01 марта 2018

Настройка безопасности канала в Google Cloud Platform

Google предоставил возможность точной настройки протоколов соединения с приложениями в Google Cloud Platform.

Ранее, если вы хотели создать Web приложение, использующее только новейшие (самые безопасные) протоколы доступа TLS 1.2 и лучшие шифры, то вам могла потребоваться очень дорогая конфигурация, которая включала помимо собственно кластера для Web приложения, также и пару аппаратных балансировщиков нагрузки.

Это было связано с тем, что, например на ОС Windows в принципе нельзя запретить использовать слабые шифры. Например, настроить доступ только по TLS 1.2 к Web серверу IIS можно, и даже добавить ему новых шифров можно, но при этом он также будет иметь возможность использовать устаревшие шифры, что в принципе сводит безопасность к нулю. 

Аппаратные бансировщики нагрузки от ведущих производителей позволяют управлять настройками безопасности в полной мере, но встраивание их в облако, либо создаёт узкое место ввиде собственного (не от Google) канала к балансировщику, либо в случае виртуального балансирощика, совместимого с GCP, например от Citrix, очень дорого для малого бизнеса, так как вы всегда платите минимум за пару больших виртуальных машин, да ещё за сами лицензии от Citrix.


Теперь, с помощью штатного балансировщика нагрузки Google, вы можете, либо выбрать  его автоматическую настройку по умолчанию (надо сказать, что она очень удачная для абсолютного большинства случаев и я не рекомендую в ней ничего менять для обычных Интернет магазинов, сайтов и прочих ресурсов для самой широкой аудитории), либо настроить ограничения безопасности на балансировщике Google вручную, вплоть до самого последнего шифра. 

Важно отметить, что эти новые функции безопасности в балансировщике Google, которые фактически делают абсолютно ненужными дорогие аппаратные балансировщики нагрузки, предоставлены абсолютно бесплатно, и все желающие, кого в принципипе заботит безопасность доступа на их сайтах, могут настроить всё за пару минут из очень удобного Web интерфейса в консоли разработчика Google (см. рис. выше).
Отправить комментарий