Certes mais si le coût est la priorité il y a des solutions open sources. Je rejoins l'avis global de la liste. Cela dépend vraiment de beaucoup de paramètre car les reverse proxy (par abus de langage) deviennent souvent stratégique avec le temps.
Le 4 avril 2012 21:59, JF Bustarret jf@bustarret.com a écrit :
On a aussi oublié le paramètre économique : ça dépend de ce que tu as à perdre à une attaque et à dépenser pour t'en protéger...
Avec un peu de trafic, tous ces boitiers et autres, ça coûte !
Le 4 avr. 2012 à 20:56, Pierre Jaury a écrit :
Je ne veux pas paraître rabbat-joie, mais dans la flore moderne du Web qui clignote et qui mange un peu chaque jour des parts du traffic global, il n'y a guère plus de gros LAMP en production (tout court ?) qui serve du HTTP. LAMP (encore que, Apache/nginx avec un PHP fcgi, cluster de base de données déporté sera bientôt plus courant) est là pour servir une application, plus guère de HTTP (bien sûr qu'il sert du HTTP, mais c'est marginal et pas à destination du client final). Par serveur HTTP dans la question originale, j'imagine qu'on entend frontal, et qu'on laisse donc de côté la partie applicative ayant vocation à être sécurisée ailleurs et différemment (sur d'autres machines).
Sécuriser du HTTP, c'est donc essentiellement avaler de la requête dans un premier temps. Outre le hardening classique et très généraliste (filtrage réseau, DOS mitigation, services d'administration sur réseau privé, etc.), on ajoutera une fois que le système tient la charge un firewall couche 7 filtrant basiquement les énumérations et autres burinages pouvant effondrer le système (en veillant à ce que le waf lui même ne s'effondre pas). À vouloir détailler plus, on se retrouve à cheval côté applicatif, auquel cas je rejoins un message plus haut : ça dépend ; mais je crois que c'est hors propos.
On Wed, 2012-04-04 at 19:54 +0200, Florian Maury wrote:
Le 4 avr. 2012 à 16:49, Julien Escario a écrit :
Plus sérieusement, que répondre à ça à part 'ça dépend' ?
"Ça dépend", ça dépasse (toute ma considération à ceux qui retrouveront
la référence).
J'ai écrit, il y a quelques mois, un document sur le renforcement d'une
architecture mutualisée LAMP sous Debian.
Bien que j'ai manqué de temps à la fin, ce qui m'a fait un peu bacler
la fin du document, et trancher un peu trop net mon avis (a.k.a. j'ai trollé à fond ; ces avis n'engagent que moi), je pense qu'il pourra peut être en intéresser certains.
https://x-cli.eu/secfiles/lamp.pdf
Cheers, Florian Maury _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/