Eu não acho que isso seja um grande problema, com uma ressalva : fornecida a rede que conecta os servidores privados (seja virtual ou física) está comutado , isso não é um grande problema.
Meu mantra usual é que não existe algo como segurança no resumo , apenas ameaças e respostas, apropriadas e de outra forma. Então, qual é o seu modelo de ameaça? Um invasor compromete o servidor da Internet; o que ele (a) pode fazer agora?
O SSL (incluindo HTTPS) na conexão fornece dois serviços, criptografia e autenticação. A criptografia não oferece proteção contra esse modelo de ameaça: desde que a rede de back-end seja comutada, o invasor só poderá ver o tráfego de e para o servidor comprometido. Como esse é um terminal SSL, ele poderá ler todo o tráfego mesmo assim . A autenticação fornece um pequeno benefício, mas é apenas um rastreamento: mesmo que eles não usem os certificados auto-assinados usuais (que tendem a autenticar o Gut), você pode ter certeza de que está realmente falando com os servidores de back-end, porque você controla a rede interna e o modelo de ameaça não especifica a penetração da infra-estrutura de rede.
Resumindo: você escreve que " se um dos servidores ficar comprometido, seu acesso à rede interna significa que o resto é um patinho" ". Isso é verdade, mas não é menos verdade apenas porque o crosstalk interno é criptografado .
Quando você faz um comentário para Ryan sobre o acesso ao escritório para a LAN privada hospedada é através de uma VPN, e as operações no serviço de produção são feitas a partir de laptops Linux dedicados ao invés de máquinas principais dos devs. "Eu vejo uma empresa que está realmente pensando em modelos de ameaças e respostas, em vez de acenar em forma de criptografia, como se fosse uma espécie de cobertor de segurança brilhante, e presumindo que agora eles estão seguros, por causa da criptografia. Parece que eles trabalham duro para proteger os bits que se beneficiam da segurança, e não se preocupe com os bits que não o fazem.