Domanda Un deploy cross-server e' sicuro?

Fabio Rambo

Utente Bronze
13 Luglio 2015
16
6
1
39
Sto facendo un'applicazione per un cliente, hostata su un'istanza aws. Quest'ultimo ha sbloccato solo l'ip dell'ufficio, quindi non mi e' possibile accedervi da casa o altri posti a meno di non dover farmi approvare dal cliente un ip diverso ogni volta (opzione non fattibile).

Pensando ad una soluzione mi e' venuto un dubbio:
Se io avviassi un'istanza ec2 nuova di pacca su aws, gli assegnassi un ip elastico da sbloccare sul server di produzione, impostassi una chiave e aprissi le connessioni ssh da qualunque gli ip e facessi i deploy da quell'istanza, quanto sarebbe vulnerabile? Mi esporrebbe a qualche tipo di attacco? E in caso quali sarebbero possibili? E' un opzione che si puo' prendere con le giuste precauzioni o sarebbe come aprire tutte le porte del server e mettere la chiave privata su facebook?
 

JunkCoder

Moderatore
5 Giugno 2020
775
15
607
339
Molte aziende hanno una VPN per l'ufficio, usando quest'approccio risolveresti il problema. A livello di sicurezza cambia ma un modo non e' necessariamente migliore dell'altro, in quanto anche se in modi diversi e' plausibile che vengano violati.

Comunque se ben configurati entrambi i metodi sono sicuri, come lo sarebbe se il server del cliente ha esposto solo SSH con una buona chiave anche senza blocco per IP.

Fa solo attenzione ad una cosa: se scegli per l'opzione ssh, assicurati di usarlo come tunnel e non salvare la chiave privata del server del cliente sulla tua istanza (jump host): quella deve restare sul tuo pc. In questo modo anche se venisse violato e possono raggiungere il server del cliente non hanno la chiave.
 

Fabio Rambo

Utente Bronze
13 Luglio 2015
16
6
1
39
Molte aziende hanno una VPN per l'ufficio, usando quest'approccio risolveresti il problema. A livello di sicurezza cambia ma un modo non e' necessariamente migliore dell'altro, in quanto anche se in modi diversi e' plausibile che vengano violati.

Comunque se ben configurati entrambi i metodi sono sicuri, come lo sarebbe se il server del cliente ha esposto solo SSH con una buona chiave anche senza blocco per IP.

Fa solo attenzione ad una cosa: se scegli per l'opzione ssh, assicurati di usarlo come tunnel e non salvare la chiave privata del server del cliente sulla tua istanza (jump host): quella deve restare sul tuo pc. In questo modo anche se venisse violato e possono raggiungere il server del cliente non hanno la chiave.
Grazie mille per la risposta e sopratutto per il consiglio. Faro' qualche studio a riguardo e sentiro' dal cliente cosa preferisce fare.
 
DOWNLOAD
Aquarifoundation.com: Investi in un oceano pulito