Digital Ocean a introdus Cloud Firewalls (gratuit)

Pe lângă faptul că ajută la protejarea droplet-urilor la atacurile din exterior, ușurează (automatizează) izolarea lor și față de alte droplet-uri din același datacenter aparținând altor clienți - private networking cu adevărat privat.

You could create a Firewall called db-firewall and only allow inbound connections from all Droplets tagged frontend, securing your database from unauthorized access. If you add this tag to more Droplets, they will automatically be recognized by our system and be whitelisted by this rule.

4 Likes

Cred ca si cu iptables poti sa faci cam acelas lucru pe linux, doar ca iptables necesita mai mult timp de invatare, probabil e un ui care foloseste in spate de iptables fiindca e destul de greu sa scrii un firewall de la zero, de obicei acesta e implementat in kernel-ul sistemului de operare sau cel putin asa e pe linux.


Am incercat sa fac si eu un mic firewall cu hook-uri in kernel care sa filtreze packete la un moment dat care se incarca ca modul de kernel:

1 Like

Nu-i vorba că nu existau soluții, ci că acum e muuult mai simplu! :slight_smile:

Exemplul dat de ei mi se pare foarte concludent. Să zicem că ai o mașină pe care rulează un server de baze de date și 3 mașini cu servere HTTP pentru load balancing. Mașina cu serverul DB este configurată să accepte conexiuni doar de la cele 3 mașini HTTP. Dacă adaugi o mașină nouă HTTP, trebuia să modifici setările iptables să accepte conexiuni și de la noul IP. Dacă folosești soluția lor, pur și simplu definești o regulă ca mașina DB să accepte conexiuni de la orice droplet cu un anumit tag iar atunci când adaugi o mașină nouă în cluster-ul HTTP, pur și simplu îi aplici tag-ul respectiv și atât. Nu trebuie să reconfigurezi nimic altceva. :slight_smile:


Pe lângă asta, varianta lor mi se pare un pic mai sigură în sensul că:

Să zicem că ai o mașină dedicată care rulează Redis pentru stocarea sesiunilor, fără parolă (nu că parola aia pe care o setezi în Redis ar oferi cine știe ce siguranță), pe care ai configurat-o să accepte conexiuni doar de la anumite IP-uri. La un moment dat, poate distrugi una din mașinile care comunicau cu Redis-ul (pentru că nu mai ai nevoie de ea), dar uiți să modifici iptables să nu mai accepte conexiuni de la IP-ul respectiv. Acel IP poate fi atribuit acum altcuiva în același datacenter iar, în consecință, acel cineva s-ar putea conecta la droplet-ul tău și ar putea citi toate datele din sesiunile utilizatorilor tăi. Folosind Cloud Firewalls, configurat cu acces pe tag-uri, n-ai mai avea aceeași problemă.

6 Likes

Se pare că Digital Ocean încearcă să calce pe urmele AWS. Ar fi interesant să lanseze ceva alternative pentru Lambda, RDS și SQS păstrând un UI minimalist ca cel din prezent.

@adavidoaiei Exista și UFW (tutorial) ca și alternativă pentru iptables. Mi se pare decent pentru majoritatea use case-urilor.

2 Likes

imi place de mor DO. totul e simplu, straight fw, customer service foarte bun…

3 Likes