GNU/Linux >> Linux の 問題 >  >> Linux

すべてのサーバーで HTTPS プロトコルを使用する必要がありますか? それとも公開サーバーのみを使用する必要がありますか?

解決策 1:

これは意見の問題であり、規制の問題にも関係しています (直面している場合)。

現在は必要ない場合でも、アプリケーション レベルのファイアウォール/ロード バランサー/フロント エンド サーバーとバック エンド サーバーの間で HTTPS を有効にしておくことを強く推奨します。攻撃面が 1 つ少なくなります。より機密性の高い情報が渡され始めたため、変換が必要な場所と契約しました。そこから始める方がよいでしょう。

私が一般的に提案するのは、内部 CA (利用可能な場合) または自己署名 (内部 CA がない場合) をバックエンド サーバーに使用することです。不必要な変更を避けるために、有効期限をかなり先の日付に設定します。

解決策 2:

TL;DR トラフィックを暗号化する必要があります ただし、同じホスト上にある場合を除きます。

ネットワークを信頼できません。独自のネットワーク内のマルウェアは、http 要求を傍受/変更できます。

これは理論的な攻撃ではなく、実際の例です:

  • 広告を挿入する一部の Web サイトのネットワーク内のルーター (おそらくハッキング):https://www.blackhat.com/docs/us-16/materials/us-16-Nakively-TCP-Injection-Attacks-in-the-Wild- A-Large-Scale-Study-wp.pdf

  • クラウドフェアとバックエンド間のインドのネットワーク スニッフィング:https://medium.com/@karthikb351/airtel-is-sniffing-and-censoring-cloudflares-traffic-in-india-and-they-don-t-even-know -it-90935f7f6d98#.hymc3785e

  • 現在有名な NSA の「ここに SSL が追加および削除されました :-)」

解決策 3:

<ブロック引用>

「他の多くのサーバー」は HTTPS 経由で実行する必要がありますか?それとも、外部からアクセスできない場合、代わりに HTTP 経由で安全に実行できますか?

これは、何を達成しようとしているかによって異なります。 HTTPS を使用する目的は、2 つのポイント間で転送中のデータを保護することであることを理解してください。ネットワーク内でデータが傍受されることを懸念している場合は、まずそれを処理する必要があります。ネットワーク内で転送中のデータを保護する必要がある場合は、ネットワーク内のシステムを通過するデータのセキュリティに懸念があるか、転送中のデータを暗号化するコンプライアンス関連の理由があるということです。

これは実際には意見の問題ですが、答えは場合によって異なります。あなたは何をしようとしているのですか?どのような種類のデータを暗号化していますか?どのような脅威から防御しようとしていますか?転送中のデータを暗号化する必要があるという法的要件 (例:PCI-DSS、HIPAA など) はありますか?データが機密であり、ネットワーク内で送信されているときに悪用される可能性があると懸念している場合は、経営陣と協力して問題を解決することをお勧めします.結局、何を守ろうとしていて、なぜそれを守ろうとしているのですか?

解決策 4:

当時、人々は内部ネットワークが家のように安全であると想定していました。私はかつて、私の内部に面したサーバーが組み込みのファイアウォールを実行していることに愕然としたスーパーバイザーと論争に巻き込まれました. 「内部ネットワークを信頼できない場合、誰を信頼できますか?」内部ネットワークに学生のラップトップがあり、学生のラップトップと私のサーバーの間にファイアウォールがないことを指摘しました。彼は学界に足を踏み入れたばかりで、この情報で彼の宇宙がボロボロになっているように見えました.

ネットワーク上に学生用のラップトップがなくても、内部ネットワークは安全とは見なされなくなりました。いくつかの例については、Tom の回答を参照してください。

そうは言っても、送信される情報や法令順守の問題などによって異なります。誰かが、たとえば気象データを盗聴しても気にしないと決めるかもしれません。とはいえ、送信されたデータが機密ではない場合でも、現在 、後で誰かがアプリケーションに機能を追加することを決定する可能性があります センシティブなので、より大きなパラノイア (HTTPS を含む) をお勧めします。

解決策 5:

現在、暗号化を高速化するための特殊な CPU 命令と、暗号化されていないリンク (HTTP/2、gRPC など) ではまったく動作しないか、パフォーマンスが低下した状態で動作する新しいトランスポート プロトコルが使用されているため、おそらくより適切な質問は次のとおりです。ネットワーク リンクを HTTP にダウングレードする必要がある理由を教えてください。特に理由がなければ、答えは HTTPS のままです。


Linux

  1. ホームネットワークでSSHおよびSFTPプロトコルを使用する方法

  2. Linux カーネルへの新しいネットワーク プロトコルの追加

  3. すべてのサブディレクトリで wc を使用して、行の合計を数えます

  1. VPSホスティングとは何ですか?仮想プライベートサーバーについて知っておくべきことすべて

  2. Linuxmtrコマンドの使用方法

  3. 使用可能なすべてのネットワーク インターフェイスのデバイス名のみを一覧表示する

  1. ネットワークでXプロトコルを許可しますか?

  2. Netcatコマンドを使用して、Ubuntu20.04のネットワーク全体でデータを読み書きします

  3. Tpmを使用してUefi起動システムのデータを封印する方法は?