Docker ssl frontend backend?

Question

pertsev1983 @pertsev1983

Docker ssl frontend backend?

есть 2 докер контейнера( фронтенд и бэкенд ) в одной докер сети на одной физическоой машине будет ли безопасно если они будут общаться между собой без ssl?

Вопрос задан 02 сент.
219 просмотров

5 комментариев

Подписаться 1 Простой 5 комментариев

Valentin Barbolin @dronmaxman

будет ли безопасно если они будут общаться между собой без ssl?

Да.

Рассуждения
Что бы прослушать трафик внутри сервера надо его взломать, а если ты взломал сервер то скорее всего у тебя полные права, а с полными правами ты можеш изменить любые настройки.

То есть, теоритически использование ssl внутри сервера заставит злоумышленника раскрыть себя чтобы прослушать трафик, но не оставит его.

Стоит ли так заморачиваться с ssl? Все зависит от ТЗ.

Написано 02 сент.
shurshur @shurshur

К вышесказанному добавлю, что часто само разрабатываемое приложение не умеет SSL, вместо этого перед ним ставится reverse proxy (nginx, haproxy, traefik, envoy ид), который и предоставляет SSL, а между nginx (или другим веб-сервером) трафик всё равно не шифруется. До кучи, этот nginx может отдавать статику и скрипты фронта.

Чтобы по ТЗ требовать шифровать трафик в каждом прилоежнии, это должно быть что-то из области военки, гостайны или корпоративных данных супервысокой значимости, крупных финансов или что-то подобное. Обычному сайту такое ни к чему.

Написано 02 сент.
d-stream @d-stream

shurshur, добавлю:
даже очень критические данные - появляются требования TLS шифрования между подами например в кубере, но не внутри пода.

То есть требование шифрования между контейнерами может быть, если это реально проект "на вырост" и завтра эти контейнеры разъедутся во что-то куберообразное и даже могут оказаться в ряде случаев в разных геолокациях
Но в таких случаях шифрование реализуют не средствами приложений, а средствами надстроек над средой (к примеру истио в кубере)

Написано 03 сент.
d-stream @d-stream

Ну и да, в общем случае забиваемая в мозг обывателю мысль "без TLS опасно" - это некое лукавство.

Написано 03 сент.
shurshur @shurshur

d-stream, конечно, я и говорю, это должны быть сложные случаи, а тут два контейнера на локалхосте. Вообще, люди, которые пытаются внутри хоста в шифрование беспарольным ключом, который открыто лежит на файловой системе с правами 644 или даже 666, явно занимаются фигнёй.

Написано 04 сент.

Помогут разобраться в теме Все курсы

Stepik

Docker + Ansible - с нуля, деплой и управление Swarm

1 неделя

Далее
Учебный центр IBS

SQA-I-007 Сопровождение автотестов и написание отчетов

1 неделя

Далее
Слёрм

Docker для админов и разработчиков

4 недели

Далее

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Java

+1 ещё

Средний
Как добавить цепочку сертификатов pkcs12 в java8 для взаимной аутентификации TLS?
- 2 подписчика
- 13 часов назад
- 50 просмотров
0

ответов
Apache HTTP Server

+1 ещё

Простой
Что не так с win-acme и Let’s Encrypt?
- 1 подписчик
- вчера
- 99 просмотров
0

ответов
Windows Server

+3 ещё

Средний
Как исправить ошибку при запросе сертификата через веб-сервер IIS?
- 1 подписчик
- 18 нояб.
- 176 просмотров
1

ответ
Цифровые сертификаты

+1 ещё

Средний
Почему не получается выдать сертификаты cert manager?
- 1 подписчик
- 06 нояб.
- 114 просмотров
1

ответ
Docker

+1 ещё

Простой
Откуда скачивать bitnami/kafka?
- 1 подписчик
- 29 окт.
- 568 просмотров
1

ответ
Nginx

+2 ещё

Простой
Контейнер rabbitmq docker стартует раньше чем сервис nginx. Как указать согласованность запуска?
- 6 подписчиков
- 26 окт.
- 968 просмотров
4

ответа
Цифровые сертификаты

+2 ещё

Простой
Как создать запрос на выпуск сертификата с шифрованием ГОСТ для Минцифры?
- 2 подписчика
- 19 окт.
- 232 просмотра
1

ответ
Docker

Средний
Как использование переменные в Entrypoint Dockerfile?
- 1 подписчик
- 17 окт.
- 148 просмотров
2

ответа
Nginx

+1 ещё

Простой
Как оптимизировать скорость загрузки шаблонов с изображениями docker nginx laravel?
- 3 подписчика
- 09 окт.
- 272 просмотра
1

ответ
Laravel

+1 ещё

Простой
Если один контейнер создает файл laravel-2025-01-01.log топ почему другой контейнер не может получить доступ?
- 1 подписчик
- 08 окт.
- 215 просмотров
0

ответов
Показать ещё Загружается…

Python Developer/ DevOps (trading)

Рестадвайзер • Москва

от 250 000 ₽

Системный Архитектор

Лайв Тайпинг

от 250 000 до 300 000 ₽

Fullstack разработчик (TypeScript+React). Свободный график. Фулл тайм.

Круглый Квадрат

от 300 000 до 450 000 ₽

будет ли безопасно если они будут общаться между собой без ssl?

Да.

Рассуждения
Что бы прослушать трафик внутри сервера надо его взломать, а если ты взломал сервер то скорее всего у тебя полные права, а с полными правами ты можеш изменить любые настройки.

То есть, теоритически использование ssl внутри сервера заставит злоумышленника раскрыть себя чтобы прослушать трафик, но не оставит его.

Стоит ли так заморачиваться с ssl? Все зависит от ТЗ.
К вышесказанному добавлю, что часто само разрабатываемое приложение не умеет SSL, вместо этого перед ним ставится reverse proxy (nginx, haproxy, traefik, envoy ид), который и предоставляет SSL, а между nginx (или другим веб-сервером) трафик всё равно не шифруется. До кучи, этот nginx может отдавать статику и скрипты фронта.

Чтобы по ТЗ требовать шифровать трафик в каждом прилоежнии, это должно быть что-то из области военки, гостайны или корпоративных данных супервысокой значимости, крупных финансов или что-то подобное. Обычному сайту такое ни к чему.
shurshur, добавлю:
даже очень критические данные - появляются требования TLS шифрования между подами например в кубере, но не внутри пода.

То есть требование шифрования между контейнерами может быть, если это реально проект "на вырост" и завтра эти контейнеры разъедутся во что-то куберообразное и даже могут оказаться в ряде случаев в разных геолокациях
Но в таких случаях шифрование реализуют не средствами приложений, а средствами надстроек над средой (к примеру истио в кубере)
Ну и да, в общем случае забиваемая в мозг обывателю мысль "без TLS опасно" - это некое лукавство.
d-stream, конечно, я и говорю, это должны быть сложные случаи, а тут два контейнера на локалхосте. Вообще, люди, которые пытаются внутри хоста в шифрование беспарольным ключом, который открыто лежит на файловой системе с правами 644 или даже 666, явно занимаются фигнёй.

Answer 1 · 2025-09-02 20:43:14

Обычно так и делают. Чтобы начать внутри одного локального бриджа городить шифрование - должны быть ну оочень веские причины.

Answer 2 · 2025-09-16 06:09:44

ДА, это безопасно
Когда контейнеры находятся в одной Docker сети на одной физической машине, их трафик НЕ покидает хост-систему и не проходит через внешние сети.

Docker ssl frontend backend?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт