- Šifrování mezi proxy a backendem
Myslím, že v tom samém vlákně Snajpa psal něco ve smyslu, že na síti mezi VPS je těžké odposlechnout provoz (myslím, že se tam řešili privátní vlany nebo tak něco). Úplně se v tomhle neorientuji a proto jsem se chtěl zeptat, zda byste v našem prostředí považovali za bezpečné, kdybych SSL spojení ukončoval na proxy a mezi proxy a backendem posílal jen klasické HTTP? Na webu Nginxu jsem našel, že je možné mezi proxy a backendem rozjet také SSL spojení, ale nevím, zda to není overkill.
Žádné VLAN - jestli si to dobře pamatuju, tak mezi každou VPS a jejím hostitelem existuje jedna dvoučlenná síť, takže není možné odposlouchávání na síti ze strany jiné VPS (což nic neříká o možnostech odposlouchávání na fyzické síti mezi hostiteli, ale to už je něco jiného, na to byste se z té VPS musel prohákovat ven do hostitele, nebo se nějak dostat k síťovým prvků mezi hostiteli.)
Ohledně SSL mezi proxy a backendem je jedna věc ke zvážení: jestli všechny weby, které provozujete, budou schopny detekovat SSL spojení i na HTTP. Mluvím o funkci "přesměrování na HTTPS", kde aplikace zjišťuje, jestli je příchozí spojení šifrované, z informací od svého webserveru - který vždy uvidí HTTP.
Toto se řeší například tím, že proxy do požadavku předávaného backendu přidá hlavičku (třeba) X-Forwarded-Proto, ale pokud ji aplikace nebude umět použít, tak se všechny požadavky zacyklí do přesměrování na https
- SSH tunel na proxy
Aktuálně mám na serveru jednu stránku, pro kterou Nginx poslouchá na 127.0.0.1 a klienti se k ní propojují pomocí SSH tunelu a port forwardingu. V případě nasazení jako "proxy - backend" bych na proxy opět udělal server poslouchající na 127.0.0.1 a předávající požadavky na proxy. Bude stačit, když na backendu pro tuto stránku nastavím omezení přístupu jen z IP adresy proxy? Nebo bych to měl ošetřit ještě nějak dál?
Záleží na tom, jak paranoidní budete :-) Tím serverem poslouchajícím na proxy na 127.0.0.1 může být SSH klient, který bude mít vytvořený tunel na backend server a předávat spojení na jeho 127.0.0.1