我想使用以下堆栈之一在 Azure Ubuntu VM 上部署微服务:docker-compose/AKS,使用 Traeffic 作为反向代理。
我正在寻找最便宜但合理的安全解决方案。
在我的 VM 防火墙中打开端口 443(其余端口将被关闭)并将其转发到 Azure 中的公共 IP 是否会产生重大风险或违反安全规则(它将是测试环境,因此 DDOS 之类的事情不会困扰我)。
使用 AKS,它将 LoadBalancer 服务端口 443 映射到 Azure 公共 IP,因此方法非常相似,但不需要直接控制 VM 防火墙(Kubernetes 管理其他一切)。
NSG 仅允许端口 443 的 Internet 入站。所有微服务都将通过适当的身份验证来确保安全,并且只有最终用户所需的服务才会通过反向代理暴露给公共 Internet。我一直在 Internet 上寻找这种类型的架构,但从未找到任何东西。
答案1
这些问题没有肯定或否定的答案。简而言之,你必须权衡风险和利益。
WAF 可能会使某些攻击变得更加困难。但对于其他攻击,它没有任何区别。它有成本——既有复杂性,也有金钱价值。
通常来说,你做的每一件事都是如此 - 它有成本也有收益。
几年前,在互联网上运行程序还是常见的进行中小型部署的方式;它实际上只随着云环境而改变。