У нас есть распределенное приложение, состоящее из нескольких различных компонентов. Например, у нас есть серверы приложений Python, серверы БД PostgreSQL, серверы Redis, Memcached и т. Д. Некоторые из этих служб находятся на разных серверах. Все эти серверы работают под управлением CentOS Linux, и в настоящее время мы разрешаем доступ между серверами только при необходимости подключения (т.е. вместо того, чтобы открывать порт 6379 для всех хостов на каждом целевом хосте Redis, мы открываем его для каждого хоста) .
Мой вопрос: как лучше всего управлять средами iptables, когда задействовано несколько серверов? Есть ли какой-нибудь другой инструмент, который мне следует использовать, или есть лучшая схема управления безопасностью между несколькими серверами? Если есть что-то получше простых файрволов, дайте мне знать.
Любые предложения будут оценены. Большое спасибо за уделенное время!
ИМХО сложно "сделать лучше" стандартных iptables на Linux серверах. Инструмент прост, эффективен и хорошо известен многим системным администраторам Linux.
Мне кажется, проблема, которую вы действительно пытаетесь решить, связана не столько с самим брандмауэром, сколько с управлением политикой безопасности на нескольких хостах. Это говорит мне об управлении конфигурацией. Есть два класса программного обеспечения, которое вы можете использовать для решения этой проблемы, в зависимости от вашего набора навыков и ограничений среды: программное обеспечение для автоматизации инфраструктуры, такое как Кукольный или Повар; или одно из большого количества программного обеспечения для управления конфигурацией для Linux: см. Сравнение программного обеспечения для управления конфигурацией с открытым исходным кодом.
Определите свою политику безопасности с точки зрения компонентов вашего программного обеспечения, их потребностей и того, как различные конкретные хосты соответствуют этим «ролям». Затем вы можете определить эту политику с точки зрения программного обеспечения для управления конфигурацией или автоматизации, чтобы определить, какая политика iptables должна быть на каком хосте.
Я понимаю, что этот ответ не очень конкретен, но я рад уточнить, если у вас есть вопросы.