Безопасность. Docker или VM?

Question

[qwqeqwe2017]

Собираюсь разворачивать lamp + ngnix.
Для сайта планируется максимальная защита от проникновения.
Планирую разнести каждый сервис и файлы в отдельный контейнер или виртуалку
То-есть распределение будет следующим:
apache/ngnix/mysql/php/хранилище
Вопрос 1: Имеет ли это смысл в кач-ве этаких рубежей безопасности.
Вопрос 2: Что использовать для изоляции docker или виртуалки?

Comments

[Дмитрий]

а какая нагрузка планируется?
в вашем случае я к докеру склоняюсь пока

[qwqeqwe2017]

Дмитрий Крымцев: нагрузка условно до 10тыс.чел/день

[Vladimir Zhurkin]

docker или lxc, что будет удобнее.
Виртуальная машина будет жрать ресурсов однозначно больше.
Если систему поломают, то в общем без разнице на чем она будет, так как у вас будет связность с другими машинами.

[qwqeqwe2017]

Vladimir Zhurkin: Дмитрий Крымцев: нашел вот такое Какие проблемы могут быть если Docker используется как замена KVM/XEN?

1. С безопасностью всё непросто. Вам нужен хороший специалист со знанием Selinux/Apparmor чтобы вручную изолировать контейнеры друг от друга. Насколько я знаю, по умолчанию LSM в Docker не задействованы (решето кароч). В связке KVM/libvirt оно настроено из коробки, нужно только в конфиге включить.

и такое https://xakep.ru/2013/11/02/server-max-isolaion-se...

что скажете?

[Vladimir Zhurkin]

qwqeqwe2017: и ?

Изоляция в LXC не чем не хуже. Только ядро разве только одно на всех.
Докер я не использую для публичных целей, только деплой и разворачивание. Тестирование или внутри себя. Я считаю докер не для публичной работы (это мое мнение).

Еще раз, если вас поломают, то все равно как вы там будите в контейнерах запрятаны.
Можно еще заморочиться на ядре hardened итд итп. Только если вы напишите сервис с дырой, то в общем вам это не поможет.

[Дмитрий]

qwqeqwe2017: кто тут админ?

вы можете все и без докеров и виртуализации настроить.
правильные настройки для ssh, настройка fail2ban, настройка iptables, etc.
дальше уже от требований и реально большой нагрузки строить кластеры.

[qwqeqwe2017]

Vladimir Zhurkin: спасибо

[Vladimir Zhurkin]

qwqeqwe2017: ну и да. Apache уже стоит закопать. Mysql смотреть в сторону mariaDb, а еще лучше в сторону psql если нужен sql.

[qwqeqwe2017]

Vladimir Zhurkin: что скажете насчет apache+nginx для статики?

[qwqeqwe2017]

Vladimir Zhurkin: https://habrahabr.ru/post/267721/

Совместное использование Apache и Nginx

После того как вы ознакомились с плюсами и минусами Apache и Nginx у вас должно появиться представление того, какой из серверов больше подходит под ваши задачи. Однако, можно достигнуть лучших результатов используя оба сервера вместе.

Распространенной схемой использования является размещение Nginx перед Apache в качестве реверс-прокси. В такой конфигурации Nginx называют фронтендом, а Apache — бэкендом. При таком подходе Nginx будет обслуживать все входящие запросы клиентов и мы получим выигрыш из-за его возможности обрабатывать множество конкурентных запросов.

Nginx будет самостоятельно обслуживать статический контент, а для динамического контента, например для запросов к PHP-страницам, будет передавать запрос к Apache, который будет рендерить страницу, возвращать ее Nginx'у, а тот в свою очередь будет передавать ее пользователю.

Такая конфигурация очень популярна, Nginx используется в ней для сортировки запросов. Он обрабатывает сам те запросы которые может и передает Apache только запросы, которые не может обслужить сам, снижая таким образом нагрузку на Apache.

Эта конфигурация позволяет горизонтально масштабировать приложение: вы можете установить несколько бэкенд серверов за одним фронтендом и Nginx будет распределять нагрузку между ними, увеличивая тем самым отказоустойчивость приложения.

Советуют всё-же использовать совместно

[Vladimir Zhurkin]

qwqeqwe2017: не вижу смысла вообще в apache.
Если у вас нет только legasy кода с модулями. Но и тогда говорить про безопасности уже не серьезно, явно код и модули нуждаются в оптимизации и переписи.

[Vladimir Zhurkin]

qwqeqwe2017: серьезно ? Статья 2015 года ? :)
еще раз не вижу я смысла в apache. Nginx уже спокойно его замещает и давно.

[jar3b]

Дмитрий Крымцев, мне автор напоминает какого-то неуловимого Джо. Хорошо написанное приложение - бОльшая часть. А докер или виртуалки - при 10к клиентах это вкусовщина, там и 10rps не будет, чтобы задумываться о просадках производительности от виртуалок. Докер все же удобнее. А "хацкеров" я не думаю, что будет много. Побрутят ssh, потестят на инъекции, да и все.

Answer 1

[Назар Мокринский]

В теории виртуализация дает лучшую изоляцию, то есть с точки зрения последствий взлома виртуалки хост и другие виртуалки будут более защищены, но виртуалки медленно запускаются и имеют большие накладные расходы.

С другой стороны если правильно организовать связи между контейнерами в Docker, то взломав Nginx контейнер получить доступ к БД просто так не получится, так что тоже вполне себе неплохой вариант.

В общем всё зависит от уровня паранойи, но как по мне, гораздо важнее оперативное обновление уязвимого ПО.
Лично я предпочитаю удобство контейнеров.

Comments

[Назар Мокринский]

nobody: Сложность обновления должно оправдывать не обновление приложения совсем? Мне так не кажется. И упаковка приложения в контейнер или виртуалку исключительно для защиты от такого хотя и защитит (потенциально, если нет 0-day в самой системе виртуализации), но не защитит данные приложения, которые, могу предположить, и являются основной ценностью и тем, что нужно защищать.

Answer 2

[Пума Тайланд]

если каждый сервис отдельно то конечно же докер, на виртаулках замучаешься это поддерживать.