Re: [OT] sicurezza applicazione.
2011/12/3 Dario <dario.java@gmail.com>:
>
>> Dunque, ho diverse applicazioni web realizzate per la intranet aziendale.
>> Il server ovviamente e' sistemato nella zona trust della nostra rete
>> con ip locale visto che le applicazioni devono essere utilizzate solo
>> dal personale interno.
>> Ora dovrei realizzare qualcosa che sia fruibile sia dalla intranet che
>> da internet.
>
>
> Detto così non è molto, o meglio non è facile aiutarti.
> Ci sono troppi fattori da considerare.
>
> Domande semplici semplici :-)
> Che tipo di dati devono essere pubblicati ?
Un elenco dei fornitori dell'azienda.
> Sono previsti livelli di autenticazione ?
Per l'amministrazione, inserimento/cancellazione/modifica si, per la
sola visualizzazione no.
> Che tipo di autenticazione ?
attraverso ldap.
> Che permessi vengono dati, in caso di autenticazione ?
cancellazione/modifica/inserimento dati.
> Solo consultazione ? O anche inserimento/modifica ?
> Ci sono normative o certifiche aziendali da rispettare ? etc. etc.
No.
>
>
>> Potrei sdoppiare l'applicazione e metterla su due server separati, uno
>> in trust privato e uno in dmz pubblico e dovrei sdoppiare anche la
>> base dati.
>
>
> Sdoppiare equivala a moltiplicare impegno/problemi e comunque il fattore
> sincronizzazione dati fra le due entità potrebbe comunque comportare
> problemi di sicurezza con aggiunta incongruenza dati.
>
>
>> Oppure sdoppiare solo l'applicazione e aprire un passaggio verso la
>> base dati interna,
>
>
> Stiamo parlando di un db-server (magari Oracle), application-server,
> web-server ?
Per la base dati intendo un db server, postgres.
>
> Oltre a dover specificare meglio cosa devi realizzare, rammenta sempre che
> devi esaminare la cosa anche con i sistemisti. Prima di mettere un server di
> produzione magari in dmz ....ci penserei 2 volte :-).
Ma se il server deve essere publico, quindi su internet va messo per
forza in dmz.
I dati devono poter essere visualizzati da tutti senza autenticazione.
Reply to: