CMDR Jack
Ну там типа машине foo.stage надо ходить на foo.prod зачем-то.
CMDR Jack
Но частные случаи это неинтересно, там много разного может быть.
CMDR Jack
Вот интересно, как бы вы решали вопрос.
Fljúgandi Kettlingur
Административно. Нечего деву ходить в продакшн.
CMDR Jack
Очевидно
CMDR Jack
Но бизнесу надо.
Igor
я бы не смог жить с таким и постепенно перетаскивал бы всё в один дц
CMDR Jack
Ну, строго говоря, даже в одном дц связность прода и дева это вопрос
CMDR Jack
Мы же не считаем ни впн, ни сеть хостера, безопасными, правда? :D
Igor
про связность я прост не особо понял. Надо ходить, ну добавил в вайтлист и ок
CMDR Jack
Ну и да, чисто с т.з. конфигурации в одном дц это меньшая проблема
CMDR Jack
Но задача стоит несколько противоречивая
CMDR Jack
Мы хотим сделать что-то очевидно менее секурное, потеряв в этой самой секурности как можно меньше.
Vladislav
нет ли какой готовой софтины (модуля нетфильтра), который бы заменял host заголовок, точнее отрезал proxy.loc от host.tld.proxy.loc?
Vladislav
для poorman's http proxy надо
Vladimir
@openfbtd делай снэпшоты нужных кусков данных и staging базу
Vladimir
если есть возможность
Vladimir
и апдейты раз в 10минут-час-день
Vladimir
или когда там надо
Vladimir
позволит не положить продакшн
Vladimir
плюс при дампах можно делать обфускацию и затирать важные пользовательские данные
Vladimir
по некой логике
Vladimir
но тут вопрос будет в написании обфускатора или генератора похожих на реальные данные
CMDR Jack
@openfbtd делай снэпшоты нужных кусков данных и staging базу
Эоо решает одну частную проблему. Не привязывайся к ней.
CMDR Jack
Тем более что девы в данном случае требуют прямого коннекта.
Vladimir
@openfbtd А зачем требуют?
CMDR Jack
Это неважно. Зря я короче пример дал
CMDR Jack
Это только пример. Просто прими за данность, что нужна иногда прямая связность
CMDR Jack
Контекст nda просто
Vladimir
@openfbtd ну кажется стандартный механизм решения - firewall и правила которые уже более-менее fine-grained. Опционально это еще сделать через какую-нибудь проксю которая анализирует запросы и бьет по рукам если полез не туда.
CMDR Jack
@openfbtd ну кажется стандартный механизм решения - firewall и правила которые уже более-менее fine-grained. Опционально это еще сделать через какую-нибудь проксю которая анализирует запросы и бьет по рукам если полез не туда.
Ну в смысле fw. Задача начинается с того, что дев и прод разделены. У них нет общей сети кроме интернета. Да, один из вариантов это в прод из дева ходить по интернету
CMDR Jack
Это заставит нас научить все приложения шифроввть трафик :)
CMDR Jack
Что с моей т.з. только хорошо
CMDR Jack
Но бизнес
CMDR Jack
В общем-то тут уже куча предложений внутри команды, все сводятся либо к джампхосту/хостам или через интернет.
Vladimir
Ну в смысле fw. Задача начинается с того, что дев и прод разделены. У них нет общей сети кроме интернета. Да, один из вариантов это в прод из дева ходить по интернету
можно всегда сделать так, что dev и prod объединены через кучу роутеров с файрволами фактически. По умолчанию файрвол всех рубит, можно ковырять дырки в нем по отдельным хостям и сетями.
CMDR Jack
Пока перспективнее всего машина вообще без впн. К ней клиенты цепляются, организуют p2p тоннели и вперед
Deleted
Поднимите опенстек, сделайте несколько сетевых сегментов и связывайте через виртуальные роутеры когда надо
Deleted
Только вам там бареметал надо небось
CMDR Jack
Мы разбросаны очень сильно. И ты задачу не понял.
CMDR Jack
Но это нормально.
Pavel
мониторинг какой-то?
Deleted
Просто он не умеет задачу ставить, это нормально
CMDR Jack
Нет, задача значительно шире одной конкретной дырки в впнах
Pavel
мне просто интересно у кого кейс "куча дц и все надо"
Deleted
Напиши мне в приват что ты хочешь
Pavel
он не часто встречается :)
CMDR Jack
Алсо да, в отрыве от задачи, мы не будем виртуализировать весь парк
CMDR Jack
Это нам тоже адово неудобно
CMDR Jack
Это круто - давайте сведем attack surface к гиперам
Fljúgandi Kettlingur
В большинстве случаев от виртуализации ничего плохого, кроме хорошего
Pavel
ну у нас сеть по сотне локаций на планете
Pavel
это не к вопросу неверной реализации, а к вопросу что "так надо"
Pavel
а что за сфера, оч в общих чертах?
CMDR Jack
Не сфера-то не секрет. Я работаю в крупном фин. брокере.
Pavel
а, тогда понятно) латенси!
CMDR Jack
В том числе.
CMDR Jack
Тут еще очень важен ворос внутренних полиси и процессез
CMDR Jack
А вот их я в контекст принести не могу
Fljúgandi Kettlingur
то есть внутренние полиси вам разрешают ходить между девом и продом?
CMDR Jack
Поэтому обоснование необходимости прям риалтайм дырок остается за кадром.
Fljúgandi Kettlingur
а о каком-то внешнем банковском аудите вообще речь идет?
CMDR Jack
то есть внутренние полиси вам разрешают ходить между девом и продом?
В определенных условиях да :(
Pavel
ну "чисто тест окружение" - это идиллия :)
Fljúgandi Kettlingur
секьюрити нашим это расскажи
CMDR Jack
Не, чуваки, я все понимаю. Да, я тоже за жесткое отделение дева и прода
CMDR Jack
Но в наших реалиях и обозримом будущем этого не будет
CMDR Jack
Девы хотят дырку -- значит бизнес хочет дырку.
Fljúgandi Kettlingur
в идеале еще и корп от них тоже надо отделять, а посередке ставить какой-нибудь jumpnet
Deleted
Поиб должны создавать боль, их для того и нанимают
Fljúgandi Kettlingur
девы всегда хотят все и отовсюду
Fljúgandi Kettlingur
наша работа - примирить их мечты с суровой реальностью
Deleted
В общем Фрося хочет странного, но объяснить свои желания не может
Fljúgandi Kettlingur
Которая говорит, что компрометация одного сервера не должна означать компрометацию всего окружения
Deleted
Я бы посоветовал тоннели на уровне сетевого оборудования
CMDR Jack
в идеале еще и корп от них тоже надо отделять, а посередке ставить какой-нибудь jumpnet
Да, jumpnet это как сейчас. Но коряво, есть машины, на которых и дев, и прод сети
CMDR Jack
А это неприемлимо