Gerenciando segurança e firewalls em aplicativos complexos e distribuídos

4

Nós temos um aplicativo distribuído composto de vários componentes diferentes. Por exemplo, temos servidores de aplicativos Python, servidores PostgreSQL DB, servidores Redis, Memcached, etc. Alguns desses serviços estão em servidores diferentes. Todos esses servidores estão rodando o CentOS Linux, e atualmente estamos habilitando o acesso entre servidores apenas em uma base de necessidade de conexão (ou seja, em vez de abrir a porta 6379 para todos os hosts em cada host de destino Redis, nós o abrimos por host) .

Minha pergunta é: O que é uma boa prática para gerenciar ambientes iptables em que vários servidores estão envolvidos? Existe alguma outra ferramenta que eu deveria estar usando, ou existe um esquema de gerenciamento melhor para a segurança entre vários servidores? Se houver algo melhor do que firewalls simples, me avise.

Qualquer sugestão será apreciada. Muito obrigado pelo seu tempo!

    
por Juan Carlos Coto 13.01.2013 / 03:23

1 resposta

3

É difícil "fazer melhor" do que o estoque iptables em servidores Linux, IMHO. A ferramenta é direta, eficaz e conhecida por muitos sysadmins do Linux.

Parece-me que o problema que você está realmente tentando resolver tem menos a ver com o próprio firewall e mais com o gerenciamento de uma política de segurança em vários hosts. Isso fala de gerenciamento de configuração para mim. Existem duas classes de software que você pode usar para resolver esse problema, dependendo do seu conjunto de habilidades e restrições de ambiente: software de automação de infraestrutura como Puppet ou Chef ; ou um de uma grande variedade de softwares de gerenciamento de configuração para Linux: consulte Comparação do software de gerenciamento de configurações de código aberto .

Defina sua política de segurança em termos dos componentes de seu software, suas necessidades e como vários hosts específicos mapeiam esses "papéis". Então você pode definir essa política em termos de gerenciamento de configuração ou software de automação para definir qual política do iptables deve estar em qual host.

Eu reconheço que essa resposta não é muito específica, mas estou feliz em esclarecer se você tiver dúvidas.

    
por 13.01.2013 / 17:23