Most companies are aware of the security that comes with Excel and Google spreadsheets: by default they are private and sharing is done by email or email groups, for example with the company domain @whiteltd.uk. For web services in general, things get a bit more complicated. And not dealing with this issue can create major embarrassment and legal problems (e.g. GDPR).
Tutti noi sappiamo dell’esistenza dei buttafuori della discoteca. Per ogni persona in fila, controllano la presenza del nome sulla loro lista per consentire l’accesso nel locale. In questa metafora la fila risulta gli utenti che vorrebbero accedere ad un sito dove noi ospitiamo un servizio informatico-statistico (la discoteca), il buttafuori e la lista le regole d’ingresso. Supponiamo che hai un servizio che ti permette di collegare dei dati da fonti a destinazioni (es. Airbyte): finché questo risulta accessibile solo dal server che lo ospita, non si hanno particolari problemi. Esporre questo servizio direttamente sull’internet pubblico tramite il sito airbyterossisrl.it fa parte delle tragedie annunciate, se lo si vuole rendere facilmente accessibile al personale. Se più dipendenti e/o collaboratori lo usano, si hanno varie strade.
Creare una rete virtuale privata (VPN)
Utilizzando Tailscale, presente anche sul server, solo gli utenti invitati alla rete virtuale privata potranno accedere a quel servizio. Ovviamente questi dovranno avere il servizio attivo anche sul loro computer. Esistono altri VPN, tipo WireGuard (la retrovia di Tailscale) ma Tailscale ha una serie di semplificazioni.
Tailscale offre un indirizzo per ogni macchina su cui abbiamo servizi. Sia indirizzi “leggibili” tipo serverairbyte.lamiats.ts.net che “macchina”, del tipo 100.xx.0.0. E offre anche un rapido accesso remoto alla macchina (SSH) che quindi avrà solo interfaccia testuale, non come la connessione desktop remoto di Windows. I server non hanno il “desktop”, ossia l’interfaccia utente con icone, permessa da sistemi operativi con Windows 10,11, Ubuntu Desktop, etc.
Creare una regola di ingresso al servizio
There are different ways to do this depending on how the service was activated (put into production).
If via Cloudflare, in the applications section, we find “policies” (of access). Here we have a wide range of accept / deny policies: by email, by country, by IP (more advanced), etc.
Se lo si fa installando un servizio tramite chi ospita il sito web aziendale, nel caso di un CRM, la cosa si complica perché bisognerà modificare a mano il file .htmaccess inserendo IP. E l’IP del tuo personale può cambiare. Specie se hai nomadi digitali.
Creating a simple login page by hand can lead to nasty surprises, because computer scientists can guess the password by brute force. Of course, there are strategies to automatically kick out those who make more than a certain number of attempts within a certain time limit.
As you can see from the order, I prefer Tailscale and Cloudflare. Regarding the latter, there is a more “homemade” option like Nginx proxy manager, but it has a higher difficulty.
Ti interessa avere servizi informatico-statistici a prova di proiettili anti-bunker? Sentiamoci in una prima chiamata gratuita.