DESENHO DA SOLUÇÃO
Defesa em profundidade
O Nginx do host é o único ponto de entrada web e encaminha pedidos para um container isolado, acessível apenas pelo loopback.
Cliente / Browser→Internet→NSG Azure→UFW→Nginx reverse proxy→127.0.0.1:8080→Docker nginx:alpine→Website
PERCURSO
Do pedido à resposta
Um pedido HTTP é redirecionado para HTTPS. Depois de atravessar o NSG e o UFW, o Nginx termina TLS e envia o pedido ao serviço em 127.0.0.1:8080. O container entrega os ficheiros estáticos e a resposta percorre o caminho inverso.
SEGURANÇA
Controlos aplicados
- SSH por chave e acesso root desativado
- UFW com política deny incoming
- Fail2Ban no serviço SSH
- TLS Let's Encrypt e headers seguros
- Container não exposto publicamente
- Atualizações de segurança automáticas
ESTADO DA INFRAESTRUTURA
Componentes implementados
● Nginx reverse proxy● Docker Engine● Container tf-cloud-site● UFW e Fail2Ban● HTTPS● Swap 1 GiB
Informação documental da implementação; não constitui monitorização em tempo real.