Essenzialmente si tratta di mettere i servizi pubblicati in una rete separata dalla LAN, e con regole di firewall sia WAN - DMZ, sia DMZ - LAN. Così che se anche un servizio è compromesso, l'attaccante non si trova direttamente in LAN con tutto facilmente accessibile. Per massima sicurezza andrebbe fatta con due firewall diversi, si può fare anche con un firewall solo mettendo i servizi su una VLAN separata. Poi ci vorrebbe un reverse proxy, configurazione di certificati per HTTPS, opportuno hardening dei sistemi, ecc. ecc. I container semplificano il deployment ma di per sé non incrementano la sicurezza.
Cloudflare ti può dare una mano, ma anche in quel caso va fatta la configurazione corretta, e i servizi non devono essere accessibili altrimenti.
SimonBerry Per quest'ultimi ci sono parecchie guide a prova di idiota e quindi perfette per me
Attenzione che le guide possono anche essere:
- Obsolete
- Fatte per requisiti diversi
- Basiche, e non adatte a sistemi "in produzione"
- Scorrette (capita)
A meno che non si stia semplicemente imparando senza nulla di importante in gioco, occorre sempre un minimo di competenze per capire se si è sulla strada giusta o no. Per questo consiglio di procedere per gradi, prima di mettere in linea sistemi con dati "importanti".