|
|||||||
|
|
|
 |
|
|
Strumenti |
29-10-2024, 18:49
|
#41 | ||
|
Senior Member
Iscritto dal: Nov 2001
Città: Kendermore
Messaggi: 6660
|
Quote:
Io posso avere il backend collegato con una vpn site-so-site con tutte le regole più rigide del mondo, posso collegarmi ad un servizio di terze parti con mutua autenticazione con i certificati, posso fare quello che voglio. Poi invece ti riferisci a qualcuno che si collega al mio servizio e si basa unicamente sull'ip per trustare la comunicazione (e quindi la CDN di Cloudflare gli rompe le scatole perchè l'hostname che uso per esporre il servizio viene risolto con millemila ip), beh allora in quel caso il problema è suo, non certo mio, perchè basarsi su qualcosa di inaffidabile come l'ip (leggasi ip spoofing) per trustare una comunicazione è una cosa che è passata di moda da vent'anni... Poi signori, siamo nell'anno di grazia 2024, tutti i servizi più critici e utilizzati al mondo stanno dietro CDN, le linee guida stesse delle agenzie per la sicurezza raccomandano l'uso di CDN. Quote:
La configurazione del FW non passa per magia da un dispositivo all'altro. Quante gente sa mettere mano a un FW? Non dico roba enterprise o carrier grade, ma anche banalmente un PFSense o un Fortigate di fascia SOHO. Il DNS, si fa in fretta a dire "spostato i dns", ma ammesso che sia un'operazione banale o indolore (e non lo è), è sempre qualcosa in più da fare, mentre invece nell'altro caso non ti poni proprio il problema. E poi dipende, i servizi che stai hostando sono tutti esposti con hostname di domini che controlli tu? Perchè se non è questo il caso (es dominio X gestito da cliente Pippo, dominio Y gestito da cliente Pluto, dominio Z gestito da cliente Paperino) ti tocca fare il giro del cliente Pippo, Pluto e Paperino e chiedergli di cambiare il record X, Y o Z con il nuovo ip che gli fornirai, loro si prenderanno il loro tempo, magari dovranno ingaggiare qualcuno per farlo perchè non hanno il personale, etc etc etc... morale della favola: passano settimane. E il reverse proxy? Ne avrai almeno uno sul nuovo site per pubblicare i servizi, mica farai nat su un ip pubblico diverso per ciascun server che ospita qualcosa, giusto? Eh pure su quello bisogna mettere mano. Vedi? Son tanti i dettagli. Con una esposizione mediante Cloudflare Tunnel è tutto molto più semplice, prendi la vm dove gira il servizio e cloudflared e la sposti, nel momento in cui è in rete e può fare traffico in outbound il servizio è ripristinato. Puoi usare hostname di 100 domini diversi, in carico a Pippo, Pluto e Paperino, ma se il token di cloudflared non cambia tu il servizio lo puoi spostare ovunque e sarà sempre pubblicato con lo stesso hostname e con lo stesso certificato, anche se fosse il tuo portatile. E' tanta roba eh... Poi uno può anche rispondermi che non gli sta bene perchè tutte quelle attività di cui sopra danno lavoro a tanta gente, il tecnico di rete, lo specialista del FW, quello che deve cambiare i record sul DNS, etc etc... Lo capisco eh, però non stiamo ragionando di questo, dal punto di vista tecnico con servizi come Cloudflare Tunnel tutte quelle attività sono di fatto inutili per la pubblicazione di servizi, serviranno sicuramente per altre attività ma non per pubblicare servizi online.
__________________
https://tasslehoff.burrfoot.it | Cloud? Enough is enough! | SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." |
||
|
|
|
31-10-2024, 15:11
|
#42 |
|
Member
Iscritto dal: Dec 2016
Città: Toulouse/Montpellier/Melbourne
Messaggi: 295
|
la cosa dei tunnel CF, com'erano anche i vari ngrok ai tempi d'oro è ottima per certi ambienti, ma si può generalizzare solo finché si parla di determinati tipi di dispositivi in azione e solo in determinati scenari.
non è difficile trovarsi in situazioni nelle quali questo non sia proprio possibile, vuoi per requisiti di latenza, legislazione, dispositivi non programmabili a piacere, reti air-gapped e via dicendo. esempio stupido: un'ambulanza ha dispositivi ECG e Echo doppler che producono risultati da caricare in tempo reale su un server DICOM presente in un pronto soccorso. 4-700 MB ad Echo, me la posso permettere la latenza di un tunnel? Il tunnel è E2E-atomic, come faccio un audit sugli accessi visto che è per definizione impossibile? che gli dico al legislatore prima ed al controllore poi? come imbastisco un tunnel su un diavolo di coso per l'elettrocardiogramma ha giusto un PIC-qualcosa e forse 32MB di ram? hai voglia di docker e VM... In una catena complessa l'anello debole ci sarà per forza, ma mettersi in mano ad un terzo quando puoi evitare, in certi casi, vuol dire cercarsele proprio. Per donare l'ordine di grandezza, dispositivi e personale interfacciati sono circa 500.000 ad oggi, nella sola Francia, con crescita a doppia cifra anno su anno. Non 40 dispositivi in croce nella loro nicchia. Mettiamocene altri 2 milioni in mano alle FDO, in aumento. ma pure l'automazione, industriale e non. i semafori di tolosa, lione, parigi ed altre grandi città sono in rete con sensori e camere sul territorio per migliorare la fluidità del traffico. in aumento. circa 12 milioni di veicoli sono dotati di black box connesse, in aumento. e via via dicendo... nel mondo IoT laddove la latenza sia ancora ancora tollerabile, si tira avanti coi NAT, ma già ora si cominciano a fare salti mortali per starci dentro. altroché "gira anche su un rasberryPi". grazie al c... che ci gira, ma quello è grasso che cola. ma se già prendi scenari, nemmeno troppo "esotici", come tutti quelli real-time a partire dal mondo finance passando per i millemila servizi di monitoring, IPv6 ti risolve un problema in modo banale senza coinvolgere attori terzi, con annessi limiti, rischi, costi e faccende di non-compliance che possono derivarne. quando hai letteralmente milionate di dispositivi che producono dati, in crescita vertiginosa, devi farci business intelligence sopra, rapidamente e con tutti i crismi del caso, il mondo ZT, ZTA e ZTNA mettono la loro pezza, e bene, sulla sicurezza E2E. ma lo scenario è molto più ampio, così come la sicurezza non può focalizzarsi solo sul E2E lo dico da grande estimatore dei CF tunnel, che uso da qualche tempo anche io
__________________
ds/dev, del resto non me ne intendo |
|
|
|
|
31-10-2024, 16:08
|
#43 |
|
Senior Member
Iscritto dal: Feb 2021
Messaggi: 821
|
Guarda che il tunnel lo metti sul server e nei due esempi che hai fatto il tunnel funzionerebbe, l'ECG lo puoi archiviare se il dispositivo supporta STOW-RS (un dispositivo portatile dovrebbe nel 2024), i dispositivi IOT se comunicano tramite web-service http possono funzionare tranquillamente.
Questo tipo di tunnel funziona solo se il traffico è HTTP (CloudFlare ha limitazioni sulle dimensioni del POST). |
|
|
|
22-11-2024, 12:18
|
#44 | ||||||||||
|
Senior Member
Iscritto dal: Aug 2005
Città: Firenze
Messaggi: 1446
|
Quote:
Considera che nel mondo bancario tu ti colleghi ad un ip pubblico loro che fa passare i dati solo se usi una VPN con IP pubblico tuo fisso. Praticamente per usare il loro ip pubblico i tuoi pacchetti devono girare su una connessione privata fra di voi, dove il tuo IP deve corrispondere anche all'indirizzo su cui dai servizio. Il privato è più semplice... Quote:
E sul mettere le mani, se sei una piccola entità o hai un FW preso da Amazon su consiglio "dell'esperto" o hai chi te lo gestisce, magari lo stesso provider che ti dà la connettività e quindi puoi avere ritardi problemi. Se stai gestendo una struttura grande lo sai per forza fare o hai dei collaboratori che lo sanno. Per darti un'idea, lo studio professionisti (avvocati, geometri, etc.) probabilmente ha questo problema, un'azienda da 30 dipendenti che si occupa di gestire il traffico di spedizioni con gli aerei cargo decisamente no. Quote:
Ovviamente richiede che tu sappia i concetti di come funzioni un DNS. Quote:
Pure il nas che ho a casa lo fa da solo... Ma ci sono casi in cui questo non lo puoi fare. Quote:
Per quei pochi che non ho questa facoltà le cose sono pianificate e i tempi di risposta sono più corti dei TTL del DNS. E' chiaro che ti occupi di clienti piccoli o molto stazionari. Quote:
I reverse proxy, lato LAN, puntano sempre ad indirizzi interni che se sposti tutto (come l'esempio che ti ho fatto) non viene toccato. In tutta la mia vita i reverse proxy li ho toccati solo per aggiungere nuovi servizi o togliere quelli deprecati. Mai toccati anche nel caso di cambio completo della connettività del site. Anzi, ti dirò di più. Con le attuali configurazioni dei DNS e dei server, non li tocchi neanche se salta tutto e devi andare sul Disaster Recovery posizionato in un site geografico diverso e che ha per forza un'altra classe LAN. Ovviamente solo per quei clienti che non hanno un "Alvays On" su due site geografici diversi, perchè sennò il problema di configurazione non esiste neanche. Quote:
Quote:
Quote:
Quote:
__________________
Utilizzo: Samsung: Galaxy Book Pro 360 i7-1165G7-16GB-SSD 512GB -|- Monitor 49" 32:9 C49J890 Galaxy Note 10+ SM-N975F H3G -|- Galaxy Note 10.1 2014 Ed SM-P605 -|- Galaxy S20 FE SM-G780F H3G Ultima modifica di gsorrentino : 22-11-2024 alle 12:26. |
||||||||||
|
|
|
|
22-11-2024, 22:57
|
#45 | ||||||||||||
|
Senior Member
Iscritto dal: Nov 2001
Città: Kendermore
Messaggi: 6660
|
Quote:
Io mi riferivo a coloro che si illudono di poter trustare un servizio solo perchè è in ascolto su un indirizzo ip specifico o una specifica subnet, è follia. Quote:
Non è così, e le aziende non sono rimaste congelate agli anni '90 dove c'era necessariamente il Centro Operazioni Rete o il tecnico di datacenter, per carità ci sono ancora ma non è scontato che sia così. Io ad esempio lavoro per una realtà del genere, e ti assicuro che pur non avendo alcuna infrastruttura fisica (giusto il routerino ethernet per le ftth delle nostre sedi) abbiamo una infrastruttura decisamente più complessa dei nostri clienti da 10 o 20k dipendenti e datacenter a non finire. A prescindere da questo tu pensi che chi invece ha ancora il datacenter, router, bilanciatori F5 sparsi ovunque e tutto il cucuzzaro hw che si porta dietro non possa beneficiare di una CDN e un servizio tipo Cloudflare Tunnel? Io ho schiere di direttori e funzionari di PA che farebbero carte false per liberarsi di tutto il circo volante del datacenter, e pian piano lo stanno facendo, perchè se devi pubblicare un servizio, tra farlo con 3 click e Cloudflare Tunnel e dover passare settimane di riunioni per definire, regole fw, reverse proxy, modifiche dns, compilare modulistica, comprare i certificati (e trovare il modo di pagarli), far fare ai moduli il giro delle 7 chiese per le firme di rito, poi moduli che rimbalzano indietro perchè qualcuno non li ha capiti o non si è inteso su chi deve fare il terminatore ssl, e rifare call... etc etc... solo un pazzo preferirebbe la seconda opzione rispetto alla prima. Quote:
Non si tratta di sapere o non sapere cos'è e come funziona un DNS, non si tratta di rocket science, il problema non è il DNS in se ma è il casino organizzativo che comporta una modifica al DNS. Guarda ti faccio un esempio banalissimo che mi è successo nelle scorse settimane. Migrazione di un portale da una istance a un cluster K8s, cambia l'ip pubblico da quello della instance al load balancer davanti agli ingress K8s. Il portale rispondeva a diversi hostname di diversi domini, per alcuni di questi domini la gestione era nostra (lavoro fatto in 3 min + tempi di propagazione ridicoli grazie a TTL abbassato appositamente nei giorni precedenti), in altri no. Risultato: la migrazione che doveva essere completata in 1h max si è conclusa dopo più di 2 settimane, perchè chi doveva modificare i record su alcuni domini non si svegliava, questo ha creato una coesistenza dei portali sui due ambienti, casino di riallineamento contenuti, redattori nel panico, etc etc... Come vedi le criticità non sono solo tecniche, sono anche organizzative e logistiche. Se questi portali fossero stati sotto Cloudflare Tunnel la migrazione sarebbe stata pressochè istantanea, e nessuno, ma proprio NESSUNO avrebbe dovuto nemmeno preoccuparsi del DNS, nel momento in cui partiva il deployment con cloudflared sul cluster K8s tutto avrebbe preso ad girare sulla nuova infrastruttura, seplice e pulito. Quote:
Quote:
Quote:
Ma a prescindere da questo capisci anche tu che c'è una bella differenza tra "da me fila tutto liscio perchè i miei clienti sono bravi" a "uso un servizio che non richiede l'intervento del cliente e intervengo direttamente dalla console". Se i tuoi clienti sono skillati, pazienti, efficienti, veloci, buon per te... ma non è scontato che sia così, e anzi nella gran parte dei casi non è così. Se i tuoi clienti non sono skillati, pazienti, efficienti e veloci casca tutto il castello di carte, non sei d'accordo? Se il tuo cliente ci mette 2 settimane per cambiare un CNAME sul dns e non sa cos'è il TTL che fai? Cambi cliente? Gli puoi anche chiedere di passarti la gestione del DNS, ma se non vuole non puoi certo costringerlo... Quote:
Quote:
Ti faccio un esempio, metti che il tuo datacenter viene smantellato e tutti i servizi migrati su un provider cloud, o migrati su un mega cluster K8s. Pensi che la topologia della tua rete resterebbe la stessa? Pensi di non dover toccare la configurazione del tuo reverse proxy? Ma senza arrivare a questi estremi (estremi mica tanto visto che sono ormai casistiche abbastanza comuni...) se cambia il backend del tuo VIP lo dici tu stesso, devi mettere mano al reverse proxy e dirgli di bilanciare su questo nuovo ip piuttosto che sul vecchio. Ci vuole tanto a fare questo operazione? Ci vuole poco? Chissenefrega, non è importante, quello che è importante è che per farlo ci devi essere tu o un tuo collega, con accessi amministrativi sul reverse proxy, chi chiede la modifica deve aprirvi un ticket, il ticket magari deve essere approvato dal vostro manager, etc etc etc... Con un servizio tipo Cloudflare tunnel, come ho ampiamente descritto, sparisce tutto questo. Sposto l'applicazione X dal mio datacenter a Azure o a una istance su AWS o un cluster K8s su Google Cloud o su un server fisico su Hetzner? Benissimo, nel momento in cui faccio partire cloudflared sul nuovo site il servizio è online e raggiungibile, punto, senza aprire ticket, senza avere accessi amministrativi sul reverse proxy, senza far aprire la tal porta dalla DMZ dove sta il reverse proxy verso la LAN dove sta il nuovo backend, senza trustare certificati sul reverse proxy per cifrare il traffico tra lo stesso e il backend, niente, nulla di tutto questo. Quote:
Con una infrastruttura classica una modifica banale coinvolge magari 2, 3, 4 o più persone, ciascuna che deve fare il suo pezzettino, che ha bisogno della sua autorizzazione, e che può fare il suo piccolo errore. Con una infrastruttura che fa uso di Cloudflare Tunnel, la modifica la fa dalla console direttamente il responsabile tecnico, approvata dal manager di turno o dal responsabile del servizio, la fa una persona sola, al vertice, che controlla l'architettura e nessun altro, e non c'è il tizio del reverse proxy che fa l'errore di battitura, quello del firewall che apre la porta sbagliata, quello del dns che crea il record sbagliato perchè ha battuto a mano anzichè fare copy&paste. Le procedure si possono applicare anche in quel caso, ma c'è un solo step, anzichè N, c'è un solo controllo anzichè N, c'è una sola persona che può commettere l'errore e non N, è palese che sia un approccio più efficiente e meno rischioso. Quote:
Crei un tunnel nuovo sul nuovo site o dove hai spostato la vm, quando entrambi sono attivi sposti l'esposizione del servizio da un tunnel all'altro e la CDN di Cloudflare smisterà il traffico sul nuovo tunnel. Io ho lavorato per più di 15 anni su servizi critici che in caso di interruzione configuravano reati e avrebbero fatto scattare articoli in prima pagina sui principali quotidiani, e ho perso il conto delle interruzioni causate da eccessiva complessità, apparati gestiti da gente incompetente o per cattiva gestione delle risorse, tutte quelle cose che sono presenti in architetture tradizionali con il classico datacenter, firewall enterprise, reverse proxy enterprise, disaster recovery con tutti i crismi, etc etc... Tutte cose che se fossero stati disponibili servizi come Cloudflare Tunnel si sarebbero potuti evitare, e con esse le figuracce di sindaci, presidenti di regioni, ministri e amministratori delegati di turno... Quote:
Ecco con Cloudflare Tunnel no. Poi tu mi dirai che voi avete una batteria di reverse proxy su site differenti che si allineano e si portano dietro anche i certificati, ma per l'ennesima volta ti invito ad astrarre dal tuo caso particolare a un caso generale. E non c'entra grande o piccolo, perchè ti assicuro che ci sono organizzazioni molto grandi e con grandi budget che questi problemi li hanno eccome. Poi chi ha parlato di cambio di dominio? Anche nel caso che hai citato tu stesso del rinnovo di un certificato (già il fatto di doverlo fare a manazza nell'era del protocollo ACME non è una indicazione di grande solidità), con Cloudflare Tunnel semplicemente te ne dimentichi, punto (beh quello già con Let's Encrypt, ma questo è un altro tema). Quote:
Perchè se ti riferisci a questioni legate a GDPR e simili Cloudflare fornisce anche i regional services, e a prescindere da questo quelle norme riguardano esclusivamente il site dove vengono conservati i dati di accesso, non il transito di connessioni TCP cifrate.
__________________
https://tasslehoff.burrfoot.it | Cloud? Enough is enough! | SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." |
||||||||||||
|
|
|
|
10-02-2025, 17:44
|
#46 | |||||||||||||
|
Senior Member
Iscritto dal: Aug 2005
Città: Firenze
Messaggi: 1446
|
Quote:
Ovvero sono su IP pubblico ma l'acceso è solo ed esclusivamente se passi da dentro il Firewall che ha quell'IP pubblico, non da internet dove hai esclusivamente la "Pagina di presenza". Quote:
PS: L'amministrazione pubblica che citi più avanti NON è un settore controllato. Quote:
Pertanto, il tuo esempio: Quote:
Perché i tuoi clienti evidentemente non hanno a che fare con regole ferree dettate dal settore dove operano. Quote:
Quote:
Quote:
Quote:
Quote:
Come ho detto, causa le norme da adempiere, le strutture sono astratte rispetto a dove sono poste, pertanto si, la tipologia rimane la stessa...senza riavviare niente. L'unico obbligo che abbiamo è sul tipo di virtualizzazione, non perché non sia possibile trasmigrarlo, ma perché in quel caso tutto quello che devi adempiere non te lo risolve CLOUDFARE... Quote:
Quote:
Quote:
Quote:
Come detto, in alcuni settori, il GDPR e le relative multe sono noccioline. Comunque, tutto questo a parte, convengo che la soluzione Cloudflare possa essere utile e salvarti il c**o, ma ci sono settori dove già la presenza del terzo (Cloudflare appunto) genera più problemi di quelli che risolve.
__________________
Utilizzo: Samsung: Galaxy Book Pro 360 i7-1165G7-16GB-SSD 512GB -|- Monitor 49" 32:9 C49J890 Galaxy Note 10+ SM-N975F H3G -|- Galaxy Note 10.1 2014 Ed SM-P605 -|- Galaxy S20 FE SM-G780F H3G |
|||||||||||||
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 09:40.
