Согласно названию, мой поставщик программного обеспечения пытается убедить меня перейти на выделенный сервер с аппаратным межсетевым экраном. (В настоящее время мы используем общий виртуальный хост Rackspace, работающий под управлением Ubuntu.)
База данных нашего приложения не содержит конфиденциальной личной информации, и мы используем надежную защиту паролем. У нас также есть резервные копии.
Есть ли веская причина, по которой мы должны быть за аппаратным брандмауэром, или поставщик просто пытается нас перепродать?
Я не хочу проявлять халатность, но я также не хочу, чтобы мы платили за услуги, которые нам на самом деле не нужны.
Спасибо за вашу помощь.
Нет, вам не нужен аппаратный брандмауэр. Вам может потребоваться защита от DDoS-атак или любое количество других услуг, но аппаратный брандмауэр для отдельной машины - это полная чушь.
Поскольку вы упомянули, что находитесь на общем сервере Rackspace, я предполагаю, что вы перейдете в выделенную среду Rackspace, и да, они заставят вас установить брандмауэр (фактически пара вещей), поскольку у них есть 3 устройства минимум на управляемом коло. На мой взгляд, это равносильно мошенничеству, и это большая часть причины, по которой мы вытащили (или в настоящее время вытаскиваем) все оборудование наших клиентов с их предприятий. Я бы нашел другого провайдера, который не заставит вас покупать то, что вам не нужно.
Похоже, вы не предоставили никаких веских причин для покупки такого устройства (иначе вы бы объяснили его доводы?)
не содержит конфиденциальной личной информации, [...]. У нас также есть резервные копии
Сами по себе они мало влияют на то, почему такой выделенный межсетевой экран может быть оправдан.
Если предположить, что у вас есть разумная настройка брандмауэра сервера, тогда нет оправдания для использования отдельного брандмауэра.
Я не говорю, что ваша система достаточно безопасна - это совсем другой вопрос, но, кроме как справляться с более высокими объемами трафика и обеспечивать лучшую изоляцию от атак на уровне пакетов нулевого дня (которые очень редки), она не делает ничего, чего вы не должны '' не уметь использовать iptables / tc / iproute2
Кроме того, хотя самые дорогие такие устройства могут обеспечить защиту, обеспечиваемую snort, ни одно из них не обеспечивает функциональности, которую вы можете реализовать в программном обеспечении с помощью fail2ban.
Нет, не требуется, если только он не имеет какой-либо защиты от DDoS-атак или если вы собираетесь проталкивать большие объемы трафика> 100 МБ / с.
Брандмауэр в Linux должен выполнять достаточно хорошую работу со стороны безопасности, если он правильно настроен.
Как правило, будет разрешено больше подключений.
В зависимости от того, какую модель продает ваш поставщик, вам могут понравиться дополнительные, иногда проприетарные функции. Посетите соответствующий сайт поставщика.
Возможно, наиболее важным является то, что он и ваш сервер будут выделенными, а не общими. Это дает вам больше свободы в выборе периодов обслуживания (хотя проконсультируйтесь с вашей хостинговой компанией, так как за использование этой свободы может взиматься дополнительная плата) и от проблем с производительностью, вызванных вашими соседями на общих платформах.
Также узнайте о балансировщиках нагрузки.
Я должен согласиться с вопросом о том, нужен ли вам FW и здесь. Я воспринимаю FW как гаишников больше, чем что-либо в целом. У службы, которую вы используете, уже должно быть что-то из этого, поэтому я думаю, что вы ищете некоторую защиту веб-приложений. Тот факт, что на вашем веб-сайте нет PII, не означает, что его можно взломать. Есть пара решений на основе облака, программного обеспечения как услуги (SaaS) для обеспечения безопасности веб-сайтов и веб-приложений, на которые вам следует обратить внимание; xyberShield и FireEye. Я знаю больше о xyberShield, но только что ознакомился с продуктом FireEye, который является антивирусным продуктом. Модель SaaS предлагает множество способов масштабирования безопасности вашего продукта в соответствии с потребностями ваших продуктов. Избыточность, низкая задержка, поскольку на вашем сайте нет оборудования (по крайней мере, с xyberShield), надежность обработки и обновления - все это обрабатывается в серверной части решения модели SaaS.
Другой момент, который важно понимать в преимуществах этих двух решений, заключается в том, что они основаны на поведении и подписи. В продукте xyberShield есть действительно необычный продвинутый механизм корреляции поведенческого анализа (BACE), который работает и учится более 4 лет, поэтому все, что он узнает, немедленно применяется к его базе знаний и доступно всем клиентам, которых он обслуживает по всему миру.
Самым важным является понимание того, что вам может потребоваться удовлетворить конкретные потребности вашего веб-сайта и защиты веб-приложений с помощью многоуровневого количества продуктов и / или услуг. Сегодня вы должны стремиться сопоставить свои облачные службы веб-сайта с облачным решением безопасности.