Сергей Якушев
Парни у меня вот такой вопрос:
Есть мобильное приложение на 1С. Оно взаимодействует с "большой базой" средставми web-сервисов.
С МП предполагаетя работать из сети Интернет. Требуется создать контур безопастности, из которого исключить сервера 1С:Предприятия.
Просто опубликовать web-сервисы на web-сервере с SSL меня не устраивает:
1. Можно устроить DDoS атаку и пострадает сервер 1С:Предприятие
2. Можно устроить атаку по подбору паролей. А вводить сложные пароли на мобильнике так себе идея.
Я вижу 3 пути решения:
1. Поднять VPN и настроить его на телефоне
2. Поднять центр сертификации, а на web-серверах авторизовать клиента по сертифкату, + ИмяПользователя/пароль уже на 1С:Предприятие
3. Поднять прокси-сервер, который будет проверять от клиента заголовки HTTP-запросов (какие-то ключи/токены там передавать), при успехе транслировать запросы на сервер 1С:Предприятие
По поводу п.1
мне все понятно, но не хочется телефоны настраивать. Может быть зря этого боюсь?
По поводу п.2
Мне идея нравится, старый добрый, проверенный способ.
Но есть баг в платфрме 1С:Предприятие. который приводит к падению мобильного приложения. На hotline уже написал, но они пока морозятся.
И мне не удалось установить сертификат пользователя на в Андроид, а потом воспользоваться им из Мобильного приложения. Если интерестно, можно обсудить.
По поводу п.3
Придется порядком переписать мобильное приложение и серверную часть, это решаемо.
Но по поводу самого прокси у меня пока тока нет мыслей... может у вас есть какая-то пища для размышлений или готовые решения?
Я бы рекомендовал историю с VPN. Если данные настолько критичные, а судя по всему это так, то по хорошему вам сразу надо это прятать. 1С "голой жопой" наружу, без ежедневного анализа логов, трафика, тестирования веб сервисов с новыми релизами конфы\платформы, это к скорой беде. Найти "дырочку" в открытом наружу приложении всегда можно при желании. Из вышесказанного вопрос - реально ли это поддерживать на таком уровне?
Если команда безопасников и админов не очень горят желанием и возможностью,то я бы пошел по пути VPN.
Таким образом вы сохраните приватность и останетесь нат"вендорском" стеке без костыликов. А там глядишь шина появится и вопросы эти решит.
Из дельных решений VPN можно взять wireguard там правда нет 2FA уровня сейчас, зато есть очень неплохие клиенты для android и ios. Можно конечно по старинке openvpn, или проприетарные решения (cisco и т.д.)
P.S. вам посоветовали nginx поставить впереди всего, так вот кажется что с безопасность и DDOS он вам не поможет, так как это просто удобны и надёжный прокси\балансировщик\отдаватель статики и т.д..
С DDOS вам может помочь запуск фильтрующего прокси на базе CloudFlare например, у которого есть механизмы определения и блокировки, но тут с 1С могут быть нюансы, надо тестировать...
