Безопасность

Как защитить веб-кластер |
Веб-кластер использует дополнительные сервисы (централизованное кэширование, синхронизация) и запускается, как правило, на группе машин. Рассмотрим особенности обеспечения информационной безопасности веб-кластера.
Балансирование нагрузки и защита от DDoS-атак
Рекомендуется открыть для публичного доступа 80 порт балансировщика нагрузки, ограничив внешний доступ к http портам машин (нод) веб-кластера. Это надежно защитит ноды, спрятанные за балансировщиком, от перегрузки (например, возникшей при проведении рекламной интернет-кампании), а также существенно снизит эффективность DDoS-атак.
Кластеризованный кэш
Необходимо закрыть от публичного доступа серверы memcached (tcp порт 11211), открыв доступ к ним с нод веб-кластера. Одно из решений - сконфигурировать файервол.
Сервис синхронизации контента нод кластера
Если для синхронизации контента используется утилита csync2, необходимо закрыть ее сервисы от публичного доступа (tcp порт 30865), открыв доступ к ним с нод веб-кластера.
Пример настройки файервола
Для ноды веб-кластера:
- 22 (tcp; ssh) - открыт для подсети администратора;
- 80 (tcp; http) - открыт для подсети веб-кластера;
- 443 (tcp; https) - открыт для подсети веб-кластера;
- 3306 (tcp; mysql) - открыт для подсети веб-кластера;
- 11211 (tcp; memcached) - открыт для подсети веб-кластера;
- 30865 (tcp; csync2) - открыт для подсети веб-кластера.
Для балансировщика нагрузки:
- 80 (tcp; http) - открыт для всех;
- 443 (tcp; https) - открыт для всех.
и Ваше мнение важно для нас