PS
REST API для скана
Точно, не нашел, спасибо )
Size: a a a
2020 February 18
DM
Petr Shmotov
Народы, а кто как делал проверку файлов на наличие вредоносного кода, которые закидывают клиенты в сервисы по https api? Кладете рядом с сервисом антивирь и при закачке натравливаете его на файлы? Используете какое-то потоковое решение, которое ставите до сервиса?
По icap многие антивирусы могут сканить.
PS
Denis Migulin
По icap многие антивирусы могут сканить.
Тоже покопаю, спасибо
DK
Petr Shmotov
Народы, а кто как делал проверку файлов на наличие вредоносного кода, которые закидывают клиенты в сервисы по https api? Кладете рядом с сервисом антивирь и при закачке натравливаете его на файлы? Используете какое-то потоковое решение, которое ставите до сервиса?
Про файлы не помню, но в целом с апи было организовано было так: вызов метода проходит через мидлвари, которые проверяют - один инъекции, другой - доступ. И только потом вызов проходит в модуль и, собственно, запрос выполняется.
PS
Про файлы не помню, но в целом с апи было организовано было так: вызов метода проходит через мидлвари, которые проверяют - один инъекции, другой - доступ. И только потом вызов проходит в модуль и, собственно, запрос выполняется.
Вот именно интересно, что за мидлварь юзали
DK
Блин, у нас самописные.
2020 February 19
АХ
Подскажите, а какая практика по размещению Api Gateway в Dmz/Lan? Размещение Api в Lan выглядит заманчиво, но проброс файлов из Wan пока озадачивает..
D
Подскажите, а какая практика по размещению Api Gateway в Dmz/Lan? Размещение Api в Lan выглядит заманчиво, но проброс файлов из Wan пока озадачивает..
Есил речь идет о публично доступном API Gateway, то, очевидно, отталкиваться нужно от соображений безопасности, а не удобства. Можно, например, задуматься над следующим вопросом: что попадёт под удар, если API Gateway будет скомпрометирован? Врядли после обдумывания этого вопроса API Gateway окажется где-либо, кроме DMZ. По этой же причине, практически всегда безопасники запрещают публикацию ресурсов наружу, если они находятся во внутренней доверенной зоне. Если же это приватный шлюз, не предполагающей прямого взаимодействия с ним из недоверенных сегментов, то возможно размещение в доверенной зоне, например Inside ("LAN").
АХ
Перед Api Gateway всегда есть load balancer, IPS, firewall. Если хостить ApiGw в Dmz, возникает отдельный квест с его кластеризацией
DM
Перед Api Gateway всегда есть load balancer, IPS, firewall. Если хостить ApiGw в Dmz, возникает отдельный квест с его кластеризацией
Как кластеризация зависит от зоны размещения?
АХ
Мб проблем и нет, потому и спрашиваю про опыт:) Kuber cluster dmz-lan у кого то работает? Все пучком, нюансов не возникает?
АХ
Обычно на границе зон dmz-lan много разного добра, не добавляющего счастья при взаимодействии нод
DM
Подскажите, а какая практика по размещению Api Gateway в Dmz/Lan? Размещение Api в Lan выглядит заманчиво, но проброс файлов из Wan пока озадачивает..
Если на api gateway лежат какие-то функции безопасности, то он явно должен быть в DMZ. Если только роутинг и прикладные вещи, то можно и внутри.
И сильно зависит от требований местных безопасников.
И сильно зависит от требований местных безопасников.
DM
У нас в DMZ отдельный кластер, а потом еще куча прокладок до LAN. И это боль
АХ
Вопрос мой как раз про поиск мер компенсации, позволяющих эту боль снять) наиболее значимым риском видятся как раз файлы..
АХ
Есть песочницы с проверками но у них скорость как правило не тянет на клиентов..
DM
См. чуть выше, есть синхронное проверка антивирусами. Если он потянет ваши объемы.
Если нет - складывать файлы отдельно и проверять их асинхронно с отправкой уведомлений о результате.
Если нет - складывать файлы отдельно и проверять их асинхронно с отправкой уведомлений о результате.
АХ
Проблема в том, что кто-то должен выделить из обмена именно файловый трафик и отправить по этапам проверки, а на выходе забрать результат..если apiGw в Lan, то нужен поток Lan->Dmz..
RT
Есть тема для вброса. Delphi исполнилось 25 лет:
https://community.idera.com/developer-tools/b/blog/posts/25-years-of-excellence
Идеи, положенные в основу этого инструмента:
1) язык высокого уровня (ObjectPascal) избавит вас от низкоуровневого программирования, позволит сосредоточится на прикладной задаче
2) декларативное построение пользовательского интерфейса, избавляет вас от трудоемкого ручного кодирования верстки UI
Особые “красивости” этим инструментом делать сложно, но типовые задачи автоматизации бэкофиса решаются на отлично.
Смотрю я на современные веб-технологии, на армию фронтенд-разработчиков, вручную кодирующих верстку UI,
и кажется что Delphi должен к нам вернуться в новой ипостаси.
Что думаете?
https://community.idera.com/developer-tools/b/blog/posts/25-years-of-excellence
Идеи, положенные в основу этого инструмента:
1) язык высокого уровня (ObjectPascal) избавит вас от низкоуровневого программирования, позволит сосредоточится на прикладной задаче
2) декларативное построение пользовательского интерфейса, избавляет вас от трудоемкого ручного кодирования верстки UI
Особые “красивости” этим инструментом делать сложно, но типовые задачи автоматизации бэкофиса решаются на отлично.
Смотрю я на современные веб-технологии, на армию фронтенд-разработчиков, вручную кодирующих верстку UI,
и кажется что Delphi должен к нам вернуться в новой ипостаси.
Что думаете?
RT
в следующем году, кстати, будем отмечать 25 лет Java