जब तक कि यह एक ही मेजबान पर न हो।

आप अपने नेटवर्क पर भरोसा नहीं कर सकते हैं। अपने नेटवर्क में मालवेयर http अनुरोधों को रोक / संशोधित कर सकते हैं।

यह सैद्धांतिक हमले नहीं है, लेकिन वास्तविक जीवन उदाहरण:


19
2017-08-30 09:40





क्या "अन्य कई सर्वर" को HTTPS पर चलाने की आवश्यकता है या, यह देखते हुए कि उन्हें बाहरी रूप से एक्सेस नहीं किया जा सकता है, क्या वे इसके बजाय HTTP पर सुरक्षित रूप से चल सकते हैं?

यह वास्तव में उस पर निर्भर करता है जिसे आप पूरा करने की कोशिश कर रहे हैं। एचटीटीपीएस का उपयोग करने के उद्देश्य को समझना दो बिंदुओं के बीच पारगमन में डेटा की रक्षा करना है। यदि आप अपने नेटवर्क के अंदर चिपकने वाले डेटा के बारे में चिंतित हैं तो शायद इसे पहले ख्याल रखा जाना चाहिए। यदि आपको अपने नेटवर्क के अंदर पारगमन में डेटा की रक्षा करने की आवश्यकता है, तो आप जो कह रहे हैं वह यह है कि आपको या तो अपने नेटवर्क के अंदर अपने सिस्टम को घुमाने वाले डेटा की सुरक्षा के बारे में कोई चिंता है या आपके पास पारगमन में डेटा एन्क्रिप्ट करने के लिए कुछ अनुपालन संबंधी कारण हैं।

यह वास्तव में एक राय सवाल है, लेकिन जवाब यह निर्भर करता है। तुम क्या करने की कोशिश कर रहे हो? आप किस प्रकार का डेटा एन्क्रिप्ट कर रहे हैं? आप किस खतरे से बचाव करने की कोशिश कर रहे हैं? क्या आपके पास कानूनी आवश्यकता है (जैसे पीसीआई-डीएसएस, एचआईपीएए, इत्यादि) जो कहता है कि आपको पारगमन में डेटा एन्क्रिप्ट करना होगा? यदि डेटा संवेदनशील है और आप चिंतित हैं तो इसका दुरुपयोग किया जा सकता है जब यह आपके नेटवर्क के अंदर प्रसारित किया जा रहा है तो मैं समस्या को ठीक करने के लिए प्रबंधन के साथ मिलकर सुझाव देना चाहूंगा। तो अंत में, आप किसकी रक्षा करने की कोशिश कर रहे हैं और आप इसे सुरक्षित रखने की कोशिश क्यों कर रहे हैं?


16
2017-08-29 17:18





दिन में, लोगों ने माना कि आंतरिक नेटवर्क घरों के रूप में सुरक्षित थे। मैं एक बार एक पर्यवेक्षक के साथ विवाद में आया जो इस बात से डर गया था कि मेरे आंतरिक-सामना करने वाले सर्वर अपने अंतर्निर्मित फ़ायरवॉल चला रहे थे। "अगर आप अपने आंतरिक नेटवर्क पर भरोसा नहीं कर सकते हैं, तो आप किस पर भरोसा कर सकते हैं?" मैंने बताया कि हमारे पास हमारे आंतरिक नेटवर्क पर छात्र लैपटॉप थे, और छात्र लैपटॉप और मेरे सर्वर के बीच कोई फ़ायरवॉल नहीं था। वह, अकादमिक के लिए नए होने के नाते, इस जानकारी पर अपने ब्रह्मांड को झुकाव में दिखाई दिया।

आंतरिक नेटवर्क अब सुरक्षित नहीं माना जाता है, भले ही आपके पास अपने नेटवर्क पर छात्र लैपटॉप न हों। कुछ उदाहरणों के लिए टॉम का जवाब देखें।

उस ने कहा, हाँ, यह इस बात पर निर्भर करता है कि कौन सी सूचना प्रसारित की जा रही है, कोई कानूनी अनुपालन समस्याएं इत्यादि। आप यह तय कर सकते हैं कि अगर कोई व्यक्ति स्नीफ करता है, कहता है, मौसम डेटा। उस ने कहा, यह संभव है कि अगर भेजा गया डेटा संवेदनशील नहीं है अभी व, कोई आपके बाद के आवेदन में सुविधाओं को जोड़ने का फैसला कर सकता है कर रहे हैं संवेदनशील, इसलिए मैं अधिक परावर्तक (HTTPS सहित) की सिफारिश करता हूं।


13
2017-08-30 18:46



गेहूं डेटा पर्याप्त संवेदनशील हो सकता है: कोई भी छेड़छाड़ वाले पहिये डेटा पर अपने गलत फैसले का आधार ले सकता है। - Hagen von Eitzen
काफी उचित है, यह इस बात पर निर्भर करता है कि आप मौसम डेटा का उपयोग कर रहे हैं। मैं कुछ निर्दोष के साथ आने की कोशिश कर रहा था। :) - Katherine Villyard
@ हेगेनवोनइट्टन या हमलावर वहां मैलवेयर / विज्ञापनों को इंजेक्ट करेगा, इसलिए जब वह अपनी विंडोज एक्सपी मशीन का उपयोग कर मौसम की जांच करती है तो दादी को पनडुब्बी हो जाती है। - André Borie


आज एन्क्रिप्शन को गति देने के लिए विशेष सीपीयू निर्देशों के साथ, और नए परिवहन प्रोटोकॉल जो एक अनएन्क्रिप्टेड लिंक (HTTP / 2, जीआरपीसी, आदि ...) पर खराब प्रदर्शन के साथ काम नहीं करेंगे या संचालित नहीं होंगे, शायद बेहतर सवाल यह है: क्या कोई है HTTP के लिए नेटवर्क लिंक डाउनग्रेड करने की आवश्यकता क्यों है? यदि कोई विशिष्ट कारण नहीं है, तो उत्तर HTTPS के साथ रहना है।


8
2017-08-30 03:58



अच्छा विचार प्रक्रिया - danday74


एन्क्रिप्शन को अक्षम करने का एकमात्र कारण जो मैं सोच सकता हूं वह प्रदर्शन है। हालांकि, आपके मामले में आंतरिक सर्वर HTTP के माध्यम से इंटरफेस किए जाते हैं, जिसका अर्थ है कि वे पहले से ही एक वेब सर्वर चलाने की कार्यक्षमता लागत, HTTP प्रोटोकॉल का समर्थन करते हैं और HTTP / JSON / जो कुछ भी डेटा एन्कोडिंग करते हैं। एन्क्रिप्शन को अक्षम करने से शायद 100 केबी रैम मुक्त हो जाएगा और आपको प्रेषित डेटा के प्रति केबी के कुछ माइक्रोसेकंड कमाएंगे, जो समग्र प्रदर्शन पर कोई प्रभाव नहीं पड़ेगा। दूसरी तरफ, सुरक्षा के लिए आपको काफी अधिक ध्यान देना होगा क्योंकि अब आप अपने इंट्रानेट में HTTP चलाते हैं। वास्तव में, यह संभव है कि अधिक सख्त फ़ायरवॉल कॉन्फ़िगरेशन एन्क्रिप्शन को अक्षम करने से अधिक चीजों को धीमा कर देगा, जिसके परिणामस्वरूप अंतिम उपयोगकर्ताओं द्वारा खराब प्रदर्शन किया गया है।

यह एक ट्रैक्टर पर एक spoiler डालने की तरह होगा: आप सैद्धांतिक रूप से कुछ भी नहीं, और व्यावहारिक रूप से बहुत सी असुविधा के बाद लाभ।


5
2017-08-30 14:50