Имам docker контейнери, работещи на NAS и един или два от тях вече са настроени за отдалечен достъп чрез реверсивен прокси. Това работи добре и ми харесва, че не е необходимо да отварям портове в рутера (т.е. да пробивам дупки). Реверсивният прокси също принуждава приложенията да бъдат достъпвани само чрез HTTPS, което е приятно.
Обаче, си зададох въпроса: реверсивен прокси за всяко приложение ли? или VPN към локалната мрежа и използване на IP/порт за всяко приложение?
VPN предлага по-малка повърхност за атаки. Реверсивният прокси пренасочва отделните приложения към мрежата, така че ако приложението има уязвимост в сигурността, тя може да се използва и през прокси. VPN ще спре всякакъв трафик към приложението, ако не е правилно удостоверен, така че нападателят ще трябва да разполага с уязвимост в VPN пакета.
Но: всичко зависи от вашата толерантност към риск. Често реверсивният прокси е достатъчен, тъй като не мога да спра решителен хакер с време и ресурси на разположение, но други може да са по-интересната цел.
Сравнение: Не е необходимо перфектно заключване и сигурност на къщата, достатъчно е по-добро от средното за това, което може да бъде откраднато.
Това е интересен подход. Благодаря за информацията. Аз не съм хакер и съм само домашен ентусиаст, когато става въпрос за изграждане на ИТ инфраструктура. Напоследък имаше доста “задънени улици”, където не осъзнавах колко опасна е уязвимостта, докато някой не ми каза. Всяко ново знание е ценено.
За повече контекст, имам няколко docker контейнери, работещи на NAS и те са това, което преминавам през реверсивния прокси (също работещ на NAS). Реверсивният прокси е конфигуриран да приема само HTTPS (с сертификат от Летс Енкрпт) от външната страна. Чувам все повече, че VPN не е “безопасен дом”, който всички си представят. Затова и въпросът.