"qualsiasi comunicazione server to server, anche backend-backend, o sulla stessa lan, dovrebbe avvenire in maniera criptata".
L'idea è che sempre pià spesso gli attacchi avvengono dall'interno e quindi ok che anche l'accesso a tool interni deve avvenire in https e che gli accessi solo in ssh con privilegi separati, cioè ognuno deve entrare solo nei server di competenza e in questa fare solo ciò che gli spetta, e tracciare come si deve gli accessi.
Ma la paranoia a me pare una esagerazione che rischia di sfociare in falsa sicurezza.
Tecnicamente ci si dovrebbe proteggere da un men-in-the-middle interno, anche sulla stessa lan.
Cioè se buco un server sulla stessa lan e snoopo il traffico degli altri non devo poter leggere i dati che transitano.
Però alcuni flussi/protocolli/servizi/software vanno riscritti da zero.
Comunicazioni con oracle: si, oracle consente la criptazione delle connessioni, ma tanti driver non sono pronti o l'applicativo non li sfrutta appieno. Idem con mysql.
Io gestisco mailserver e webserver; la maggior parte dei webserver hanno apache in frontend che inoltrano poi su tomcat di backend; si, si possono mettere i tomcat in ascolto in ssl e forwardare su quella porta (ma mi perdo le ottimizzazione di ajp e modjk); i mailserver hanno un relay in frontend in ascolto in ssl che poi inoltra in backend in smtp; anche quà potrei attivare lo starttls.
Poi la comunicazione criptata di suo non inficia sulle performance, ma l'apertura della connessione ssl si, e di tanto.
Di un servizio importante l'abbiamo fatto ed abbiamo rollbackato perchè ammazzava le cpu. E' un servizio che fa un mare di request piccole e atomiche, quindi apre una connessione nuova ad ogni request; lo scambio di certificati e generazione chiavi di criptazione sdraiava tutto (fermo restando che all'apertura della connessione ssl viene passato l'intero certificato e catena di certificazione, quindi diversi KB).
E poi ci sono software proprietari, alcuni dei quali datati o non supportati.
Per questi e per quelli che fanno connessione atomiche che ne pensate di stunell?
In generale che ne pensate di questa panoramica e che esperienza avete?
Per me prima di riuscire a farmi un men-in-the-middle in backend devi avermi già bucato vari layer, quali gli switch di rete stessi per esempio; poi quando c'è in giro la virtualizzazione non ti basta nemmeno quello.
