4 votes

Andrew avatar

Gestion de la sécurité et des pare-feu dans des applications complexes et distribuées

Demandé el 13 de Janvier, 2013
Quand la question a-t-elle été
174 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons une application distribuée composée de plusieurs composants différents. Par exemple, nous avons des serveurs d'applications Python, des serveurs de bases de données PostgreSQL, des serveurs Redis, Memcached, etc. Certains de ces services sont dans des serveurs différents. Certains de ces services se trouvent sur différents serveurs. Tous ces serveurs fonctionnent sous CentOS Linux et nous n'autorisons actuellement l'accès entre les serveurs qu'en fonction des besoins de connexion (c'est-à-dire qu'au lieu d'ouvrir le port 6379 à tous les hôtes dans chaque hôte de destination Redis, nous l'ouvrons par hôte).

Ma question est la suivante : quelle est la bonne pratique pour gérer les environnements iptables lorsque plusieurs serveurs sont concernés ? Y a-t-il un autre outil que je devrais utiliser, ou existe-t-il un meilleur schéma de gestion de la sécurité entre plusieurs serveurs ? S'il existe quelque chose de mieux que les simples pare-feu, faites-le moi savoir.

Toute suggestion sera appréciée. Merci beaucoup pour votre temps !

Demandé el 13 de Janvier, 2013 par Andrew

0 votes

Avatar de Hubert Kario

Puppet ou CFEngine ?

Commenté el 13 de Janvier, 2013 par Hubert Kario

0 votes

Avatar de Andrew

Si vous pouviez élaborer un peu plus et formuler une réponse, je l'examinerais et la noterais en amont. Merci.

Commenté el 13 de Janvier, 2013 par Andrew

0 votes

Avatar de Hubert Kario

C'était plutôt du genre "Avez-vous essayé Puppet ou un outil similaire ? Pourquoi ne sont-ils pas applicables ? En dehors de cela, il me serait difficile d'ajouter quoi que ce soit à ce que Jeff Hall a déjà dit.

Commenté el 14 de Janvier, 2013 par Hubert Kario

Réponse

Trop de publicités?

3voto

Obadiah Robert Robinson avatar
Obadiah Robert Robinson Points 1

Il est difficile de faire mieux que le logiciel iptables standard sur les serveurs Linux, à mon avis. L'outil est simple, efficace et bien connu de nombreux administrateurs de systèmes Linux.

Il me semble que le problème que vous essayez vraiment de résoudre a moins à voir avec le pare-feu lui-même qu'avec la gestion d'une politique de sécurité sur plusieurs hôtes. C'est ce que j'appelle la gestion de la configuration. Il existe deux catégories de logiciels que vous pouvez utiliser pour résoudre ce problème, en fonction de vos compétences et des contraintes de votre environnement : les logiciels d'automatisation de l'infrastructure comme Marionnette ou Chef ; ou l'un des nombreux logiciels de gestion de la configuration pour Linux : voir Comparaison des logiciels libres de gestion de la configuration .

Définissez votre politique de sécurité en fonction des composants de votre logiciel, de leurs besoins et de la manière dont divers hôtes spécifiques correspondent à ces "rôles". Vous pouvez ensuite définir cette politique en termes de gestion de la configuration ou de logiciel d'automatisation pour définir quelle politique iptables doit être sur quel hôte.

Je reconnais que cette réponse n'est pas très précise, mais je serai heureux de la clarifier si vous avez des questions.

Répondu el 13 de Janvier, 2013 par Obadiah Robert Robinson (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X