Skocz do zawartości
Zaloguj się, aby obserwować  
abcweb

Dostęp kilku jednostek do aplikacji internetowej

Polecane posty

Witam. Na codzień zajmuje się web designingiem i tworzeniem prostych aplikacji w PHP i MySQL. Jako że ostatnio zacząłem się coraz bardziej interesować tematyką administracji serwerów (w szczególności bezpieczeństwem), zastanawia mnie jedna kwestia, pośrednio związana z oboma dziedzinami przeze mnie wymienionymi.

 

Sytuacja przedstawia się następująco - załóżmy, że stworzyłem aplikację internetową do zarządzania danymi osobowymi dla oddziału pewnej instytucji (baza osób, raporty na podstawie ich danych itd.), zakładam oczywiście, że z poziomu PHP i MySQL jest przyzwoicie zabezpieczona. Aplikacja zostaje umieszczona na serwerze VPS. Okazuje się, że moja aplikacja na tyle się spodobała, że również inne oddziały zamierzają ją wprowadzić dla swoich potrzeb.

 

I teraz w jaki sposób najlepiej zaplanować umożliwienie dostępu do tej samej aplikacji wszystkim oddziałom? Co byłoby najbardziej właściwe z punktu widzenia bezpieczeństwa i ochrony danych osobowych? Czy umieszczenie tej aplikacji na jednym serwerze VPS i utworzenie na nim osobnych kont bazodanowych dla każdej z instytucji byłoby właściwym rozwiązaniem? Czy też najlepiej by było dla każdego z oddziałów wykupić osobny VPS? A może sugerujecie skierować się raczej z szukaniem rozwiązania w kierunku VPN? W jaki sposób podobne sytuacje się zazwyczaj rozwiązuje?

 

Ogólnie chodzi mi o rozwiązanie, które maksymalnie ogranicza dostęp osób trzecich do takiego systemu i siłą rzeczy ogranicza możliwość wszelkich ataków. Z góry dziękuję za wszelkie informacje.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To zależy. Teoretycznie jak będziesz miał osobne bazy danych na jednym serwerze VPS to jest możliwość, że jak ktoś się dostanie do VPSa to będzie miał dostęp do wszystkich baz.

Przy założeniu jedna baza, jeden VPS zabezpiecza Twoje inne bazy danych w przypadku jak opisałem powyżej.

 

VPN - co chciałbyś przy pomocy tego uzyskać?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

VPN zabezpieczy ci co najwyżej połączenie client <-> server

 

Najlepszym rozwiązaniem będzie moim zdaniem:

 

po 1. upewnić się że skrypt jest w miarę bezpieczny

po 2. zlecić komuś (firmie) zabezpieczenie VPS

 

 

Co do rozszerzenia dostępności dla innych oddziałów. To czy oba oddziały będą korzystać z tej samej bazy klientów (te same dane?) czy różne a struktura bazy poprostu będzie ta sama?

 

Bo moim zdaniem najlepszym rozwiązaniem będzie 1 baza = 1 oddział z innymi danymi do logowania i bez specjalnych uprawnień dla każdego usera.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Po pierwsze przez VPN nie przepuścisz połączenia klient => serwer #1 (VPN) => serwer #1, bo tak routing nie działa. Po drugie kieruj się techniką najmniejszych przywilejów. Można założyć kilka baz danych, każda baza ma swojego usera i każda "instancja" Twojej aplikacji własną bazę. Wtedy jeśli załóżmy aplikacja nie ma dziur to bez hasła/usera nawet ktoś kto ma dostęp do tej aplikacji nie dojdzie do reszty. Pamiętaj, że nie ma nic bezpieczniejszego niż brak fizycznego dostępu.

 

Najlepszym rozwiązaniem są osobne dedyki, VPS'y, a przynajmniej jądro i jego bezpieczeństwo zależy głównie od serwera-matki. Musiałbyś kupić VPS'y z XEN'em, a i tak nie masz pewności, że dane są "bezpieczne", w przypadku dedyka już tak jest bo do tego samego dysku/ramu nie ma nikt inny dostępu, także Dedyk > VPS pod względem takiego bezpieczeństwa, które "można zrealizować".

 

Myślę, że bardzo fajnym rozwiązaniem w Twoim wypadku będzie kupienie dedyka i postawienie na nim kilku zamkniętych XEN'ów, dość dobrze zabezpieczonych. Fizyczny dostęp zabierasz, więc nawet jeśli ktoś się włamie do danego kontenera/bazy danych to nigdzie wyżej nie pójdzie, zakładając że aplikacja sama w sobie nie ma dziur. Jest to jednak rozwiązanie dość kosztowne (ale najbezpieczniejsze) i ogółem myślę, że spokojnie idzie osiągnąć podobny efekt na pojedynczym dedyku/vps'ie. Także sam zdecyduj co jest najlepsze w Twoim wypadku, wirtualizacja kilku środowisk zawsze będzie słabsza wydajnościowo niż pojedynczy serwer.

Edytowano przez Archi (zobacz historię edycji)
  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Przyznaję, pisałem szybko i propozycję VPN rzuciłem trochę bez przemyślenia, na zasadzie żeby rozważyć wszelkie możliwości.

 

Rozumiem, że wzięcie VPS z administracją jest w zasadzie równoważne z zleceniem komuś zabezpieczenia tego serwera? Moje założenie obejmowało sytuację, w której struktura kodu (i bazy danych również) dla każdego z oddziałów jest jednakowa, natomiast każdy z nich ma swoją bazę osób - każdy z oddziałów działa na swoim terenie. Przykład choćby: wojewódzki związek sportowy i kilkanaście podlegających mu okręgowych związków. W każdym razie dziękuję za bardzo konkretne odpowiedzi :)

 

Archi, o jakim koszcie mówimy (tak zupełnie orientacyjnie) w przypadku "bardzo fajnego rozwiązania"? :)

 

P.s. Co do potrzeb odnośnie wydajności, to na ten moment mówimy o prostych aplikacjach a'la CRUD, dla mniejszych instytucji / firm.

Edytowano przez abcweb (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość

Na Twoim miejscu wziąłbym root VPS (bez zarządzania) i zlecił jakiejś poważnej firmie.

 

Większość takich usług administracyjnych jest budżetowa i pewnie admin siedzi 1h przy twoim serwerze w ciągu miesiąca. Przez taki czas to nic nie zrobi sensownego.

 

Najlepiej skontaktuj się z takimi firmami jak: sys-com czy mzone

 

Zerknij tutaj: http://www.mzone-net.eu/index.php?d=administracja chociażby i zobacz jakie są pakiety godzinowe / mc

 

Cena jest równoznaczna z ceną takiego serwera z administracją, więc chyba nie sądzisz że ktoś się nim sensownie zajmie ;)

Firma http://sys-com.pl/ jest dość często polecany na tym forum, więc proponuję zadzwonić bądź napisać do Miłosza.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To, o czym piszę, to raczej kwestia kilku najbliższych miesięcy, niż dni, ale faktycznie opcja godna rozważenia :) A jak wygląda kwestia wydajności serwerów VPS? To znaczy orientacyjnie na jaki miesięczny koszt dla takiego serwera musiałbym się nastawić, dla powiedzmy 15 oddziałów niespecjalnie intensywnie korzystających z takiej aplikacji? Zakładając mniej rygorystyczną opcję z osobnymi bazami i jednym VPS. Czy w sumie wraz z administracją byłby to koszt powiedzmy poniżej 2500 zł rocznie?

Edytowano przez abcweb (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wszystko zależy od optymalizacji Twojej aplikacji, jednak VPS na nieobciążonej matce i z dobrze skonfigurowanymi usługami nie powinien mieć problemu.

 

Co do koszta - zależy to od firmy, jedna sprzeda Ci VPS'a za pińć złoty, druga za nieco więcej.. różnicę między tymi dwoma zapewne sam zauważysz ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Co do jakości to rozumiem, że nie ma co oszczędzać :) Bardziej chodzi mi na który pakiet się nastawiać - czy te tańsze opcje (w ramach oferty solidnej firmy) powinny okazać się wystarczające, czy też przypuszczalnie nie obyłoby się bez opcji o wysokich parametrach? Mówimy tu dalej o prostych aplikacjach typu CRUD i bazach danych góra 300-400 osób.

Edytowano przez abcweb (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Po pierwsze pod takie aplikacje nie stosuje się serwerów wirtualnych w jakiś tam firmach, a osobny sprzęt bądź jakąś sensowną chmurę.

Jest to aplikacja via www, więc wystarczy SSL.

Jeżeli to poważna firma to pewnie w oddziałach ma stałe IP więc można dostosować politykę bezpieczeństwa opierając się o nie i kwestia bezpieczeństwa się dość szybko poprawia.

Jeżeli mają z tego korzystać pracownicy w "terenie" zostaje skonfigurować firmowy VPN.

Na pewno taki serwer musi przygotować ktoś kompetentny, a nie osoba która myśli że jest.

Za 200 zł netto msc na pewno nie weźmie żadna firma odpowiedzialności.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Po pierwsze pod takie aplikacje nie stosuje się serwerów wirtualnych w jakiś tam firmach, a osobny sprzęt bądź jakąś sensowną chmurę. Jest to aplikacja via www, więc wystarczy SSL. Jeżeli to poważna firma to pewnie w oddziałach ma stałe IP więc można dostosować politykę bezpieczeństwa opierając się o nie i kwestia bezpieczeństwa się dość szybko poprawia. Jeżeli mają z tego korzystać pracownicy w "terenie" zostaje skonfigurować firmowy VPN. Na pewno taki serwer musi przygotować ktoś kompetentny, a nie osoba która myśli że jest. Za 200 zł netto msc na pewno nie weźmie żadna firma odpowiedzialności.

 

Dokładnie tak jak @patrys pisze wyżej. VPS'y same w sobie nie są zbyt bezpieczne bo chcąc nie chcąc współdzielisz swoje zasoby z innymi użytkownikami, jasne z poziomu VPS'a nie da się odczytać danych innych userów, to oczywiste. Ale jeśli mówimy tu o bezpieczeństwie na dość przyzwoitym poziomie to to jest z góry niedopuszczalne.

 

Dlatego właśnie mówię, że albo dobrze zabezpieczony dedyk i ew. podział tego dedyka na XEN'y (masz pełny wgląd w to co się dzieje i sam odpowiadasz za pełne bezpieczeństwo serwera) albo jakaś sensowna chmura, optymalizacja i bezpieczeństwo infrastruktury. Osobiście jestem za dedykiem, gdzie koszty zaczynają się od mocno budżetowych za 100 zł, a dochodzą do mniej więcej 200-300 na miesiąc. Zależy od firmy, supportu, lokalizacji.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeśli chcesz początkowo lecieć po kosztach, to zainteresuj się VPSem z możliwością zwiększenia parametrów w razie potrzeby (np. więcej ramu/cpu). Dokładne stwierdzenie ile takich oddziałów postawisz na jakim sprzęcie jest możliwe dopiero po sprawdzeniu generowanego obciążenia - nikt Ci nie powie przykładowo "bierz najtańszy pakiet za 19pln/mc, uciągnie 10 oddziałów" bo równie dobrze może zajechać go jeden ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki panowie za naprawdę kompleksowe naświetlenie mi różnych możliwości rozwiązania tego problemu :) Szczerze mówiąc, to teraz widzę, że tak naprawdę wybór konkretnego rozwiązania będzie zależał w dużej mierze od woli i możliwości osoby zamawiającej tego typu aplikację, po wcześniejszym nakreśleniu za i przeciw dla każdej z opcji.

 

Jeszcze przy okazji, czy moglibyście mi polecić coś do poczytania n.t. Cloud Computingu / Cloud VPS? Ewentualnie jakieś solidne oferty w polskim wydaniu? Moja wiedza w tym temacie jest póki co mglista, a to również wydaje się być ciekawą opcją. Jeszcze raz dzięki wszystkim za informacje.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Odgrzewam temat. Generalnie jestem zdecydowany na coś w tym stylu, pewnie do dwóch miesięcy ruszam:

 

Myślę, że bardzo fajnym rozwiązaniem w Twoim wypadku będzie kupienie dedyka i postawienie na nim kilku zamkniętych XEN'ów, dość dobrze zabezpieczonych. Fizyczny dostęp zabierasz, więc nawet jeśli ktoś się włamie do danego kontenera/bazy danych to nigdzie wyżej nie pójdzie, zakładając że aplikacja sama w sobie nie ma dziur. Jest to jednak rozwiązanie dość kosztowne (ale najbezpieczniejsze) i ogółem myślę, że spokojnie idzie osiągnąć podobny efekt na pojedynczym dedyku/vps'ie. Także sam zdecyduj co jest najlepsze w Twoim wypadku, wirtualizacja kilku środowisk zawsze będzie słabsza wydajnościowo niż pojedynczy serwer.

 

I teraz pytanie - czy jestem w stanie kupić własną maszynę do około 5000-6000 złotych i ją kolokować w okolicach Krakowa / Katowic, czy też raczej zdecydowanie radzicie mi postawić na zwykły hosting dedykowany, podobny np. do oferty Atmana Eco SM 2013? Czy jestem w stanie kupić serwer o podobnych parametrach mieszcząc się w podanym budżecie, oraz ile ewentualnie i zupełnie orientacyjnie wyniosła by cena kolokacji takiego serwera?

 

W sumie odpowiedź na oba pytania jednocześnie bardzo mile widziana :) Wykorzystanie to około 20-25 prostych aplikacji internetowych z niewielkimi bazami PostgreSQL i podobna ilość stron o oglądalności, bardzo orientacyjnie, 1000 UU miesięcznie. Bardzo dziękuję za wszelką pomoc.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To nawet serwer VPS mocniejszy będzie dobry :)

 

Ze względów bezpieczeństwa (dane klientów) wolałbym dedykowany, mam możliwość również kupna własnej maszyny. Oczywiście te potrzeby to tak zupełnie początkowo i orientacyjnie, chciałem zacząć bezpiecznie ;) Serwer dedykowany wybiorę w przypadku, gdy stwierdzicie, że nie jestem w stanie kupić własnego serwera o podobnych parametrach, jak w podanej ofercie, albo że ogólny koszt kupna i kolokacji przerósłby koszt dzierżawy.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Moim zdaniem dzierżawa (wynajem) serwera będzie dla Ciebie najlepszym rozwiązaniem w przypadku jednego serwera. Pomyśl ze jak coś się zepsuje to ty lub Twój administrator musi jechać do serwerowni, płacić za wejście pod okiem specjalisty do swojego serwera i go zdiagnozować i wymienić np. dysk, ram czy co tam się zepsuło i tu masz dodatkowe koszta.

 

Przy jednym serwerze podejrzewam że cena kolokacji będzie niewiele tańsza od serwera dedykowanego kupiona w tej samej firmie lub partnerskiej.

 

Pamiętaj że jeżeli się nie znasz to jeszcze musisz zapłacić komuś kto:

 

1. Skonfiguruje serwer

2. Zoptymalizuje pracę aplikacji

3. Będzie doglądał serwera co jakiś czas

4. Zabezpieczy serwer

 

Napisz do jakieś firmy np.: http://sys-com.pl/ i poproś o wyliczenie ile co będzie kosztowało. Później napisz do innych firm o przygotowanie innych ofert i wybierz najlepszą. Skontaktuj się z minimum 5 firmami żeby mieć już jakiś pogląd na sytuację.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki wielkie za pomoc. Jeszcze tak dla pełnego oglądu sytuacji, serwer o jakich parametrach byłbym w stanie samodzielnie kupić w granicach tej kwoty, o której mówiłem (najlepiej około 5000 zł)? Byłaby to porównywalna maszyna do tej oferty hostingu dedykowanego, o której pisałem, lepsza, czy słabsza? Tutaj mam słabe rozeznanie, mile widziane konkretne propozycje. Zapewne decydowałbym się na jakąś formę administracji, chociaż solidne podstawy w temacie konfigurowania serwera WWW już mam, a i liczę, że z czasem będzie w tym względzie tylko lepiej. Chcę po prostu sobie na spokojnie obie opcje przeliczyć i przeanalizować, również w kontekście kolejnych lat, nie chcę pochopnie się na którąkolwiek z tych opcji decydować ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

5000zł to raczej używka jakaś pewnie. Rozejrzyj się na allegro, ale nie kupuj na allegro :D

 

Są firmy, które dostarczają sprzęt serwerowy --> Google :)

 

Na cuda jakieś nie licz bo rakieta nie będzie, ale podejrzewam że na Twoje małe potrzeby to coś się by znalazło. Napisz też może do jakichś firm hostingowych może mają na sprzedaż jakiś sprzęt lub mogą pośredniczyć w zakupie czegoś lepszego :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Kolokowanie pojedynczego serwera z zasady mija się z celem, gdyż kolokacja w gruncie rzeczy ma zmniejszyć ogólne koszta, a nie je powiększać. Inną sprawą jest tworzenie własnej infrastruktury sieciowej.
A ze względu na to, że jest to bardziej skomplikowana sprawa od dzierżawy serwera, jednak wpuszcza się "coś" do swojej infrastruktury to koszta kolokacji będą porównywalne z dzierżawą pojedynczego małego serwera. A gdzie tu jeszcze oszczędność z tytułu wyłożenia kilku tysięcy na sprzęt z góry, a nie daj b. coś się jeszcze zepsuje to koszta rosną.

Wcześniej nie potrzebnie nastraszyli Cię, że w razie awarii Twój administrator będzie musiał jechać na miejsce, będziesz musiał płacić za niańkę dla niego etc.. W każdej cywilizowanej serwerowni istnieje taka usługa jak remote-hands. A więc administrator serwerowni wykonuje zadania, które mu powierzysz. W przypadku awarii sprzętowych sobie poradzą oraz poinformują o tym jakie dalsze kroki należy podjąć, a w przypadku problemów z software podepną KVM. Chociaż osobiście nie wrzucałbym w kolokację sprzętu, który nie ma karty zdalnego zarządzania z KVM.

Osobiście poszedłbym w kierunku wydzierżawienia jakiejś nowoczesnej platformy na i3/e3. Koszta przykładowego HP DL 120 G7 8GB RAM, 2xSATA + iLO Advanced + HW raid z podsiecią /29 z transferem 10TB na łączu 100Mbps wyjdą w granicy 300-350zł netto u nas w firmie. Przez ILO3 wrzucasz sobie obraz np. proxmoxa i uruchamiasz kontenery na openvz lub wirtualki na KVM i spełniasz założenia podane wcześniej w temacie.
Gdyby rozejrzeć się po innych ofertach w Polsce to jeszcze jest homecloud,sprintdatacenter, eco atman, gdzie w podobnej cenie dostaniesz platformę z supermicro, a więc zazwyczaj pewnie też dostaniesz dostęp do IPMI. Nie wiem jak w tych firmach z polityką sieciową, ilością przydzielonych adresów ip itd.. To już kwestia kontaktu z firmą, której oferta Cię zainteresuje.

Szukając kolokacji dla jakiegoś sprzętu zapłacisz ze wszystkim co najmniej 250zł netto. Różnica to około 100zł netto, a przy tym nie martwisz się o zapasowy sprzęt i ewentualnie powiększone koszta. Nie trudno policzyć, że dopiero po 50 miesiącach Twój sprzęt zacznie się zwracać. ; )
A po tych 4 latach będzie wart zdecydowanie dużo mniej.

  • Upvote 3

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No tak, ale remote hands chyba dodatkowo płatne? :)

 

W każdej normalnej serwerowni remote hands jest wliczone w cenę do X czasu interwencji. A nawet, gdyby było dodatkowo płatnę jest to zazwyczaj kwota około 100zł za godzinę pracy administratora.

Więc dużo dużo mniej, aniżeli wysyłanie swojego administratora na mniejsce.

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×