Назад | Перейти на главную страницу

Должен ли общедоступный веб-сайт находиться внутри VPN с соответствующим частным веб-сайтом?

В ближайшем будущем у меня будет блог WordPress, открытый и доступный для всех, у которого есть личный кабинет. Эта зона для участников имеет доступ к некоторым личным данным в специальной базе данных с финансовыми данными, поэтому такая информация должна быть доступна для просмотра только клиентам сайта.

Частный сайт будет работать внутри VPN в корпоративной локальной сети и на небольшом сервере, и мне интересно, будет ли размещение этой частной части вместе с общедоступным сайтом хорошей идеей.

Фактически, из-за уязвимостей WordPress (это желаемая цель прямо сейчас) я думаю, что если злоумышленник получит доступ к сайту WP, который находится внутри VPN, то он сможет атаковать «изнутри», и в конечном итоге он сможет даже доступ к частному сайту и его данным.

Разве это не было бы более подходящим для иметь публичный сайт за пределамина VPS например? Доступ к зоне участников будет осуществляться через защищенный протокол (HTPPS), и мне интересно, есть ли какие-то рекомендации по этому поводу.

Первый вопрос заключается в том, действительно ли общедоступный и частный сайты должны работать вместе. В идеале они должны работать отдельно, с общедоступным сайтом на внешнем сервере и частным сайтом на сервере в локальной сети.

Если они должны запускаться на одном сервере, то риск компрометации личных данных одинаков независимо от того, размещены они на внешнем или внутреннем сервере. Вопрос в том, можно ли использовать взломанный сервер для доступа к данным и системам, не связанным с сайтом. Чтобы защититься от этого, вы хотите разместить сервер в DMZ если вы размещаете его внутри.

Да, типичной конфигурацией будет размещение вашего общедоступного веб-сайта на отдельном сервере в общедоступном Интернете. Если ему нужны какие-либо данные из вашей частной базы данных, вы должны настроить NAT, который будет выполнять сопоставление для одного порта, только для IP-адреса, на котором работает ваш веб-сайт.

Вы также можете сделать еще один шаг и сделать так, чтобы ваше общедоступное интернет-устройство просто выполняло обратный прокси-сервер для веб-сервера, который находится в частной или получастной сети.