#1 Le 06/10/2017, à 09:04
- molarisapa
Sécurité entre Proxy Inverse Nginx Vs Microservice et Docker
Bonjour,
Je suis développeur JEE et je suis en charge de construire des solutions Web qui sont ensuite hébergées chez un Datacenter
J'ai souvent eu l'occasion de lire de très bon post sur ce forum Ubuntu, donc je viens avec un besoin d’éclaircissement bien que cela n'a pas à voir avec Linux. (bien que si au final car tout est sur linux)
Depuis plusieurs années, lorsque nous construisions nos solutions nous avions une configuration "Méthode 1" lorsque nos solutions n'étaient pas dans un Intranet Interne-Entreprise, mais déployées directement sur le Web via de la DMZ:
Méthode 1 - Toutes nos applicatifs/livrables étaient hébergées sur des serveurs "Réseau Interne" + on avait en façade 1 serveur avec juste Nginx installé dessus. Ce dernier était alors le seul en DMZ
Méthode 2 - Dorénavant, depuis que notre hébergeur est en infrastructure Docker, nous avons donc des Stacks qui contiennent à l’intérieur plusieurs services. 1 service = 1 serveur.
Maintenant c'est l'un de ces services qui est directement placé en DMZ. A savoir le service contenant les IHM Web. Ensuite ce service en DMZ contenant le portail IHM Web dialogue avec le reste des services via des Microservices/Webservices.
Je crois que dans cette configuration, Nginx n'a plus lieu d'être.
Après nous, développeur, nous nous adaptons à cette nouvelle offre de service. Je n'ai pas de débat là dessus. Si notre hébergeur à décidé de retirer la configuration de l'anti proxy de son catalogue de service pour être davantage vu comme un Cloud, c'est un choix je le comprend.
Mais du coup j'ai 2 grosses questions, et j'aurai aimé avoir un retour de votre communauté :
1/ Est-ce que la méthode 2 est implicite avec le passage docker, ou est-ce que docker n'a finalement rien à voir dans le choix de ne plus utiliser "Nginx" et de placer en DMZ tout un applicatif Web JEE ?
2/ Est-ce qu'il est vrai que la méthode 1 "Nginx " est bien moins sécurisée que la méthode 2? (C'est la réponse justificative de l'hébergeur pour justifier le passage à la Méthode 2).
J'arrive à le comprendre car elle présente moins de forces de frottement entre applicatifs que la méthode 2, mais en revanche, je trouve que la méthode 2 laisse dans la DMZ beaucoup plus de choses. Ce n'est pas simplement un Nginx, mais carrément tout un applicatif Web avec du javascript, du Java, du JSF, de la configuration Spring Security etc...
Merci pour vos réponses
Olivier
Dernière modification par molarisapa (Le 06/10/2017, à 09:17)
Hors ligne
#2 Le 06/10/2017, à 10:30
- shoot76
Re : Sécurité entre Proxy Inverse Nginx Vs Microservice et Docker
Bonjour,
Je vais tâcher de répondre à tes questions.
Déjà, reposer sur une architecture Docker ne change strictement rien à l'utilisation de NGINX. C'est lui qui gère tes certificats, la sécurités de tes requêtes, les redirections... tu peux faire ça avec un service dans n'importe quel language. Mais faut le développer alors que là c'est tout prêt. Perso, je garde NGINX sur tous mes projets. Docker ou pas.
Utiliser Docker est plus sécurisé. Oui. Si tu vois un peu comment ça fonctionne, c'est un conteneur isolé. Un peu comme une VM mais qui partage les ressources physiques du système plutôt que des ressources émulées. Grosso modo, t'as les bénéfices d'une VM (isolation etc) et les avantages d'un serveur traditionnel. Le beurre et l'argent du beurre en quelques sortes. Maintenant, ton conteneur, si tu veux t'en servir en web, il faut exposer un port. Comme un serveur normal... Donc, si tu veux hacker un conteneur, t'as qu'une seule porte d'entrée (ou deux éventuelles si t'es en HTTP et HTTPS). En général tu vas venir taper sur le reverse proxy (NGINX) sur le port 80. Et après t'es redirigé mais tu sais pas où. Bien sûr c'est pas LA solution anti hack ou DDOS mais tu gères une partie des flux avec NGINX, tu alloues un plafond maxi de RAM à ton conteneur en fonction des besoins et si jamais un jour t'es DDOS, NGINX fait sont taff et dégage les requêtes en trop (si c'est bon configuré) et si jamais t'as un trop plein qui passe, c'est Docker qui se charge de limiter la casse sur le serveur.
Maintenant, tu parles de JEE, donc... de JVM. La JVM permet déjà de réguler ça. Je comprends donc que tu te dise que ça sert à rien. Mais à minima, dis-toi que Docker est une compétence de plus à ajouter sur ton CV. C'est super recherché chez les admins sys et les devs. Autant en profiter 
Bon courage!
~ Data-sientist freelance : https://skulder.fr
Hors ligne
#3 Le 06/10/2017, à 12:04
- molarisapa
Re : Sécurité entre Proxy Inverse Nginx Vs Microservice et Docker
merci pour cette réponse
pour docker je ne vois que des avantages de mon côté. ca simplifie les déploiements, et cela nous rend plus autonome aussi. C'est un mot à la mode, mais on voit bien que cela ajoute de l' "agilité" dans la solution globale.
en fait, finalement, je me demandais juste pourquoi dans ce nouvelle environnement docker, l' hébergeur mettait le service contenant le portail web JEE en DMZ, et non pas finalement un service contenant juste par exemple NGINX, et en laissant ainsi le portail web JEE dans le "réseau non DMZ".
Dernière modification par molarisapa (Le 06/10/2017, à 14:51)
Hors ligne
#4 Le 06/10/2017, à 14:11
- shoot76
Re : Sécurité entre Proxy Inverse Nginx Vs Microservice et Docker
Je pense que ça doit leur simplifier les choses! Je vois pas d'autre explication
~ Data-sientist freelance : https://skulder.fr
Hors ligne
#5 Le 06/10/2017, à 14:52
- molarisapa
Re : Sécurité entre Proxy Inverse Nginx Vs Microservice et Docker
c'est possible. Après tant mieux ça nous fait à nous découvrir les microservices
Hors ligne
#6 Le 06/10/2017, à 16:01
- shoot76
Re : Sécurité entre Proxy Inverse Nginx Vs Microservice et Docker
Je suis pas fan des microservices perso. Ça devient vite le bordel. Tous les patterns ont des inconvénients. Mais cela là j'arrive pas. Je sais pas pourquoi ^^
~ Data-sientist freelance : https://skulder.fr
Hors ligne