Зачем беспокоиться о приложениях обратного прокси, если вы не используете mod_security или TMG/UAG?

Question

Зачем беспокоиться о приложениях обратного прокси, если вы не используете mod_security или TMG/UAG?

Общепринятым является то, что внутренние приложения, которые живут внутри доверенной сети, такие как Exchange, должны быть обратными прокси-серверами, когда они открыты для доступа в Интернет. Microsoft рекомендует использовать UAG/TMG для этого, поскольку она имеет некоторые встроенные функции безопасности. Mod_security играет аналогичную роль в сценариях обратного прокси Apache. Тем не менее, я вижу очень много установок, где используется обратный прокси, но этот дополнительный уровень безопасности не используется.

Зачем вообще использовать обратный прокси в этом сценарии? Если вы не используете логику L7 для смягчения атак, каковы преимущества добавления прокси-слоя по сравнению с простым представлением приложения напрямую?

4

web-server reverse-proxy mod-security microsoft-ftmg-2010

Источник

MDMarra 19 ноя '13 в 19:20

2 ответа

Другие вопросы по тегам web-server reverse-proxy mod-security microsoft-ftmg-2010

ErikE 19 ноя '13 в 21:21 2013-11-19 21:21 · Answer 1 · 2013-11-19 21:21

С точки зрения защиты от атаки, конечно, отсутствие фильтрации входных / выходных данных не добавляет ничего ценного. Можно утверждать, что проксирование без предвидения фактически снижает безопасность в этом:

вводится большая сложность, часто с местью.
меньшая прозрачность в том, что несколько уровней журналов и оповещений требуют корреляции для каждой транзакции.
Поверхность атаки увеличивается за счет дополнительных подсистем.
Большая диверсификация систем увеличивает риск человеческой ошибки.
каждая система несет в себе ошибки, которые вносят неопределенности, прокси не являются исключением.

не говоря уже об отходах в технологических ресурсах (машины, хранилище, резервное копирование / восстановление и т. д.).

С другой стороны, могут быть победы, которые связаны с безопасностью другими способами:

Возможна балансировка нагрузки и отработка отказа.
Большая гибкость в отделении уровня доступа от уровня обслуживания (т. Е. Упрощение обслуживания, реструктуризации и т. Д.).
Будущий вариант, позволяющий легко вводить фильтрацию и все такое без конкуренции за системные ресурсы на уровне обслуживания.
Разделение других функций, кроме простой фильтрации сигнатур атак, таких как перезапись логики или определенных журналов, например, для большей простоты конфигурации и меньшего риска во время изменений.
Некоторые функции могут быть лучше задокументированы или известны на прокси-платформе, что обеспечивает большую стабильность и контроль или уменьшение количества неизвестных за счет удаления их от серверной части.

Я уверен, что есть больше, это только из головы.

mfinni 19 ноя '13 в 23:52 2013-11-19 23:52 · Answer 2 · 2013-11-19 23:52

Было время, когда стандартная установка Apache просто имела меньше известных брешей в безопасности, чем стандартная установка IIS; это само по себе было улучшением безопасности.

Таким образом, это могло просто стать племенным преданием, потому что это когда-то было лучшей практикой.